3 peamist küberriski, millega iga e-pood silmitsi seisab

IIZI küberkindlustuse ekspert Helen Evert toob välja peamised ohud, mis e-poele enim rahalist kahju toovad ning otseselt ettevõtte mainet mõjutavad ja klientide usaldust vähendavad. Ettevõtted on hakanud ohtude kõrval ka kindlustamise vajadust teadvustama ning täna on küberintsidentidega tekkiva kahju korral võimalik abi saada küberkindlustusest.

Ettevõtte kliendiandmed võõrastes kätes

Kliendid on usaldanud ostu tehes e-poele suurel hulgal oma andmeid - nime, sünnipäeva, koduse aadressi, kasutajanime ja parooli, maksekaartide andmed ja ostude ajaloo jne. Andmete lekkimine või vargus saab tavaliselt alguse mõnest turvanõrkusest, tihti näiteks töötaja poolt kogemata, kuid vahel ka pahatahtlikult.

Ka Eestis on üha enam näiteid e-poodide andmeleketest. Evert toob välja 2020.aastal Charlot OÜ e-poe juhtumi, kus ostjate andmed lekkisid, sest pood ei rakendanud andmete kaitseks piisavaid meetmeid. Selle tulemusena oli internetis avalikult kättesaadav andmebaas, mis sisaldas umbes 14 000 eestlase isikuandmeid. 2021.aastal teavitati sarnasest juhtumist, mil lekkisid Mineral Gardeni ca 5000 kliendi andmed, sealhulgas ka tuntud eestlaste andmed. Vahetult peale seda juhtumit olid internetis avalikult kättesaadavad Tootemaailma e-poe klientide nimed, e-mailid, telefoninumbrid ja kontaktaadressid. Everti sõnul puudutas see küll üksnes 30 klienti, kuid juba ühe kliendi andmete kuritarvitamine võib käivitada uurimise ning tuua ettevõttele kaasa rahatrahvi.

Selliste olukordade puhul aitab kindlustus kohe, kui andmete avalikustamine või vargus avastatakse. Märkida tasub, et ei ole oluline, kas andmeleke toimus kogemata või varastas andmed kurjategija. Everti sõnul korraldab kindlustusandja olukorra parimaks lahendamiseks vajalikud nõustajad õigus- ja kommunikatsiooni valdkonnast ning IT-teenused andmelekke põhjuste uurimiseks ning kõrvaldamiseks.

Veebipood on klientidele kättesaamatu

E-poe käive sõltub veebilehest, kust kliendid oste teevad ning kaupa tellivad. Kui aga veebileht muutub talumatult aeglaseks või ei toimi enam üldse, on põhjust kahtlustada DDoS ehk teenustõkestusrünnet. Halvem stsenaarium on lunavararünne, mis võib veebilehe töö seisata. Viimase puhul saabub kurjategijalt nõudmine maksta veebilehe ja andmete lahti krüptimise eest kindel rahasumma ning maksmata jätmise puhul ähvardatakse sageli andmete avalikustamisega.
Näiteid Eestis toimunud rünnetest saab tuua mitmeid. Nimelt 2018. aasta augustis sattus lunavararünde ohvriks sanitaartehnikakett FEB, mil kahtlustati andmevargust ja kustutati varuserverites olev info. Füüsilised kauplused jäid suletuks mitmeks päevaks, veebipood veelgi kauemaks. 2020. aasta mais teatas üks Eesti veebipood, et nende serverisse on sisse murtud, sealt andmed kopeeritud ja seejärel kustutatud. Veebipoelt nõuti lunaraha, mille maksmata jätmisel ähvardati klientide andmed avalikustada. Väljapressijate kätte sattusid räsi kujul kasutajate paroolid, müügiarved, tellimused ja muu info. Ettevõte taastas kustutatud andmed varuversioonist.

Everti sõnul võivad lunavara või DDoS ründed äritegevuse pikaks ajaks peatada ning kogu selle aja jooksul ei saa e-pood tulu teenida, vaid kannab kahju kaotatud aja ja ründe lõpetamiseks tehtava kulu näol. Kindlustuse olemasolul hüvitatakse need kahjud e-poele, samuti võimaldavad mitmed kindlustuslepingud piiratud ulatuses lunarahanõude tasumise. IIZI küberkindlustuse ekspert rõhutab, et arvestama peaks, et lunaraha tasutakse üksnes juhul, kui see on õiguslikult lubatud.

Muudetud arved, võltsitud kirjavahetus ja pettused

Pettustega kaotatud rahasummad ulatuvad kümnete tuhandete eurodeni. Pettuse ohvriks võib langeda hiljuti e-poodi külastanud klient kui ka e-pood ise. Kurjategijad sekkuvad meilivahetusse või loovad töötaja nimega, kuid kelmidele kuuluva meiliaadressi. Enamasti palutakse kanda raha teisele kontole või võltsitakse esialgne arve

Näiteks 2020. aastal tegi lemmikloomapood FendaF oma senise kõige suurema tellimuse tunnustatud ja juba ära proovitud Saksamaa partnerilt summas 17 000 eurot. Raha paluti kanda teisele kontole, kuid hiljem selgus, et see kuulus kelmidele. Õnnelik juhus ja kiire tegutsemine aitasid tehingu siiski tagasi pöörata, sest küberkurjategijate konto Poola pangas jõuti ajutiselt sulgeda. Sama aasta märtsis saatis ka teine tuntud Eesti ettevõte valele arvelduskontole 15 000 eurot ning äripartneri meilikonto oli kompromiteeritud.

Kui klient on pettuse tõttu raha kaotanud, siis saab ta e-poelt kahju hüvitamist nõuda juhul, kui rünne sai alguse e-poest. Evert lisab, et kui tegu on aga enda tähelepanematuse või teadmatusega, siis e-poe kindlustusleping ei aita. Arvepettuste tõttu tekkinud rahalise kahju hüvitab kindlustus.