? Det elektroniske mærke skal fremme, at erhvervsdrivende udviser god skik og anvender sikre, tekniske løsninger ved handel og markedsføring på internettet.
Sådan lyder første punkt i E-handelsfondens formålsparagraf for det elektroniske kvalitetstempel e-mærket. Men på fondens konference ?Forbrugersikkerhed og Internethandel? i onsdags kom det frem, at e-mærket ikke kan garantere de handlende, at de sider, der er tilmeldt ordningen, også er teknisk sikre.
Adgang til kundeinformation
Det nystartede konsulenthus Evikali har undersøgt de tilmeldte virksomheders websteder og kunne fortælle konferencens deltagere, at 30 procent af virksomhederne ikke sikrer webstedets databaser. Man kan blandt andet finde oplysninger om kunder.
Adgang til online-butikkernes databaser kan betyde, at man som uvedkommende kan opsnappe, manipulere eller slette informationer som kundelisten, passwords, kontonumre og forbrugsmønstre. Den manglende sikkerhed udgør derfor en reel trussel mod kunden og virksomhedens forretningsgrundlag og omdømme.
? Intentionerne er reelle, og initiativet til e-mærket er godt. Men som forbruger minder det lidt om kejserens nye klæder. Der bliver talt om tryghed for forbrugeren, men det er en meget niveaudelt tryghed. For nok garanterer mærket, at man har samme forbrugerrettigheder, som hvis man handler i Brugsen, men den tekniske sikkerhed giver mærket ingen garanti for, siger Ib Nielsen, bestyrelsesformand fra Evikali.
Evikalis afsløring af sikkerhedsbristen i databaserne affødte ingen reaktion blandt konferencens deltagere, men det blev diskuteret, om e-mærket udover forbrugerpolitisk tryghed også skulle stå som et certifikat for teknisk sikre løsninger.
E-handelsfondens repræsentanter siger, at spørgsmålet om de sikre løsninger er på bestyrelsens program.
? Vi har diskuteret problemet om overholdelse af god datasikkerhed og afviser ikke, at man for eksempel kunne gå ind i et formaliseret samarbejde med en virksomhed som Eurotrust, siger advokat Martin von Haller Grønbæk, medstifter af FDIH.
Eurotrust, der udsteder certifikater som for eksempel Verisign, talte også på konferencen, og udviklingsdirektør Birger Hauge erklærede, at Eurotrust er positivt indstillet over for forslaget.
To generelle problemer
Det overrasker ikke sikkerhedseksperten Lars Neupart, at 30 procent af de e-mærkede virksomheder tilsyneladende har sikkerhedsproblemer.
? Det lyder umiddelbart meget realistisk. Vi ser to generelle problemer. Det ene er systemernes konfiguration, og det andet er applikationerne, der jo tit er databaseapplikationer, som har forskellige sikkerhedsproblemer. Det er ikke usædvanligt, at der mangler helt banale ting som inputcheck, længdecheck eller formatcheck, og det betyder, at du vil kunne skrive eller læse noget i den database, der ligger nedenunder. Det er jo i høj grad en alvorlig sårbarhed, siger eks-Vigilante-manden, som i dag driver sit eget sikkerhedsfirma Neupart A/S.
Lars Neupart tror i øvrigt ikke, at der er den store sikkerhedsforskel på virksomheder med og uden e-mærke.
Et psykologisk mærke
Martin Borgen, konsulent i E-handelsfonden, der udsteder og sælger det danske E-mærke:
? Vi har ikke set dokumentation for de 30 procent, som Evikalis undersøgelse angiver, men jeg kan heller ikke afvise, at det kan være sandt. E-mærket er fra starten tænkt som psykologisk mærke, der skal skabe tillid hos forbrugerne. E-handelsfonden kontrollerer ikke kundernes tekniske løsning eller fysiske sikkerhed, og det ser vi heller ikke som vores opgave.
Martin Borgen mener ikke, at den manglende sikkerhed er vildledning af forbrugerne.
? E-mærket er en nødvendighed for at få gang i e-handlen i Danmark. Skal vi være 100 procent klar med sikre tekniske løsninger, så kommer vi aldrig i gang. De væsentligste oplysninger om betaling og personlige data er sikre nok.
Denne artikel stammer fra den trykte udgave af Computerworld
