Cyberbezpieczeństwo w e-commerce

1 Lipca 2022

W ostatnim czasie rynek e-handlu dynamicznie się powiększył, czego przyczyną były ograniczenia w handlu stacjonarnym z powodu pandemii COVID. Handel elektroniczny stał się coraz bardziej popularny, przyciągnął więc uwagę cyberprzestępców. Na całym świecie dane dotyczące cyberprzestępczości urosły w alarmującym tempie. Przykładowo, tylko w Meksyku liczba oszustw związanych z płatnościami online wzrosła o ponad 75% w 2021 r w porównaniu do okresu przed pandemicznego. Mimo że, najgłośniejszymi atakami są te wymierzone w największych graczy na rynku, wcale nie znaczy, że ci mniejsi mogą czuć się bezpiecznie.

Zagrożenia zewnętrzne

Dzisiejsze wektory ataków wydają się przede wszystkim pochodzić z łańcucha dostaw oprogramowania, co sprawia, że ​​wdrażanie tradycyjnych środków zaradczych jest dla przedsiębiorstw i organizacji dużo trudniejsze. Zaletą zwiększonego bezpieczeństwa aplikacji wykorzystywanych wewnątrz organizacji jest to, że eksploatowanie systemów nie staje się bardziej uciążliwe, a wymaga od hakerów udoskonalenia technik przeciwdziałania silniejszym zabezpieczeniom. Dobrą wiadomością jest to, że najnowsze narzędzia na rynku wykraczają poza podstawowe zagrożenia zidentyfikowane przez organizację non-profit Open Web Application Security Project (OWASP).

Tanią i skuteczną metodą ataku na organizację która wcale nie musi prowadzić do wypłynięcia danych (ale pośrednio może), jest atak DoS lub DDoS, który ma na celu naruszenie dostępności sklepu dla swoich klientów. Efektem jest odpływ klientów, którzy nie mogąc skorzystać z możliwości zakupu w danym momencie, kierują swoje kroki do konkurencji. Aby się przed tym bronić powstała np.: TAMA.

 

Skąd brać odpowiednią wiedzę na tematy bezpieczeństwa?

Dostępnych jest wiele źródeł, poruszających ten temat. Jednym z nich jest właśnie tekst, który czytasz! Właśnie dlatego tak ważne jest utrzymywanie kontaktów z zewnętrznymi specjalistami w dziedzinie cyberbezpieczeństwa, a EXATEL S.A. należy do jednych z nich. Dzielimy się z Tobą naszą wiedzą.

Innymi sposobami na zdobywanie wskazówek, jak postępować są międzynarodowe normy, które definiują zasady budowy systemów zarządzania bezpieczeństwem informacji (rodzina norm ISO 2700x), te dotyczące utrzymania ciągłości działania (ISO 22301).  Mimo że wdrożenie w organizacji normy, certyfikowanie się na zgodność i utrzymywanie jej jest wysokim kosztem, nic nie stoi na przeszkodzie, by przyswoić i wykorzystywać dobre praktyki w nich zawarte. Jedną z takich praktyk jest ograniczenie dostępów do minimalnego wymaganego poziomu dla pracowników. Osoba zmieniająca ceny w witrynie sklepu nie potrzebuje do tego uprawnień administratorskich, a jeśli odchodzi z pracy, to nie potrzebuje już żadnego dostępu do Twoich wewnętrznych systemów. Stąd też ważne jest, aby posiadać i stale monitorować kontrolę nad przydzielonymi dostępami oraz skuteczne reagować na zachodzące zmiany wewnątrz organizacji.

 

Zagrożenia wewnętrzne

Życie byłoby proste, gdyby zagrożenia nadchodziły tylko z zewnątrz, ale e-commerce jest zagrożony również od wewnątrz. Można powiedzieć, że jest to często spowodowane zachłannością właścicieli sklepów, którzy uzyskują bardzo szeroką wiedzę o swoich klientach, śledzą ich każdy ruch i budują na ich podstawie dokładne profile swoich użytkowników. Posiadanie takiej bazy podlega zgodnie z prawem europejskim odpowiednim przepisom, które wymuszają na administratorze danych zbieranie zgód pozwalających na posiadanie takich informacji. Przyjrzyjmy się teraz takiej bazie, która mimo „anonimowości” osób tam zebranych, da się w prosty sposób zdeanonimizować, jeśli zawarte w niej są informacje, takie jak: lokalizacja użytkownika nocą (dom? a może hotel?) i w ciągu dnia (praca?), miejsce odwiedzin lokalnego sklepu, połączone z monitoringiem oraz transakcjami kartą płatniczą z danego okresu czasu. Oznacza to praktycznie prawie policyjne śledztwo. Taki scenariusz nie jest jednak abstrakcją, co potwierdza niedawny przykład kanadyjskiej sieci, która dostała nakaz usunięcia części danych przez ich lokalny odpowiednik PUODO. Ten zbiór informacji dla potencjalnego hakera jest istną kopalnią złota i to w sposób całkiem dosłowny, bo nie trudno sobie wyobrazić przykładowo „wyciągnięcie haków” na nieuczciwych współmałżonków. Po to właśnie administrator danych powinien przeprowadzać analizę ryzyka, na podstawie której może on określić, jakie dane są mu rzeczywiście niezbędne do prowadzenia działalności i czym może skutkować ich ewentualna utrata lub ujawnienie. W taki prosty sposób firma może utracić zaufanie swoich klientów oraz narazić się na wysokie koszty związane ze sprawą sądową, którą wytoczą im rozwścieczeni klienci, składając kilka pozwów grupowych, co już nie raz się w historii zdarzyło.

 

Jak się bronić?

Jeśli na każdym kroku czekają na nas zagrożenia, to jak się przed nimi bronić oraz co robić, aby – po pierwsze zapewnić bezpieczeństwo swojej organizacji, po drugie spokojny sen szefa, a po trzecie i najważniejsze bezpieczeństwo danych klientów?

Solidne podstawy w wewnętrznych systemach i procesach, mających na celu rozwiązanie krytycznych problemów z bezpieczeństwem to najlepsze sposoby na mitygację ryzyka, ochronę danych klientów i zminimalizowanie potencjalnych strat spowodowanych cyberprzestępczością. Jednocześnie budują one zaufanie klientów do samej organizacji.

Jak to zrobić? Pierwszym krokiem powinno być rzetelne określenie, jakie informacja posiadamy, po co je gromadzimy i co może się stać, jeśli je stracimy. Często już na tym etapie okazuje się, że z przedstawionego zakresu zbieranych informacji, dana firma może mieć więcej szkody niż pożytku – szczególnie jeśli informacje te są słabo chronione.

Co znaczy, że informacje są słabo chronione? Dopóki ktoś z zewnątrz nie sprawdzi zabezpieczeń wdrożonych w organizacji należy zakładać, że te zabezpieczenia nie są mocne. Aby móc określić skuteczność zabezpieczeń, trzeba przeprowadzić testy penetracyjne przez wybrany podmiot zewnętrzny. Na podstawie raportu otrzymanego od zewnętrznych testerów wprowadzić brakujące zabezpieczenia, utwardzić stare rozwiązania i przeprowadzić kolejną kontrolę.

 

Podsumowanie

Czy jest to moment, aby stwierdzić „mam już super bezpieczny sklep”? Niestety nie. Jest to zaledwie pierwszy krok na drodze do bezpieczeństwa. Jednak cyberbezpieczeństwo to ciągły i nieustający proces, ciągły wyścig zbrojeń między atakującymi i obrońcami. Dlatego tak ważnym jest wprowadzenie cyklu życia rozwiązań, jakie są stosowane w organizacji. Technika ma to do siebie, że szybko się starzeje, ale można przedłużać jej cykl życia i utrzymywać, a nawet powiększać poziom bezpieczeństwa poprzez aktualizację softu, na którym rozwiązania te pracują. Jednak każde rozwiązania po upływie czasu przestają być wspierane i są zastępowane nowszymi rozwiązaniami. A rolą administratora serwisu jest trzymanie ręki na pulsie i odpowiednie reagowanie z wyprzedzeniem. Nawet najbezpieczniejsze rozwiązanie wprowadzone rok temu, jeśli nie było aktualizowane, przestaje być skuteczne.

Warto zatem dbać o poszerzanie wiedzy w zakresie cyberbezpieczeństwa, korzystać z pomocy profesjonalistów i wprowadzać na bieżąco nowe i sprawdzone rozwiązania, tak aby móc spać spokojnie.

Opublikowane przez: Jerzy Pielichowski

Inne artykuły_