Jak zabezpieczyć e-sklep przed atakami hakerskimi?
Rozwój e-commerce mocno przyspieszył po wybuchu pandemii, e-sklepy wyrastały jak grzyby po deszczu. Dla hakerów stało się to jedynie pretekstem do wzmożonych ataków. Nikt nie da nam gwarancji 100% bezpieczeństwa. Są jednak sposoby, które do minimum ograniczą liczbę włamań, utraty danych i pieniędzy. Jakie to sposoby?
Przez doświadczenie
Żadna firma — bez względu na branżę — nie jest w stanie zabezpieczyć się na tyle, by uodpornić się całkiem na włamania, utratę danych swoich i klientów, pieniędzy, wizerunku. Może natomiast zrobić coś, co zniechęci hakerów, czy — w przypadku ataku — spowoduje, że jego konsekwencje będą mniej dotkliwe dla niej oraz jej klientów.
Kilka podpowiedzi, jak to zrobić, przekazała PrestaShop — platforma, która sama w lipcu tego roku padła ofiarą ataku. Stawka była zbyt duża, by ukrywać ten fakt, a warto dodać, że całe gro firm nie mówi głośno o takich sytuacjach, ba! często wypiera się, jakoby miał u nich miejsce atak.
Komisja Europejska chce zmiany dyrektywy w sprawie odpowiedzialności za produktMonika ŚwietlińskaNiemniej PrestaShop razem z agencją ecommerce Convertis wykorzystała ten incydent — jeden z poważniejszych w ciągu sześciu ostatnich latach - by edukować nie tylko swoich klientów, ale wszystkich z branży e-commerce. Okazuje się bowiem, że aż 46% przedsiębiorców prowadzących sprzedaż w internecie doświadczyło cyberataku. Tak wynika z najnowszego badania przeprowadzonego wśród członków PrestaShop Million Club, zrzeszającego biznesy sprzedające towar o łącznej wartości ponad miliona euro rocznie.
Jak dbać o bezpieczeństwo sklepu internetowego?
Oto wnioski z włamania na sklepy postawione na PrestaShop (za Convertis):
1. Nie czekać z działaniem, jeśli już wiadomo, że coś się dzieje i są takie ataki – lepiej zaryzykować i zadziałać bardzo szybko, wgrywając zmiany od razu na produkcji (a nie ostrożnie najpierw na kopii) niż ryzykować, że dojdzie do ataku.
2. Dbać przez cały czas o higienę sklepu oraz higienę bezpieczeństwa, czyli o:
- odpowiednie hasła, a także ich zabezpieczenie,
- nie korzystać z backendu sklepu przez zewnętrzne wi-fi oraz zabezpieczać sieć wifi (duży problem zwłaszcza teraz w czasach pracy zdalnej)
- utrzymywać porządek w sklepie np. usuwać nieużywane moduły – takie “śmieci” to furtki, które zwiększają ryzyko ataku, a w razie problemów kolejne setki-tysiące linijek kodu, które trzeba sprawdzić.
3. Wykonywać co jakiś czas audyty bezpieczeństwa, co zresztą sama PrestaShop wyraźnie zaleca w oficjalnej informacji wydanej na temat tych problemów z bezpieczeństwem.
4. Utrzymywać kopie zapasowe sklepu.
zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniomJeżeli szukasz wsparcia prawnego swojego e-biznesu
- Takie wydarzenia zawsze przypominają (niestety dosyć brutalnie), że hakerzy i ataki na strony istnieją. Na co dzień, przy dłuższej chwili ciszy, często wiele osób zapomina o nich, ignorując podstawowe zasady bezpieczeństwa. Warto mieć świadomość, że chwila ciszy nie oznacza, że już nic nigdy się nie wydarzy. Lepiej mieć z tyłu głowy, że wydarzy się na pewno i zrobić wszystko, by nie przydarzyło się właśnie nam - podsumowuje Convertis.
O czym musisz jeszcze pamiętać?
Podpowiadamy, co jeszcze możesz zrobić, by bronić się przed atakami, o których pisaliśmy już na naszym blogu.
Najczęściej stosowane metody hackingu wobec branży e-commerceMonika Świetlińska
Niezbędne minimum danych
Dane klientów to najcenniejsze, co masz w swojej bazie. Najcenniejsze dla hakerów, którzy w e-commerce upatrują łatwego zarobku. Bo to dane związane również z płatnościami. Zatem? Im mniej danych masz, tym mniej danych stracisz i skutki ich utraty nie będą tak dotkliwe.
A przypomnijmy, że konsekwencje związane są nie tylko z utratą wizerunku, publicznego linczu czy indywidualnymi roszczeniami klientów. To również odpowiedzialność wynikająca z rozporządzenia o ochronie danych osobowych. Za nieprzestrzeganie RODO Urząd Ochrony Danych Osobowych może nałożyć karę w wysokości:
- do 10 lub 20 mln euro
- do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Zabezpieczenie punktów sprzedaży
Najczęściej to główne systemy firmy są lepiej zabezpieczone. Punkty sprzedaży (rozumiane jako przestrzeń wirtualna, w której firma nawiązuje kontakt ze swoim potencjalnym klientem i może w niej nastąpić transakcja sprzedaży, czyli jednym słowem e-sklep) — niekoniecznie. I to właśnie punkty sprzedaży mogą stać się najsłabszym ogniwem Twojego biznesu, wręcz oknem, przez które haker może wejść do całej infrastruktury. I świetnie zdaje sobie sprawę, że jest to najszybszy i najprostszy sposób na włamanie i przejęcie kontroli nad całą firmą. Sam e-sklep może nie być celem hakera, ale to za jego pośrednictwem zdobędzie to, czego szuka.
Audyty
O nich już wspominaliśmy w kontekście zaleceń od PrestaShop. Dodajmy tylko, że audyty bezpieczeństwa to nie tylko ocena aplikacji, ale również strony internetowej a także innych elementów całej firmy. Zabezpieczenia powinny być tworzone kompleksowo i dotyczyć głównie edukacji pracowników, bezpieczeństwa urządzeń, których ci pracownicy używają oraz całej infrastruktury.
Tylko sprawdzone rozwiązania
Ataki nie tylko na punkty sprzedaży, ale również na systemy płatności, zdarzają się często. Dlatego tak kluczowego elementu nie warto tworzyć na własną rękę, a korzystać ze sprawdzonych komponentów. Można mieć wątpliwości, czy jest to na pewno najlepsze rozwiązanie. A przykładem jest wspomniane oprogramowanie PrestaShop. Pytanie, czy w przypadku ataku hakerskiego poradzisz sobie sam, czy jednak wolisz oddać tę sprawę w ręce doświadczonego sztabu ludzi. Ponadto, korzystając z usług pośrednika, jesteś odciążony od wielu rzeczy, w tym od odpowiedzialności za incydenty hakerskie.
Szkolenia dla sprzedawców. Dlaczego są tak ważne?Monika Świetlińska
A takim przykładem były infekcje stron e-sklepów za pomocą skimmerów kart na kilka dni przed wybuchem wojny na Ukrainie. Kiedy osoba odwiedzająca witrynę wprowadzała dane karty płatniczej podczas zakupu, złośliwy kod przechwytywał informacje i wysyłał je do serwerów kontrolowanych przez hakerów.
Nie utrudniaj klientom
Identyfikacja wizualna. To jeden z najważniejszych elementów Twojego biznesu. Buduje rozpoznawalność brandu, ale pełni jeszcze jedną ważną funkcję. Pomaga rozpoznać Twojemu klientowi, czy Ty to naprawdę Ty, a nie haker. Jak wiadomo, wiele ataków skierowanych jest do konsumentów, więc jeśli wizerunkowo będziesz trzymać się konsekwencji, klient łatwo rozpozna, czy SMS lub mail są faktycznie od Ciebie czy jest to phishing.
Zachowanie spokoju i rozsądku są nieodłącznym elementem strategii bezpieczeństwa. Edukuj się i bądź czujny.