Jak zabezpieczyć e-sklep przed atakami hakerskimi?

Rozwój e-commerce mocno przyspieszył po wybuchu pandemii, e-sklepy wyrastały jak grzyby po deszczu. Dla hakerów stało się to jedynie pretekstem do wzmożonych ataków. Nikt nie da nam gwarancji 100% bezpieczeństwa. Są jednak sposoby, które do minimum ograniczą liczbę włamań, utraty danych i pieniędzy. Jakie to sposoby?

Jak zabezpieczyć e-sklep przed atakami hakerskimi?
Monika Świetlińska 4 listopada 2022

Przez doświadczenie

Żadna firma — bez względu na branżę — nie jest w stanie zabezpieczyć się na tyle, by uodpornić się całkiem na włamania, utratę danych swoich i klientów, pieniędzy, wizerunku. Może natomiast zrobić coś, co zniechęci hakerów, czy — w przypadku ataku — spowoduje, że jego konsekwencje będą mniej dotkliwe dla niej oraz jej klientów.

Kilka podpowiedzi, jak to zrobić, przekazała PrestaShop — platforma, która sama w lipcu tego roku padła ofiarą ataku. Stawka była zbyt duża, by ukrywać ten fakt, a warto dodać, że całe gro firm nie mówi głośno o takich sytuacjach, ba! często wypiera się, jakoby miał u nich miejsce atak. 

Komisja Europejska chce zmiany dyrektywy w sprawie odpowiedzialności za produktKomisja Europejska chce zmiany dyrektywy w sprawie odpowiedzialności za produktMonika ŚwietlińskaNiemniej PrestaShop razem z agencją ecommerce Convertis wykorzystała ten incydent — jeden z poważniejszych w ciągu sześciu ostatnich latach -  by edukować nie tylko swoich klientów, ale wszystkich z branży e-commerce. Okazuje się bowiem, że aż 46% przedsiębiorców prowadzących sprzedaż w internecie doświadczyło cyberataku. Tak wynika z najnowszego badania przeprowadzonego wśród członków PrestaShop Million Club, zrzeszającego biznesy sprzedające towar o łącznej wartości ponad miliona euro rocznie. 

Jak dbać o bezpieczeństwo sklepu internetowego?

Oto wnioski z włamania na sklepy postawione na PrestaShop (za Convertis):

1. Nie czekać z działaniem, jeśli już wiadomo, że coś się dzieje i są takie ataki – lepiej zaryzykować i zadziałać bardzo szybko, wgrywając zmiany od razu na produkcji (a nie ostrożnie najpierw na kopii) niż ryzykować, że dojdzie do ataku.

2. Dbać przez cały czas o higienę sklepu oraz higienę bezpieczeństwa, czyli o:

    • odpowiednie hasła, a także ich zabezpieczenie,
    • nie korzystać z backendu sklepu przez zewnętrzne wi-fi oraz zabezpieczać sieć wifi (duży problem zwłaszcza teraz w czasach pracy zdalnej)
      • utrzymywać porządek w sklepie np. usuwać nieużywane moduły – takie “śmieci” to furtki, które zwiększają ryzyko ataku, a w razie problemów kolejne setki-tysiące linijek kodu, które trzeba sprawdzić.

        3. Wykonywać co jakiś czas audyty bezpieczeństwa, co zresztą sama PrestaShop wyraźnie zaleca w oficjalnej informacji wydanej na temat tych problemów z bezpieczeństwem.

        4. Utrzymywać kopie zapasowe sklepu.

        Jeżeli szukasz wsparcia prawnego swojego e-biznesu

        zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

        Sprawdź szczegóły

        - Takie wydarzenia zawsze przypominają (niestety dosyć brutalnie), że hakerzy i ataki na strony istnieją. Na co dzień, przy dłuższej chwili ciszy, często wiele osób zapomina o nich, ignorując podstawowe zasady bezpieczeństwa. Warto mieć świadomość, że chwila ciszy nie oznacza, że już nic nigdy się nie wydarzy. Lepiej mieć z tyłu głowy, że wydarzy się na pewno i zrobić wszystko, by nie przydarzyło się właśnie nam - podsumowuje Convertis.

        O czym musisz jeszcze pamiętać?

        Podpowiadamy, co jeszcze możesz zrobić, by bronić się przed atakami, o których pisaliśmy już na naszym blogu.

        Najczęściej stosowane metody hackingu wobec branży e-commerceNajczęściej stosowane metody hackingu wobec branży e-commerceMonika Świetlińska

        Niezbędne minimum danych

        Dane klientów to najcenniejsze, co masz w swojej bazie. Najcenniejsze dla hakerów, którzy w e-commerce upatrują łatwego zarobku. Bo to dane związane również z płatnościami. Zatem? Im mniej danych masz, tym mniej danych stracisz i skutki ich utraty nie będą tak dotkliwe. 

        A przypomnijmy, że konsekwencje związane są nie tylko z utratą wizerunku, publicznego linczu czy indywidualnymi roszczeniami klientów. To również odpowiedzialność wynikająca z rozporządzenia o ochronie danych osobowych. Za nieprzestrzeganie RODO Urząd Ochrony Danych Osobowych może nałożyć karę w wysokości:

          • do 10 lub 20 mln euro
          • do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.

          Zabezpieczenie punktów sprzedaży 

          Najczęściej to główne systemy firmy są lepiej zabezpieczone. Punkty sprzedaży (rozumiane jako przestrzeń wirtualna, w której firma nawiązuje kontakt ze swoim potencjalnym klientem i może w niej nastąpić transakcja sprzedaży, czyli jednym słowem e-sklep) — niekoniecznie. I to właśnie punkty sprzedaży mogą stać się najsłabszym ogniwem Twojego biznesu, wręcz oknem, przez które haker może wejść do całej infrastruktury. I świetnie zdaje sobie sprawę, że jest to najszybszy i najprostszy sposób na włamanie i przejęcie kontroli nad całą firmą. Sam e-sklep może nie być celem hakera, ale to za jego pośrednictwem zdobędzie to, czego szuka. 

          Audyty

          O nich już wspominaliśmy w kontekście zaleceń od PrestaShop. Dodajmy tylko, że audyty bezpieczeństwa to nie tylko ocena aplikacji, ale również strony internetowej  a także innych elementów całej firmy. Zabezpieczenia powinny być tworzone kompleksowo i dotyczyć głównie edukacji pracowników, bezpieczeństwa urządzeń, których ci pracownicy używają oraz całej infrastruktury.

          Tylko sprawdzone rozwiązania

          Ataki nie tylko na punkty sprzedaży, ale również na systemy płatności, zdarzają się często. Dlatego tak kluczowego elementu nie warto tworzyć na własną rękę, a korzystać ze sprawdzonych komponentów. Można mieć wątpliwości, czy jest to na pewno najlepsze rozwiązanie. A przykładem jest wspomniane oprogramowanie PrestaShop. Pytanie, czy w przypadku ataku hakerskiego poradzisz sobie sam, czy jednak wolisz oddać tę sprawę w ręce doświadczonego sztabu ludzi. Ponadto, korzystając  z usług pośrednika, jesteś odciążony od wielu rzeczy, w tym od odpowiedzialności za incydenty hakerskie. 

          Szkolenia dla sprzedawców. Dlaczego są tak ważne?Szkolenia dla sprzedawców. Dlaczego są tak ważne?Monika Świetlińska

          A takim przykładem były infekcje stron e-sklepów za pomocą skimmerów kart na kilka dni przed wybuchem wojny na Ukrainie. Kiedy osoba odwiedzająca witrynę wprowadzała dane karty płatniczej podczas zakupu, złośliwy kod przechwytywał informacje i wysyłał je do serwerów kontrolowanych przez hakerów.

          Nie utrudniaj klientom

          Identyfikacja wizualna. To jeden z najważniejszych elementów Twojego biznesu. Buduje rozpoznawalność brandu, ale pełni jeszcze jedną ważną funkcję. Pomaga rozpoznać Twojemu klientowi, czy Ty to naprawdę Ty, a nie haker. Jak wiadomo, wiele ataków skierowanych jest do konsumentów, więc jeśli wizerunkowo będziesz trzymać się konsekwencji, klient łatwo rozpozna, czy SMS lub mail są faktycznie od Ciebie czy jest to phishing.

          Zachowanie spokoju i rozsądku są nieodłącznym elementem strategii bezpieczeństwa. Edukuj się i bądź czujny.

          Czy ten artykuł był przydatny?

          Tagi: poradnik
          Metaverse - trzecim kanałem sprzedaży

          Metaverse - trzecim kanałem sprzedaży

          Rewolucja e-commerce według... ONZ. Tańsze paczki międzynarodowe

          Rewolucja e-commerce według... ONZ. Tańsze paczki międzynarodowe

          Udostępnij:
          Popularne tematy
          Blogi tematyczne
          Prawo konsumenckie 2021
          Blog ochrona danych osobowych
          Prawo konsumenckie
          Security Magazine
          Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO