Zwiń

Nie masz konta? Zarejestruj się

Na celowniku e-sklepy oraz ich klienci

Ten tekst przeczytasz w 5 minut
cyberbezpieczeństwo
fot. materiały prasowe

Dynamiczny rozwój e-commerce stwarza cyberprzestępcom coraz to nowe możliwości. Do cyberataków posuwa się czasami nawet rynkowa konkurencja

Szacuje się, że rosnąca branża e-commerce pada ofiarą już niemal jednej trzeciej wszystkich ataków cyberprzestępców. Do tego są one coraz bardziej wyrafinowane, choć wśród najbardziej popularnych pozostają te sprawdzone i dające najwięcej korzyści. Mowa o odmowie dostępu do usługi, czyli DOS (ang. Denial Of Service), gdzie cyberprzestępca stara się zająć całą dostępną moc serwera, na którym jest e-commerce lub marketplace.

– Można to porównać z rurami wodnymi, gdzie nagle ktoś, kto nie korzysta z prysznica, odkręca bardzo dużą liczbę kurków, tym samym znacząco zmniejszając lub całkowicie eliminując strumień dla potrzebujących. Przekładając to na informatykę, użytkownik nie będzie mógł dokonać zakupu, a tym samym firma handlowa odnotuje stratę – tłumaczy Andrzej Targosz, partner Bitspiration Booster, funduszu inwestującego m.in. w obszar cybersecurity.

Paweł Peryga, Head of DevOps Unity Group, wskazuje, że kolejną grupą ataków są te prowadzące do kradzieży danych, wyłudzeń zamówień. I podkreśla, że zazwyczaj widać je od razu, bo powodują niedostępność sklepu, zaszyfrowanie danych lub po dość krótkim czasie, przez wyłudzenia zamówień, kradzieże danych.

– Są to ataki realizowane przez hakerów indywidualnych czy wręcz całe grupy przestępcze. Od jakiegoś czasu obserwujemy ataki nieco bardziej wyrafinowane i realizowane przez konkurencję, np. kradzież zdjęć i opisów produktowych, wykupowanie produktów w celu obniżenia stanów magazynowych, czy np. analizę cen produktów i sprzedaż taniej. Są to rzeczy, które nie są oczywistymi przestępstwami, ale mają silne konsekwencje na konkurencyjnym rynku – dodaje Paweł Peryga.

Drzwi szeroko otwarte

Zabezpieczenie przed atakiem DoS i DDoS (odmiana DoS, następuje z wielu źródeł), zdaniem ekspertów nie jest trudne. Wystarczy mieć dobrze zaprojektowaną infrastrukturę i dobre serwery oraz łącza. Większość podmiotów na rynku e-commerce czy marketplace zdaje sobie sprawę z tego zagrożenia oraz całkiem dobrze sobie z nim radzi.

Dużo poważniejszym, bo uderzającym również w bezpieczeństwo klientów, jest atak obliczony na kradzież tożsamości cyfrowej użytkownika serwisu e-commerce. Jak mówią eksperci, włamanie na konto użytkownika na platformie e-commerce nie zagraża może tak bardzo finansom jak wejście na konto bankowe, jednak wielu z nas używa tych samych loginów i haseł do różnych serwisów, w tym skrzynki pocztowej.

– Jeżeli tak jest, to wyobraźmy sobie sytuację, że dane dostępowe do platformy e-commerce, z której korzystamy, to nasz adres e-mailowy i jedynie hasło. Po przejęciu takich danych i przy założeniu, że dokładnie tym samym hasłem logujemy się do naszej skrzynki pocztowej, intruz ma szeroko otwarte drzwi do przejęcia naszej poczty. Dostęp do skrzynki pocztowej daje natomiast możliwość przeprowadzenia resetu hasła we wszystkich platformach, do których się logujemy, zatem intruz finalnie uzyska dostęp do tych serwisów na takich samych uprawnieniach, na jakich robimy to my. A to już może mieć większy wpływ na nasze finanse – zauważa Andrzej Targosz.

Phishing jest szczególnie niebezpieczny w przypadku e-commerce – tani i łatwy do przeprowadzenia, nawet dla początkującego cyberintruza z zasobem wiedzy na poziomie informatyki szkoły średniej.

Poza tym e-sklepy są narażone na ataki typu ransomware polegające na zaszyfrowaniu danych, a następnie żądaniu okupu.

– W przypadku usług typu SaaS czy infrastruktury w modelu pay-as-you-go można natomiast mówić o nowym typie ataku, tzw. denial of wallet, czyli takim obciążaniu serwisu, aby wygenerować jak największy koszt po stronie operatora sklepu – zauważa Paweł Peryga.

Silne i iluzoryczne zabezpieczenia

Wina za skuteczność ataku spada na firmę, czyli e-sklep czy platformę zakupową, bo to jej obowiązkiem jest zapewnienie odpowiedniego poziomu bezpieczeństwa. Dobra infrastruktura, serwery i łącza to podstawa, ale działania muszą być kompleksowe. Nie przypadkiem mówi się bowiem o „systemie bezpieczeństwa”, a ten jest silny tak, jak mocne są jego najsłabsze ogniwa.

– A w wielu przypadkach są nimi ludzie. Nie możemy zapominać o ich szkoleniu, rozwoju i wyczulaniu na podejrzane kwestie. Przed ujawnieniem hasła administratora do systemu, klucza API nie uchroni nas nawet najbardziej wyrafinowany system, jeśli jakiś nasz pracownik po prostu to udostępni atakującemu. Od ludzi więc trzeba zacząć – twierdzi Paweł Peryga i dodaje, że w idealnym świecie to sami użytkownicy powinni zwracać uwagę na stopień zabezpieczeń i unikać logowania się do systemu niemającego zabezpieczenia dwuskładnikowego.

W dalszej kolejności jest mnóstwo obszarów, którymi można się zająć technicznie, czyli systemy inspekcji ruchu sieciowego (IDS/IPS), ukrycie sklepu za systemem anty-DDoS, anty-bot czy Web Application Firewall. E-commerce może liczyć na dopasowaną do ich potrzeb ofertę.

– Narzędzi jest tutaj bardzo wiele, a rynek ten jest już bardzo dojrzały i ma dostawców wdrażających komplet potrzebnych rozwiązań. Dostawcy ci mają już ofertę wyspecjalizowaną dla sklepów e-commerce i dobrze znają ich potrzeby w zakresie cybersecurity. Są gotowi też pokazać czy uruchomić takie systemy w formie testowej w ramach darmowego okresu próbnego – wylicza Paweł Peryga.

Z kolei użytkownicy powinni znaleźć w ustawieniach swojego konta funkcję, która nazywa się „silne uwierzytelnienie”, „drugi składnik” czy „podniesienie poziomu bezpieczeństwa konta”.

– Jeżeli platforma daje taką możliwość, to bezwzględnie powinniśmy z niej skorzystać, ponieważ usługa ta jest darmowa oraz znacznie podnosi poziom bezpieczeństwa nie tylko w zakresie usług e-commerce, lecz także innych naszych kont w internecie. Jeżeli będziemy korzystać z silnego uwierzytelniania wszędzie tam, gdzie to możliwe, to prawdopodobieństwo przejęcia naszych danych dostępowych jest mniejsze – zauważa Andrzej Targosz, podkreślając, że oczywistym wymogiem jest również stosowanie różnych loginów i haseł wszędzie tam, gdzie to możliwe. Przeglądarki internetowe pomagają w zapamiętywaniu loginów i haseł.

– Należy jeszcze raz podkreślić, że dziś samo zabezpieczenie w postaci loginu i hasła jest iluzoryczne. Właściwym zabezpieczeniem jest aktywny mechanizm silnego uwierzytelniania. Być może nie zdajemy sobie z tego sprawy, ale codziennie logujemy się do swojego telefonu w sposób, który może przypominać bezpieczne logowanie z wykorzystaniem FIDO (ang. fast identity online – red). To nie do końca ten sam mechanizm, ale doświadczenie użytkownika jest dokładnie takie samo. Wszystkie telefony, które nie są starsze niż sześć lat, mają wbudowany mechanizm oparty na bardzo bezpiecznym i jedynym odpornym na phishing mechanizmie FIDO. Coraz więcej dostawców usług internetowych w tym e-commerce decyduje się na wykorzystanie tego standardu w ochronie kont swoich klientów na platformie sprzedażowej – mówi Andrzej Targosz.

Prowadząc e-sklep, warto pamiętać, by na czarną godzinę mieć niezawodny system kopii bezpieczeństwa. Wysokiej jakości backup (kopia zapasowa) przechowywana w bezpiecznej lokalizacji oraz plan disaster-recovery uchroni przed poważnymi problemami biznesowymi

Poza tym należy zadbać o zabezpieczenie e-sklepu przed atakami i wyciekami danych przez instalacje programu antywirusowego. Bez tego wszystkie inne działania nie odniosą skutku.

Ile trzeba wydać

Bezpieczeństwo oczywiście kosztuje i nie jest to wydatek jednorazowy. Trzeba je okresowo testować, czy to w formie testów penetracyjnych, czy przeciążeniowych. Należy sprawdzać sprawność backupu i 1–2 razy do roku wykonywać próbne odtworzenie zgodnie z disaster recovery plan. Eksperci szacują koszty bezpieczeństwa w e-commerce na 3–5 proc. TCO (całkowitego kosztu posiadania).

– Są to niestety rzeczy, które trudno „sprzedać” w organizacji. Szczególnie takiej, w której jeszcze nigdy nie było poważniejszych incydentów bezpieczeństwa. Niestety dopiero tego typu zdarzenia uczą organizacje i powodują, że w budżecie pozycja „security” w ogóle znajduje swoje miejsce. Dlatego też o bezpieczeństwie często mówi się w kategoriach straszenia. Czy to dobra metoda. Na pewno nie dla świadomych liderów, osób odpowiedzialnych za IT. W dojrzałych organizacjach dyrektor e-commerce pracuje ramię w ramię z dyrektorem IT, a coraz częściej obaj zasiadają w zarządzie i mają ogromny wpływ na budżet – komentuje Paweł Peryga.

Eksperci ostrzegają, że bagatelizowanie tych kwestii to proszenie się o kłopoty.

– Koszty implementacji standardu FIDO nie są wysokie – mówi Andrzej Targosz. I dodaje, że to standard dostępny dla wszystkich i sam w sobie nic nie kosztuje. Jeżeli za usługą e-commerce stoi organizacja, która ma własnych programistów, to może podjąć się takiej implementacji samodzielnie. Jeżeli woli jednak delegować te działania do kogoś, kto robi to na co dzień i zna się na implementacji mechanizmów silnego uwierzytelniania, takie firmy możemy znaleźć również na rodzimym rynku.

Poza tym dostępne są również narzędzia, które nie wymagają żadnych zmian w platformie e-commerce i potrafią standard FIDO oraz inne mechanizmy chroniące użytkowników zaimplementować całkowicie bezinwazyjnie. Czyli bez zmian w kodzie serwisu e-commerce i bez dodatkowych wymagań po stronie użytkowników serwisu. W przypadku ostatniego wariantu uruchomienie usługi silnego uwierzytelniania dla wszystkich klientów platformy e-commerce to projekt na dni lub tygodnie w zależności od organizacji po stronie właściciela platformy e-commerce.

_______________________________________

Na transformację handlu trzeba patrzeć całościowo

O niuansach związanych z cyberbezpieczeństwem w e-commerce mówi Paweł Peryga, Head of DevOps Unity Group – więcej na:

 

cyfrowa-gospodarka.gazetaprawna.pl

 

Czytaj więcej w dodatku DGP Cyberbezpieczeństwo