Trudno dziś wyobrazić sobie firmę, która nie sprzedaje swoich produktów przez Internet. Sklep internetowy, nawet jeśli nie jest głównym kanałem sprzedaży, jest dziś w biznesie w zasadzie wszechobecny. To czyni go potencjalnie atrakcyjnym celem ataków hakerskich i rozmaitych prób oszustwa. Na szczęście, przed większością z nich można stosunkowo łatwo się zabezpieczyć.
Zagrożenia dla sklepu internetowego można podzielić na dwie grupy: te, które atakują sam sklep (serwery, bazy danych, itd.) oraz te, które za cel obierają sobie jego klientów. W tej pierwszej grupie najczęstszymi praktykami, jakimi posługują się cyberprzestępcy są ataki typu DDoS (Distributed Denial of Service), które polegają na “zalewaniu” serwerów sklepu falami żądań i przesyłanych pakietów bezwartościowych informacji z różnych adresów IP. Konieczność obsługi tych sygnałów powoduje spowolnienie działania, nieprawidłowości w funkcjonowaniu lub nawet warunkowe wyłączenie usług. Inną formą ataku jest tzw. BAC (Broken Access Control), czyli naruszenie wewnętrznych zasad, dotyczących przyznawania użytkownikowi określonych uprawnień – np. do wglądu do danych innych klientów, operowania ich zamówieniami, kontami, wyciąganiem danych kontaktowych czy kart płatniczych, etc.
Siła prostych zabezpieczeń
Ataki zwykle wykorzystują słabość ustawień serwerów. Zwykle dobra konfiguracja hostingu, polegająca na ograniczeniu dostępu do najbardziej wrażliwych obszarów (np. baz danych), ograniczenie dopuszczania ruchu z nieautoryzowanych źródeł do całej witryny, włączenie zapór typu firewall, itp. Część tego typu rozwiązań, podobnie jak zabezpieczenie przesyłu danych certyfikatem szyfrowania w protokole HTTPS, jest oferowanych w standardowym pakiecie dostawcy wirtualnej przestrzeni dyskowej jako standardowe wsparcie dla e-commerce. Wystarczy zatem po prostu poprosić o pomoc w konfiguracji lub zamówić audyt aktualnie stosowanych rozwiązań. Więcej na ten temat, podobnie jak o rozwiązaniach antywirusowych, można przeczytać tutaj: https://pragmago.tech/pl/porada/bezpieczny-sklep-internetowy-jak-zadbac-o-odpowiednie-zabezpieczenia/
Skrzyżowanie kopii
Dostawcy hostingu, podobnie jak operatorzy niektórych rozwiązań e-commerce, oferują znakomite zabezpieczenie w postaci tworzenia automatycznych kopii serwisu. Na co dzień przyspiesza to transfer danych i pozwala użytkownikom na bardziej płynne korzystanie z funkcji, oferowanych przez sklep. W przypadku ataku, kopie bezpieczeństwa pozwalają na kontynuowanie obsługi klienta oraz łatwe przywracanie skasowanych lub zmodyfikowanych przez cyberprzestępców zasobów. Ma to poważne znaczenie wizerunkowe – nawet jeśli dojdzie do naruszeń bezpieczeństwa, klient może mieć pewność, że informacje o jego zamówieniach, dokonanych płatnościach i innych szczegółach transakcji nie zostaną stracone.
Czytelna komunikacja
Najsłabszym ogniwem zabezpieczeń jest zawsze człowiek, jego automatyzmy i brak staranności. Dotyczy to nie tylko pracowników e-sklepu, ale także klientów. Wymieniona wcześniej grupa zagrożeń, związana z aktywnością użytkowników, to np. phishing, czyli fałszowanie komunikatów sklepu (podrabianie stron, e-maili, newsletterów) w celu zdobycia danych wrażliwych, takich jak hasła, numery PIN, dane kart płatniczych, itd. Najprostszym zabezpieczeniem przed takimi praktykami jest zawsze czytelna komunikacja, która oswoi klientów z procedurami, stosowanymi przez sklep i pomoże im ocenić wiarygodność podejmowanych akcji. Część sklepów np. informuje otwarcie na swoich stronach, że nie prosi o podawanie danych dostępowych przez telefon, nie wymaga logowania się na innych serwisach, zachęca do sprawdzania linków w przeglądarce (czy są w odpowiedniej domenie, np. mojulubionysklep.pl), etc. Podobne działania, w zakresie wewnętrznym, pozwalają znacząco zmniejszyć prawdopodobieństwo udanego wyłudzenia danych, podszywania się pod administratorów, etc.
Zakres działań, związanych z ochroną swojego systemu e-commerce, a także jego koszty, mogą wydawać się przesadnie złożone i rozbudowane. Należy jednak pamiętać, że w przypadku wystąpienia sytuacji kryzysowej, straty z tytułu odszkodowań dla klientów mogą być o wiele wyższe, a reputacja, budowana latami i tysiącami transakcji, może runąć w gruzy w ciągu kilku godzin. Koszt jej odbudowy może być o wiele wyższy, niż zakup oprogramowania, wykonywanie audytów bezpieczeństwa i regularne aktualizowanie kopii bezpieczeństwa.
Materiał zewnętrzny
