Jak dbać o cyberbezpieczeństwo w eCommerce?

cyber bezpieczeństwo

Cyberbezpieczeństwo w eCommerce jest palącą kwestią. Przekonaliśmy się o tym dogłębniej wraz z pandemią i kolejnymi obostrzeniami rządu, kiedy jeszcze więcej osób musiało przenieść się do sieci. Luki w systemach sklepów internetowych, a przede wszystkim – niewiedza klientów i pracowników eCommerce stanowią duży problem i zagrożenie. Jak więc sprawić, by e-zakupy były bezpieczne?

Jak podaje Europejska Agencja Bezpieczeństwa Sieci i Informacji hakerzy atakują  w internecie co 4 sekundy! Ten czarny scenariusz jest niestety rzeczywistością, w której muszą odnaleźć się zwłaszcza właściciele eCommerce. To na nich spoczywa odpowiedzialność za bezpieczeństwo danych klientów, ale też pracy serwisów. Wraz z przeniesieniem się większej liczby osób i aspektów życia do sieci ataki hakerów stały się częstsze, bardziej wyrafinowane i zaawansowane. Hakerzy stosują już nie tylko złośliwe oprogramowanie, ale też tworzą fałszywe sklepy internetowe. Z badania UCE RESEARCH, zrealizowanego dla Grupy Modern Commerce, wynika, że w 2020 roku prawie 40% Polaków natrafiło na fałszywy e-sklep.

Okresy lockdownu zmieniły także aktywność nowych grup społecznych. Z eCommerce prężniej zaczęły korzystać osoby po 55 roku życia, które niestety statystycznie bardziej narażone są na oszustwa od cyfrowych tubylców. Niezwykle ważnym elementem dbania o cyberbezpieczeństwo jest więc nie tylko inwestowanie w lepsze technologie, ale również akcje edukacyjne kierowane do różnych grup.

Update eCommerce w kontekście bezpieczeństwa

Rozbudowane funkcjonalności, modyfikacje dostosowane do potrzeb Twoich klientów, skalowalność, optymalizacja SEO – wszystko to jest ważne w kontekście platformy eCommerce, jednak bez bezpieczeństwa danych osobowych, transakcji płatniczych i plików nie ma większego znaczenia. 

Dokonując wyboru platformy musisz pamiętać o tym, że te najpewniej będą się rozwijać. Musisz więc na bieżąco śledzić ich update’y, by zachować bezpieczeństwo danych i w odpowiednim momencie zdecydować się na migrację. Taka sytuacja dotyczy m.in. sklepów internetowych postawionych na silniku Magento – jednego z liderów na rynku platform eCommerce

W czerwcu 2020 roku po ponad 10 latach rozwoju wsparcie Magento 1 zostało oficjalnie zakończone przez firmę Adobe – właściciela platformy eCommerce. Co to oznacza z punktu widzenia e-sklepów? Najważniejszą konsekwencją dla tych biznesów, które postanowiły nie wprowadzić migracji na wyższą wersję Magento 2, jest narażenie na ataki hakerskie. Adobe od ponad roku wspiera w zachowaniu bezpieczeństwa danych wyłącznie platformy postawione na Magento 2. Te utrzymujące się na wcześniejszej wersji nie mają więc aktualizacji systemu bezpieczeństwa, co może doprowadzić do niekontrolowanych wycieków danych oraz nieupoważnionych dostępów. Każda luka powstała na Magento 1 może być więc naprawiona tylko przez dany eCommerce, bez wsparcia, co wiąże się z dużo większymi kosztami utrzymania platformy w optymalnym stanie. Brak update’u w tym przypadku wiąże się również z utratą zgodności ze standardem PCI DSS (Payment Card Industry Data Security Standard), czyli bezpiecznego przetwarzania danych posiadaczy kart płatniczych. 

O nieopłacalności pozostawania w tyle niech świadczy atak hakerów na ponad 2000 sklepów internetowych postawionych na Magento 1. Ten odbył się we wrześniu 2020 roku, a więc niecałe 4 miesiące po zaprzestaniu wsparcia tej wersji platformy eCommerce. Hakerzy włamali się do witryn i poprzez instalację złośliwego oprogramowania wykradli dane kart płatniczych. 

Najczęstsze zagrożenia e-sklepów

Rodzaje hakerskich działań zmieniają się i dostosowują do obecnych technologii. Dlatego kluczowe są regularne testy eCommerce pod kątem nowych podatności na cyberataki. Poniżej opiszemy te najpopularniejsze, niewyczerpujące całości tematu, jednak obrazujące pewne schematy zagrożeń obecnych w sieci.

DDoS (Distributed Denial of Service) to jeden z najpopularniejszych i najczęstszych hakerskich ataków. Polega on na przeciążeniu, a w konsekwencji maksymalnym spowolnieniem usług eCommerce poprzez gwałtowne zwiększenie ilości ruchu na platformie. Ten rodzaj ataku jest najbardziej niebezpieczny w czasie sezonowych promocji, kiedy sklep planuje największe zyski.

Kradzieże danych zdarzają się niestety częściej z powodu ludzkiej niedbałości. Tak było w przypadku wycieku danych pracowników McDonald’s Polska. Sieć pozostawiła te wrażliwe informacje w… publicznym folderze. W przypadku eCommerce najistotniejsze jest bezpieczeństwo faktur, danych klientów, haseł i loginów. Istotne jest więc zabezpieczenie ich za pomocą nowoczesnych algorytmów hashowania, ale także edukowanie klientów o tym, by ich hasło było unikalne i możliwie najsilniejsze. 

Phishing jest nieco subtelniejszym atakiem wymierzonym prosto w klienta eCommerce. Haker podrabia w nim np. adres domeny i panel logowania. Przy pomocy technik manipulacji nakłania go do wpisania swoich danych osobowych i płatniczych. Phishing to także spamerskie wiadomości SMS, e-mail, czy telefony, które wciąż niestety zbierają swoje żniwo w postaci wykradzionych danych. Jak obronić się przed tego rodzaju atakami? Wiele firm decyduje się na wykupienie domen o zbliżonej nazwie do oficjalnej strony marki. Prostym rozwiązaniem jest obowiązek tworzenia silnych haseł, czy weryfikacja dwuetapowa. 

Ransomware jest jednym z najgorszych ataków z perspektywy eCommerce. Hakerzy działają tu poprzez instalację złośliwego oprogramowania szyfrującego dane. Kolejnym krokiem jest szantaż i wymuszenie okupu w zamian za dostęp do wykradzionych informacji. Wśród ofiar ataków ransomware było wiele firm – od gigantów takich jak Garmin, czy JBS po mniejsze sklepy internetowe. Palącą kwestią dla eCommerce jest decyzja – czy płacić okup. Niezależnie od działania nie ma gwarancji, że wykradzione dane klientów pozostaną bezpieczne.

Zadbaj o bezpieczeństwo eCommerce

Prócz edukacji klientów w kwestii cyberataków i socjotechnik stosowanych przez hakerów oraz niezbędnych i regularnych aktualizacji zabezpieczeń systemu eCommerce ważne jest profilaktyczne wykonywanie testów penetracyjnych (pentesty). Polegają one na przeprowadzeniu ataku hakerskiego w warunkach kontrolowanych. Dzięki temu procesowi wychwycimy luki w zabezpieczeniach, podatność systemu na techniki hakerskie i odporność na próby łamania zabezpieczeń. Po zakończeniu takiego audytu pentesterzy, przez niektórych nazywani legalnymi hakerami, przesyłają do eCommerce raport, w którym wypisane są wszystkie słabości systemu i rekomendacje. Dużą wartością testów penetracyjnych jest to, że przeprowadzane są one z perspektywy potencjalnego hakera. Warto je przeprowadzać w momencie dużych zmian na platformie – nowych funkcjonalności, oprogramowania, czy layoutu. 

Płatności w eCommerce - daj poczucie bezpieczeństwa

Moment płatności w sklepie internetowym jest kluczowy z perspektywy eCommerce. Klient nie dokona transakcji bez poczucia zaufania do sklepu. Co utwierdzi konsumenta w przekonaniu, że zakupy w Twoim sklepie są bezpieczne?

Po pierwsze rodzaje płatności. Klienci lubią mieć szeroki wybór. Nie ma sensu jednak maksymalnie się rozdrabniać – warto natomiast śledzić aktualne trendy. A te pokazują, że szybki przelew oraz BLIK cieszą się ogromną popularnością nie tylko ze względu na wygodę, ale również zaufanie, jakie te rozwiązania wzbudzają w klientach. 

Po drugie zabezpieczenia. Certyfikat SSL to podstawa, bez której nie obędzie się żaden eCommerce. Ten standardowy protokół bezpieczeństwa polega na szyfrowaniu połączeń między stroną internetową a serwerem. Rozwiązanie to gwarantuje, że wszystkie dane, z których korzysta sklep internetowy, są zaszyfrowane. W kontekście zabezpieczeń płatności warto także korzystać z usługi 3-D Secure, a więc autoryzacji transakcji internetowych dokonywanych bez fizycznego użycia karty. Klient wprowadzający dane ze swojej karty kredytowej dodatkowo autoryzuje zakup poprzez kod, który otrzymuje w wiadomości SMS.

Po trzecie noty prawne. Regulamin sklepu jest obowiązkowym dokumentem prawnym dla eCommerce. Reguluje on treść stosunku prawnego między usługodawcą (sprzedawcą) a usługobiorcą (kupującym). Brak regulaminu narusza zbiorowe interesy konsumentów i może być podstawą do działań Urzędu Ochrony Konkurencji i Konsumenta. Pod względem prawnym sklepy internetowe muszą również stosować się do wymogów rozporządzenia o ochronie danych osobowych (RODO). Rozporządzenie określa m.in. zasady dotyczące przetwarzania danych, przestrzegania praw osób, których dane dotyczą i obowiązków nałożonych przez RODO na administratorów danych. Przykładem dokumentu, który świadczy o dobrym i dbałym podejściu do ochrony danych klientów, jest dokument polityki prywatności. Zawiera on m.in. informacje o okresie przechowywania danych, potencjalnym zamiarze przekazania danych, prawie do żądania od administratora dostępu do danych, czy prawie do wniesienia skargi do organu nadzorczego.

Dlaczego warto inwestować w bezpieczeństwo eCommerce?

Sklepy internetowe coraz częściej padają ofiarami ataków hakerskich i w przyszłości czasie raczej się to nie zmieni. Inwestowanie w zabezpieczenia powinno być więc oczywistością, jednak nie wszystkie osoby z branży eCommerce o tym pamiętają. W przekonaniu do tego pomogą liczby i argumenty finansowe, ale również analogia do sklepów stacjonarnych. Wchodząc do takich, jako klienci oczekujemy obecności pracowników firm ochroniarskich, rozumiemy też zasadność inwestycji w antywłamaniowe drzwi, kraty i zamki oraz wszelkie możliwe rozwiązania gwarantujące bezpieczeństwo klientów i pracowników. Dlaczego więc szukać argumentów przeciw inwestowaniu w bezpieczeństwo eCommerce?