Tak hakerzy atakują e-commerce. Jak się przed tym bronić?
Pandemia COVID-19 spowodowała znaczne przyspieszenie rozwoju i skali działalności e-commerce. Niestety, w takim samym tempie, a może nawet większym, rośnie liczba cyberataków. Według danych CERT Polska, od 2019 r. liczba obsługiwanych incydentów przez Zespół Reagowania na Incydenty wzrosła o ponad 180 proc. Jakie zagrożenia czyhają na właścicieli e-commerce i jak im przeciwdziałać ?
Tak jak wszędzie w cyberprzestrzeni, tak i w e-commerce występują zagrożenia zarówno dla biznesu, jak i dla klientów. Pomimo, że pomysłów na ataki jest wiele, najbardziej popularne nadal są stare sprawdzone metody, które dają przestępcom największe korzyści.
Jak hakerzy atakują e-commerce?
Jednymi z prostszych do przeprowadzenia ataków są ataki DoS i DDoS. Polegają one na doprowadzeniu do stanu, kiedy nasza strona zaczyna działać wolniej, generuje błędy wynikające z nadmiarowego obciążenia lub kiedy przestępcy doprowadzają do całkowitego braku dostępu i zatrzymania usługi. Ta forma ataku nie powoduje bezpośrednich strat finansowych, ale wpływa na wizerunek firmy.
Kolejne zagrożenie to wyciek/ujawnienie danych klientów i na temat działalności przedsiębiorstwa. Metod wydostania takich danych jest wiele i wszystkie są możliwe, jeżeli strona zostanie zbudowana bez odpowiednich zabezpieczeń. W przeciwieństwie do wspomnianego wcześniej ataku DDoS, takie zagrożenie dla e-commerce jest dużo groźniejsze i może generować faktyczne straty finansowe przez nałożone kary.
Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. W ostatnich latach było wiele tego typu incydentów, z czego najbardziej znany w Polsce dotyczył dużego sklepu z elektroniką. Wówczas przestępcy wykradli dane klientów z bazy danych sklepu. Urząd Ochrony Danych Osobowych dopatrzył się w tym winy firm i nałożył karę blisko 3 mln zł. Firmie finalnie udało się na drodze sądowej uniknąć kary, ale zszargany wizerunek pozostał.
Czy cyberprzestępcy atakują tylko systemy i e-sklepy ?
Poza wspomnianymi atakami na stronę internetową, przestępcy z wykorzystaniem metod socjotechniki, np. phisihingu, atakują również pracowników w branży e-commerce. Tutaj wektorem ataku jest zwykła wiadomość e-mail, a w niej załącznik lub link mający na celu bądź infekcję złośliwym oprogramowaniem albo kradzież poświadczeń (login i hasło) pracowników firmy do systemów.
Tutaj pomogą oczywiście systemy antyphishingowe, ale ważna jest też rola edukacji pracowników i podnoszenie ich świadomości na temat cyberzagrożeń. Jest to wręcz darmowe zabezpieczenie, ponieważ w Internecie jest wiele bezpłatnych szkoleń i kursów online. Dlatego warto wysyłać pracowników na takie szkolenia i przekazywać im ogólnodostępne materiały. Bank Gospodarstwa Krajowego dba o podnoszenie świadomości na temat cyberzagrozeń w ramach webinarów #CyberAkademiaBGK.
Czy zabezpieczenia w e-commerce są konieczne? Jak je dobrać?
Jeżeli ktoś lubi ryzyko, zawsze może działać bez zabezpieczania swojego biznesu - to też jedna z form postępowania z ryzykiem, ale nie najlepsza. Oczywiście, duży wpływ na dobór zabezpieczeń ma też skala oraz możliwości.
Często opierając swój biznes na gotowych rozwiązaniach/platformach, zabezpieczenia dostajemy w pakiecie, ale warto sprawdzić co dostaliśmy i czy nie ma jakichś dodatkowych pakietów zabezpieczeń, które można dokupić. podpisując umowę na utrzymanie platformy warto także zweryfikować zapisy czy dostawca daje gwarancje na jakieś formy ataków, czy w tym zakresie firma pozostaje sama.
Jeżeli swój biznes budujemy od zera sami i stronę też tworzymy sami, warto poczytać o tym, jak wdrożyć takie zabezpieczenia, a jeszcze lepiej wesprzeć się pomocą specjalisty od cyberbezpieczeństwa. Jeżeli zastanawiasz się, czy warto zainwestować w zabezpieczenia to pamiętaj, że utrata zaufania klientów firmy może przynieść znacznie większą stratę niż koszty wdrożenia i utrzymywania zabezpieczeń cybernetycznych.
Czy moi klienci są bezpieczni ?
O tym, jakie są zagrożenia dla Ciebie już wiesz, ale pamiętaj, że Twoi klienci też są narażeni na ataki. Tutaj trendem jest podszywanie się pod prawdziwe sklepy internetowe lub w komunikacji e-mail i SMS. Takie ataki są proste do przeprowadzenia i jak w przypadku wspomnianego phistehingu, skuteczną obroną będzie edukacja i budowanie świadomości. O tym, na co należy zwracać uwagę, jak odróżniać prawdziwe sklepy od fałszywych i jak zgłaszać cyberincydenty opisuje w swoim poradniku zakupowym CERT Polska.
Autorem artykułu jest Kamil Drzymała, architekt bezpieczeństwa IT w Banku Gospodarstwa Krajowego.
Artykuł powstał w ramach współpracy merytorycznej Akademii Biznesu i BGK.
