Trwa ładowanie...
Przejdź na
Tak hakerzy atakują e-commerce. Jak się przed tym bronić?
oprac.
MIW
|zmod.

Tak hakerzy atakują e-commerce. Jak się przed tym bronić?

(Adobe Stock, Stanisic Vladimir)
Artykuł sponsorowany

Pandemia COVID-19 spowodowała znaczne przyspieszenie rozwoju i skali działalności e-commerce. Niestety, w takim samym tempie, a może nawet większym, rośnie liczba cyberataków. Według danych CERT Polska, od 2019 r. liczba obsługiwanych incydentów przez Zespół Reagowania na Incydenty wzrosła o ponad 180 proc. Jakie zagrożenia czyhają na właścicieli e-commerce i jak im przeciwdziałać ?

Tak jak wszędzie w cyberprzestrzeni, tak i w e-commerce występują zagrożenia zarówno dla biznesu, jak i dla klientów. Pomimo, że pomysłów na ataki jest wiele, najbardziej popularne nadal są stare sprawdzone metody, które dają przestępcom największe korzyści.

Jak hakerzy atakują e-commerce?

Jednymi z prostszych do przeprowadzenia ataków są ataki DoS i DDoS. Polegają one na doprowadzeniu do stanu, kiedy nasza strona zaczyna działać wolniej, generuje błędy wynikające z nadmiarowego obciążenia lub kiedy przestępcy doprowadzają do całkowitego braku dostępu i zatrzymania usługi. Ta forma ataku nie powoduje bezpośrednich strat finansowych, ale wpływa na wizerunek firmy.

Kolejne zagrożenie to wyciek/ujawnienie danych klientów i na temat działalności przedsiębiorstwa. Metod wydostania takich danych jest wiele i wszystkie są możliwe, jeżeli strona zostanie zbudowana bez odpowiednich zabezpieczeń. W przeciwieństwie do wspomnianego wcześniej ataku DDoS, takie zagrożenie dla e-commerce jest dużo groźniejsze i może generować faktyczne straty finansowe przez nałożone kary.

Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. W ostatnich latach było wiele tego typu incydentów, z czego najbardziej znany w Polsce dotyczył dużego sklepu z elektroniką. Wówczas przestępcy wykradli dane klientów z bazy danych sklepu. Urząd Ochrony Danych Osobowych dopatrzył się w tym winy firm i nałożył karę blisko 3 mln . Firmie finalnie udało się na drodze sądowej uniknąć kary, ale zszargany wizerunek pozostał.

Czy cyberprzestępcy atakują tylko systemy i e-sklepy ?

Poza wspomnianymi atakami na stronę internetową, przestępcy z wykorzystaniem metod socjotechniki, np. phisihingu, atakują również pracowników w branży e-commerce. Tutaj wektorem ataku jest zwykła wiadomość e-mail, a w niej załącznik lub link mający na celu bądź infekcję złośliwym oprogramowaniem albo kradzież poświadczeń (login i hasło) pracowników firmy do systemów.

Tutaj pomogą oczywiście systemy antyphishingowe, ale ważna jest też rola edukacji pracowników i podnoszenie ich świadomości na temat cyberzagrożeń. Jest to wręcz darmowe zabezpieczenie, ponieważ w Internecie jest wiele bezpłatnych szkoleń i kursów online. Dlatego warto wysyłać pracowników na takie szkolenia i przekazywać im ogólnodostępne materiały. Bank Gospodarstwa Krajowego dba o podnoszenie świadomości na temat cyberzagrozeń w ramach webinarów #CyberAkademiaBGK.

Czy zabezpieczenia w e-commerce są konieczne? Jak je dobrać?

Jeżeli ktoś lubi ryzyko, zawsze może działać bez zabezpieczania swojego biznesu - to też jedna z form postępowania z ryzykiem, ale nie najlepsza. Oczywiście, duży wpływ na dobór zabezpieczeń ma też skala oraz możliwości.

Często opierając swój biznes na gotowych rozwiązaniach/platformach, zabezpieczenia dostajemy w pakiecie, ale warto sprawdzić co dostaliśmy i czy nie ma jakichś dodatkowych pakietów zabezpieczeń, które można dokupić. podpisując umowę na utrzymanie platformy warto także zweryfikować zapisy czy dostawca daje gwarancje na jakieś formy ataków, czy w tym zakresie firma pozostaje sama.

Jeżeli swój biznes budujemy od zera sami i stronę też tworzymy sami, warto poczytać o tym, jak wdrożyć takie zabezpieczenia, a jeszcze lepiej wesprzeć się pomocą specjalisty od cyberbezpieczeństwa. Jeżeli zastanawiasz się, czy warto zainwestować w zabezpieczenia to pamiętaj, że utrata zaufania klientów firmy może przynieść znacznie większą stratę niż koszty wdrożenia i utrzymywania zabezpieczeń cybernetycznych.

Czy moi klienci są bezpieczni ?

O tym, jakie są zagrożenia dla Ciebie już wiesz, ale pamiętaj, że Twoi klienci też są narażeni na ataki. Tutaj trendem jest podszywanie się pod prawdziwe sklepy internetowe lub w komunikacji e-mail i SMS. Takie ataki są proste do przeprowadzenia i jak w przypadku wspomnianego phistehingu, skuteczną obroną będzie edukacja i budowanie świadomości. O tym, na co należy zwracać uwagę, jak odróżniać prawdziwe sklepy od fałszywych i jak zgłaszać cyberincydenty opisuje w swoim poradniku zakupowym CERT Polska.

Autorem artykułu jest Kamil Drzymała, architekt bezpieczeństwa IT w Banku Gospodarstwa Krajowego.

Artykuł powstał w ramach współpracy merytorycznej Akademii Biznesu i BGK.

Artykuł sponsorowany

Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
Źródło:
money.pl
KOMENTARZE
(1)
WYRÓŻNIONE
hehe
rok temu
"Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. " - teraz jest KONKRETNE pytanie. przykładowo macie firmę IT (którą sobie nazwijmy HYPPPPPER IT) która tworzy dla firmy handlowej cały system do kupowania i sprzedawania, fakturowania, magazynowania (ten system składa się z serwerów dell, windows OS, oracle DB a wy piszecie software C++ itd ) i nagle dane zaczęły by znikać (taki teoretyczny przykład). po badaniach okazałoby się że wasz software napisany w C++ jest ok (zarówno kod c++ jak i kod maszynowy), czyli problem musi występować np. z serwerami dell, z windows, z oracle DB więc KTO MA ZADOŚĆUCZYNIĆ firmie handlowej za straty bo się system posypał (firma którą sobie nazwaliśmy HYPPPPPER IT czy pozostałe firmy) ? polscy programiści komercyjni i profesorowie potrafią i wiedzą wszystko ale nie to co trzeba. ciekawe kto mi odpowie na moje pytanie
NAJNOWSZE KOMENTARZE (1)
hehe
rok temu
"Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. " - teraz jest KONKRETNE pytanie. przykładowo macie firmę IT (którą sobie nazwijmy HYPPPPPER IT) która tworzy dla firmy handlowej cały system do kupowania i sprzedawania, fakturowania, magazynowania (ten system składa się z serwerów dell, windows OS, oracle DB a wy piszecie software C++ itd ) i nagle dane zaczęły by znikać (taki teoretyczny przykład). po badaniach okazałoby się że wasz software napisany w C++ jest ok (zarówno kod c++ jak i kod maszynowy), czyli problem musi występować np. z serwerami dell, z windows, z oracle DB więc KTO MA ZADOŚĆUCZYNIĆ firmie handlowej za straty bo się system posypał (firma którą sobie nazwaliśmy HYPPPPPER IT czy pozostałe firmy) ? polscy programiści komercyjni i profesorowie potrafią i wiedzą wszystko ale nie to co trzeba. ciekawe kto mi odpowie na moje pytanie