Trwa ładowanie...
Przejdź na
Tak hakerzy atakują e-commerce. Jak się przed tym bronić?
oprac.
MIW
|zmod.

Tak hakerzy atakują e-commerce. Jak się przed tym bronić?

(Adobe Stock, Stanisic Vladimir)
Artykuł sponsorowany

Pandemia COVID-19 spowodowała znaczne przyspieszenie rozwoju i skali działalności e-commerce. Niestety, w takim samym tempie, a może nawet większym, rośnie liczba cyberataków. Według danych CERT Polska, od 2019 r. liczba obsługiwanych incydentów przez Zespół Reagowania na Incydenty wzrosła o ponad 180 proc. Jakie zagrożenia czyhają na właścicieli e-commerce i jak im przeciwdziałać ?

Tak jak wszędzie w cyberprzestrzeni, tak i w e-commerce występują zagrożenia zarówno dla biznesu, jak i dla klientów. Pomimo, że pomysłów na ataki jest wiele, najbardziej popularne nadal są stare sprawdzone metody, które dają przestępcom największe korzyści.

Jak hakerzy atakują e-commerce?

Jednymi z prostszych do przeprowadzenia ataków są ataki DoS i DDoS. Polegają one na doprowadzeniu do stanu, kiedy nasza strona zaczyna działać wolniej, generuje błędy wynikające z nadmiarowego obciążenia lub kiedy przestępcy doprowadzają do całkowitego braku dostępu i zatrzymania usługi. Ta forma ataku nie powoduje bezpośrednich strat finansowych, ale wpływa na wizerunek firmy.

Kolejne zagrożenie to wyciek/ujawnienie danych klientów i na temat działalności przedsiębiorstwa. Metod wydostania takich danych jest wiele i wszystkie są możliwe, jeżeli strona zostanie zbudowana bez odpowiednich zabezpieczeń. W przeciwieństwie do wspomnianego wcześniej ataku DDoS, takie zagrożenie dla e-commerce jest dużo groźniejsze i może generować faktyczne straty finansowe przez nałożone kary.

Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. W ostatnich latach było wiele tego typu incydentów, z czego najbardziej znany w Polsce dotyczył dużego sklepu z elektroniką. Wówczas przestępcy wykradli dane klientów z bazy danych sklepu. Urząd Ochrony Danych Osobowych dopatrzył się w tym winy firm i nałożył karę blisko 3 mln . Firmie finalnie udało się na drodze sądowej uniknąć kary, ale zszargany wizerunek pozostał.

Czy cyberprzestępcy atakują tylko systemy i e-sklepy ?

Poza wspomnianymi atakami na stronę internetową, przestępcy z wykorzystaniem metod socjotechniki, np. phisihingu, atakują również pracowników w branży e-commerce. Tutaj wektorem ataku jest zwykła wiadomość e-mail, a w niej załącznik lub link mający na celu bądź infekcję złośliwym oprogramowaniem albo kradzież poświadczeń (login i hasło) pracowników firmy do systemów.

Tutaj pomogą oczywiście systemy antyphishingowe, ale ważna jest też rola edukacji pracowników i podnoszenie ich świadomości na temat cyberzagrożeń. Jest to wręcz darmowe zabezpieczenie, ponieważ w Internecie jest wiele bezpłatnych szkoleń i kursów online. Dlatego warto wysyłać pracowników na takie szkolenia i przekazywać im ogólnodostępne materiały. Bank Gospodarstwa Krajowego dba o podnoszenie świadomości na temat cyberzagrozeń w ramach webinarów #CyberAkademiaBGK.

Czy zabezpieczenia w e-commerce są konieczne? Jak je dobrać?

Jeżeli ktoś lubi ryzyko, zawsze może działać bez zabezpieczania swojego biznesu - to też jedna z form postępowania z ryzykiem, ale nie najlepsza. Oczywiście, duży wpływ na dobór zabezpieczeń ma też skala oraz możliwości.

Często opierając swój biznes na gotowych rozwiązaniach/platformach, zabezpieczenia dostajemy w pakiecie, ale warto sprawdzić co dostaliśmy i czy nie ma jakichś dodatkowych pakietów zabezpieczeń, które można dokupić. podpisując umowę na utrzymanie platformy warto także zweryfikować zapisy czy dostawca daje gwarancje na jakieś formy ataków, czy w tym zakresie firma pozostaje sama.

Jeżeli swój biznes budujemy od zera sami i stronę też tworzymy sami, warto poczytać o tym, jak wdrożyć takie zabezpieczenia, a jeszcze lepiej wesprzeć się pomocą specjalisty od cyberbezpieczeństwa. Jeżeli zastanawiasz się, czy warto zainwestować w zabezpieczenia to pamiętaj, że utrata zaufania klientów firmy może przynieść znacznie większą stratę niż koszty wdrożenia i utrzymywania zabezpieczeń cybernetycznych.

Czy moi klienci są bezpieczni ?

O tym, jakie są zagrożenia dla Ciebie już wiesz, ale pamiętaj, że Twoi klienci też są narażeni na ataki. Tutaj trendem jest podszywanie się pod prawdziwe sklepy internetowe lub w komunikacji e-mail i SMS. Takie ataki są proste do przeprowadzenia i jak w przypadku wspomnianego phistehingu, skuteczną obroną będzie edukacja i budowanie świadomości. O tym, na co należy zwracać uwagę, jak odróżniać prawdziwe sklepy od fałszywych i jak zgłaszać cyberincydenty opisuje w swoim poradniku zakupowym CERT Polska.

Autorem artykułu jest Kamil Drzymała, architekt bezpieczeństwa IT w Banku Gospodarstwa Krajowego.

Artykuł powstał w ramach współpracy merytorycznej Akademii Biznesu i BGK.

Artykuł sponsorowany

Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
Źródło:
money.pl
KOMENTARZE
(1)
WYRÓŻNIONE
hehe
2 lata temu
"Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. " - teraz jest KONKRETNE pytanie. przykładowo macie firmę IT (którą sobie nazwijmy HYPPPPPER IT) która tworzy dla firmy handlowej cały system do kupowania i sprzedawania, fakturowania, magazynowania (ten system składa się z serwerów dell, windows OS, oracle DB a wy piszecie software C++ itd ) i nagle dane zaczęły by znikać (taki teoretyczny przykład). po badaniach okazałoby się że wasz software napisany w C++ jest ok (zarówno kod c++ jak i kod maszynowy), czyli problem musi występować np. z serwerami dell, z windows, z oracle DB więc KTO MA ZADOŚĆUCZYNIĆ firmie handlowej za straty bo się system posypał (firma którą sobie nazwaliśmy HYPPPPPER IT czy pozostałe firmy) ? polscy programiści komercyjni i profesorowie potrafią i wiedzą wszystko ale nie to co trzeba. ciekawe kto mi odpowie na moje pytanie
NAJNOWSZE KOMENTARZE (1)
hehe
2 lata temu
"Przede wszystkim należy pamiętać, że wina za skuteczność takiego ataku spada na firmę, ponieważ to ona ma zagwarantować adekwatny poziom bezpieczeństwa danych. " - teraz jest KONKRETNE pytanie. przykładowo macie firmę IT (którą sobie nazwijmy HYPPPPPER IT) która tworzy dla firmy handlowej cały system do kupowania i sprzedawania, fakturowania, magazynowania (ten system składa się z serwerów dell, windows OS, oracle DB a wy piszecie software C++ itd ) i nagle dane zaczęły by znikać (taki teoretyczny przykład). po badaniach okazałoby się że wasz software napisany w C++ jest ok (zarówno kod c++ jak i kod maszynowy), czyli problem musi występować np. z serwerami dell, z windows, z oracle DB więc KTO MA ZADOŚĆUCZYNIĆ firmie handlowej za straty bo się system posypał (firma którą sobie nazwaliśmy HYPPPPPER IT czy pozostałe firmy) ? polscy programiści komercyjni i profesorowie potrafią i wiedzą wszystko ale nie to co trzeba. ciekawe kto mi odpowie na moje pytanie