Skoro da się zaatakować bank w internecie, to czy można skutecznie chronić mały e-biznes?
Niedawno głośno było o ataku na duński bank centralny oraz 7 prywatnych banków z tego kraju. Cyberprzestępcy wykonali atak metodą DDoS, tzn. wymierzyli w strony internetowe bardzo dużo „zapytań” w jednym czasie, doprowadzając tym samym do ich przeciążenia i wyłączenia. Skoro nawet takie instytucje nie mogą czuć się bezpiecznie w 2023 r., to co mają zrobić mali przedsiębiorcy prowadzący biznes w sieci? Jak chronić strony, sklepy internetowe i dane dotyczące klientów?
Aby ochronić się przed zagrożeniami, trzeba najpierw zrozumieć, z czym ma się do czynienia. Do tych najdotkliwszych w kontekście sklepów internetowych należą ataki typy SQL Injection oraz XSS, których celem – bez wchodzenia w techniczne szczegóły – może być kradzież lub modyfikacja danych należących do firmy sprzedającej w sieci. W tym przypadku haker może zaszyfrować dane i chcieć wymusić okup w zamian za ich odszyfrowanie lub niepublikowanie.
W świecie online niebezpieczne są także ataki z wykorzystaniem złośliwego oprogramowania. Malware może się bowiem dostać na dysk komputera i zaszyfrować pliki lub śledzić wstukiwane przez nas na klawiaturze treści. Może to doprowadzić do utraty dostępu do ważnych kont, np. w mediach społecznościowych, bo ktoś poznał nasze dane dostępowe.
Człowiek najsłabszym ogniwem każdego systemu zabezpieczeń
Działamy pod wpływem emocji i bywamy zmęczeni, co osłabia naszą koncentrację. Łatwiej wówczas o błąd, taki jak kliknięcie podejrzanego linka czy otwarcie załącznika przesłanego w korespondencji z nieznaną osobą, która podszywa się pod kogoś z naszego otoczenia.
Niebezpieczeństwa mogą dotknąć dowolnego internautę, ale ich konsekwencje będą poważniejsze w przypadku przedsiębiorców. Hakerzy mogą nie tylko uzyskać dostęp do nieodpowiednio zabezpieczonego panelu zarządzania sklepu, ale również baz danych z produktami czy informacjami o klientach, a przecież właśnie to są najcenniejsze zasoby w kontekście każdego sklepu internetowego – podkreśla Eryk Trybulski, CSO, Dyrektor Bezpieczeństwa Informacji w home.pl.
O konsekwencjach zainfekowania ransomware przekonały się już niektóre polskie instytucje samorządowe i placówki medyczne. Atakowane w nich były m.in. serwery przetwarzające dane osobowe. Choć istnieje mnóstwo możliwych wektorów ataku, to zarządzający bezpieczeństwem w pierwszej kolejności sprawdzają:
- bazy danych – ich szyfrowanie i harmonogram wykonywania kopii zapasowych,
- korzystanie z programów antywirusowych (tutaj poznasz sprawdzone antywirusy dla firm),
- wykonywanie aktualizacji oprogramowania oraz audytów i testów bezpieczeństwa.
Zwracanie uwagi na te trzy obszary powiązane z bezpieczeństwem pozwala powstrzymać dużą część niebezpieczeństw, a także zniwelować skutki ewentualnych ataków. Więcej sposobów na zabezpieczenie firmy w internecie poznasz tutaj.
Dostępność za wszelką cenę
Jak wynika z raportu opublikowanego przez Google, szybkość działania witryny decyduje o jakości doświadczenia użytkownika i bezpośrednio przekłada się na przychody. Nieco ponad połowa odwiedzin jest przerywana, gdy czas ładowania strony internetowej trwa dłużej niż 3 sekundy. W przypadku handlu detalicznego każda dodatkowa sekunda wczytywania strony powoduje spadek konwersji o nawet 20 procent. Wolna strona może obniżyć przychody, ale jest jeszcze jedna rzecz, która może je zredukować do zera – niedostępność witryny, a zamiast niej pojawiający się błąd 404, sugerujący, że przeglądarka internetowa nie jest w stanie skomunikować się z serwerem.
Przyczyn takiego stanu rzeczy może być multum, a jedną z nich są ataki komputerów-zombie, czyli botnetów. Jedną ze strategii hakerów jest bowiem budowa armii urządzeń (także tak prostych jak kamery czy czujniki IoT), które wykorzystywane są do przeprowadzania rozproszonego ataku na usługi ofiary, a tym samym uczynienia ich niedostępnymi.
Każdy komputer, a więc także serwer, ma ograniczoną moc obliczeniową. Kiedy zostanie ona wysycona i nie pomoże dołożenie dodatkowej pamięci czy zwiększenie przepustowości łącza albo inne działania, nie pozostaje nic innego, jak wywiesić białą flagę. To w styczniu 2023 roku przydarzyło się duńskim bankom z powodu tak zwanego ataku DDoS – komentuje Eryk Trybulski z home.pl.
Ataki uderzają również w państwową administrację (np. niemiecką , którą w styczniu 2023 roku sparaliżowali Rosjanie) i branżę e-commerce. Na szczęście elastyczne zasoby w chmurze i dostępność technik przeciwdziałających DDoS dały przedsiębiorcom możliwość obrony przed takimi atakami.
Cyberprzestępcy wykorzystują phishing, aby wyłudzić pieniądze od kupujących
2022 rok przyniósł prawdziwy wysyp kampanii oszustów, którzy wykorzystywali SMS-y do wyłudzania pieniędzy lub dostępów. Przestępcy próbowali skłonić nas do dopłaty do rachunku Tauronu lub PGE czy paczki InPostu. Nie było miesiąca, aby policja nie ostrzegała przed nową formą ataku. Wiadomości zawierały najczęściej link do spreparowanej strony, służącej zbieraniu danych.
Pośpiech jest zwykle złym doradcą. Atakujący podszywają się pod firmy kurierskie lub banki, aby wyłudzić dane wrażliwe i zmienić kod dostępu do konta lub wgrać aplikacje do śledzenia naszej aktywności – wyjaśnia Eryk Trybulski, ekspert home.pl
Choć sklepy internetowe nie mogą bezpośrednio zapobiegać takim aktywnościom, to – jako uczestnicy ekosystemu – powinny edukować swoich użytkowników o zagrożeniach i dobrych praktykach (takich jak np. wykorzystywanie dwuskładnikowego uwierzytelniania). Dzięki temu zwiększa się prawdopodobieństwo uniknięcia nie tylko kradzieży tożsamości, ale i nieuprawnionego dostępu do danych i ważnych informacji.
Przetwarzanie danych osobowych, w tym ich przechowywanie regulują przepisy takie jak RODO. Nakładają one m.in. obowiązek ochrony danych użytkowników stron internetowych czy sklepów, dbania i poszanowania ich prywatności oraz gwarantują możliwość skorzystania z przysługujących im praw. Zgodność z przepisami o ochronie danych osobowych jest o tyle ważna, że niestosowanie się do nich może skutkować – obok upomnień i rekomendacji – wysoką karą finansową, bo do 4% całkowitego rocznego obrotu firmy za poprzedni rok.
Bezpieczeństwo prawne. Prowadzenie sklepu internetowego to również wymogi formalne
RODO zobowiązuje m.in. do posiadania polityki prywatności i plików cookies na stronie, nakłada obowiązek informacyjny i wymusza zarządzanie zgodami. Jednak to nie wszystko.
Nie obejdzie się również bez regulaminu, opisującego obowiązki sprzedawcy i prawa przysługujące klientom. Częstym błędem jest kopiowanie jego zapisów z innych sklepów. Samo w sobie jest to nielegalne. Zresztą podmiana nazwy firmy nie sprawi, że regulamin dopasujemy do konkretnego sklepu. Każdy typ działalności czy asortyment ma bowiem własną charakterystykę.
Jeśli sami nie mamy doświadczenia w przygotowywaniu takich dokumentów, lepiej skorzystać z pomocy specjalistów. Na rynku takie wsparcie świadczą m.in. sprawdzeni eksperci home.pl, którzy wśród oferowanych usług mają też instalację certyfikatów SSL i dostosowywanie eSklepu do indywidualnych potrzeb właścicieli biznesów (tutaj zapoznasz się z ich wsparciem).
