Hakerzy kontra e-commerce. Kto powinien się bać? | DailyWeb.pl

Hakerzy kontra e-commerce. Kto powinien się bać?

Opublikowano 3 tygodnie temu - Wpis sponsorowany


Wizja hakerów włamujących się do elektrowni jądrowych bądź zmasowany atak na sektor bankowy przeraża wszystkich. Choć globalny kryzys wywołany cyberatakiem kojarzymy bardziej z filmową fabułą, zagrożenie jest jak najbardziej realne. Część przedsiębiorców wierzy, że hakerzy skupieni na gigantach rynku nie zagrażają ich działalności. Tym samym lekceważą kwestie bezpieczeństwa… a cyberprzestępcy nie zawsze atakują Pentagon i największe marki.

W świetle obowiązujących tendencji właściciele małych e-commerców czy lokalnych firm powinni mieć się na baczności. Jak się okazuje, na ataki (szczególnie te typu distributed denial of service) najbardziej narażone są podmioty z sektora małych i średnich firm. Międzynarodowe korporacje atakowane są rzadziej. Dlaczego? Duże spółki z reguły dysponują zespołem specjalistów ds. bezpieczeństwa IT. W mniejszych organizacjach 66% liderów oprócz obszaru IT odpowiada za finanse, marketing, zasoby ludzkie i rozwój produktu.[1]  Przy takiej kumulacji obowiązków procedury bezpieczeństwa zazwyczaj nie są priorytetem. Oczywiście, nawet najlepiej kompetentny sztab specjalistów i szczegółowo opracowana polityka bezpieczeństwa nie dają 100% gwarancji ochrony. Ułomność cyfrowych zabezpieczeń obnażył choćby szalejący w ubiegłym roku ransomware WannaCry i Petya.

Ataki zagrażają wszystkim… Tobie też!

Z atakami DDoS leaderzy e-commercowego rynku borykają się od lat. Już w 2005 r. mieszkający w Oregonie młody Amerykanin został skazany na 10 lat więzienia za przeprowadzenie ataku DDoS na serwis aukcyjny eBay. Choć Anthony Scott Clark działający pod pseudonimem Volkam przyznał się do winy, jego motywy do dziś nie zostały ujawnione. Cyberprzestępczy świat z jednej strony napędzany jest przez ataki ransomware i duże pieniądze płynące z okupów, z drugiej przez pop kulturalne mity.  Hakerzy urośli do rangi bohaterów kultury masowej. Bywają postrzegani jako geniusze, działający w podziemiach „partyzanci”, toczący walkę z komercjalizacją i partyjnymi układami.

O ironio, również hakerski świat uległ prawom wolnego rynku. Ataki DDoS prowadzone są z różnych powodów – początkowo miały podłoże ideologiczne i polityczne, jednak na przestrzeni ostatnich lat obserwowana jest postępująca „komercjalizacja” tej branży. Grupy przestępcze utrzymują serwisy internetowe, przez specjalistów określone mianem CaaS (crime as a service), które po uiszczeniu niewielkiej opłaty, zazwyczaj nieprzekraczającej kilkunastu dolarów miesięcznie, dają dostęp do botnetów, złożonych z setek tysięcy zainfekowanych komputerów czy urządzeń IoT (np. kamer internetowych). Użytkownik takiego serwisu, właściwie jednym kliknięciem może uruchomić atak, który zdewastuje infrastrukturę teleinformatyczną ofiary – wyjaśnia Przemysław Frasunek, polski haker, znany i aktywny w międzynarodowym środowisku specjalistów ds. bezpieczeństwa IT, także  Dyrektor Działu Systemów Bezpieczeństwa w Atende Software.

Więcej o ochronie Anty DDoS w raporcie: E-commerce w świetle cyberataków.

Szanowny Kliencie, nastąpił wyciek danych

O tym, że dane użytkowników trzeba zabezpieczać przekonał się ostatnimi czasy Uber. Media podają, że firma w ramach pertraktacji z hakerami straciła 100 tysięcy dolarów, płacąc za skasowanie wykradzionych danych. Choć wedle zapewnień, hakerom nie udało się dotrzeć do danych dotyczących kart kredytowych, Uber przez kilkanaście miesięcy tuszował sprawę. W wyniku zaistniałej sytuacji prace straciły 2 osoby odpowiedzialne za kwestie bezpieczeństwa w spółce. Jak przed wyciekiem danych zabezpieczał się Uber nie wiemy, jasne jest natomiast, że każdy przedsiębiorca sprzedający produkty w sieci musi wyposażyć serwis w szyfrowane połączenie. Certyfikat SSL - dziś międzynarodowy standard, wciąż bywa pomijany przez przedstawicieli polskiej branży e-commerce. Taka tendencja nie może utrzymać się jednak długo. Kierunek zmian wyznaczają sami klienci, którzy nie finalizują transakcji na niezabezpieczonych stronach. Protokół HTTPS to same korzyści. Serwisy, które wdrożyły certyfikaty SSL odnotowały wzrost liczby rejestracji nowych użytkowników do 87%.

Plan B, czyli kopiuj w zapasie

O dane klientów i swoje należy dbać na wielu poziomach. Kopia zapasowa to podstawa, bez tego sklep nie może funkcjonować. Choć backup jest pojęciem bardzo ogólnym, dla właścicieli serwisów kluczowym. Prowadząc działalność (a szczególnie sprzedaż) online każda minuta przestoju to realne straty finansowe. W przypadku sklepów internetowych, dużą ilość danych warto składować na odpowiednio przygotowanych do tego serwerach. Istotna jest także cała infrastruktura, w której funkcjonują takie maszyny – przykładowo zaawansowane systemy bezpieczeństwa (UPS-y, agregaty prądotwórcze) pozwalają na stworzenie kopii zapasowej aktualnych danych nawet w przypadku braku zasilania - podkreśla Grzegorz Pawelec z Centrum Danych Kei.pl.

Socjotechnika, inżynier manipulacji w natarciu

Technologia pomaga w walce o bezpieczeństwo danych i systemów IT, ale to czynnik ludzki najczęściej jest punktem decydującym. Hakerzy zajmują się lukami w oprogramowaniu, inwazją na serwery, a także manipulowaniem ludźmi. Socjotechnika to najskuteczniejsza hakerska broń. W branży e-commerce punktów dotarcia do newralgicznych danych jest co najmniej kilka, dlatego edukowanie w kwestii bezpieczeństwa powinno dotyczyć pracowników na każdym szczeblu. Szczególnej uwagi wymaga kwestia korespondowania z klientami. Kampanie phishingowe oparte o atak ransomware, w 70% przypadków rozpowszechniane są za pomocą załączników bądź linków w wiadomości e-mail. Odpowiednio sfabrykowana wiadomość może skutecznie uśpić czujność, co potwierdza eksperyment firmy F-Secure. Aż 52% pracowników kliknęło w złośliwy link z widomości stylizowanej na e-mail z portalu społecznościowego LinkedIn. Cyberprzestępcy liczą właśnie na nieuwagę odbiorcy. Podszywają się pod operatorów telekomunikacyjnych, wyłudzają dane i pieniądze. Sami twórcy oprogramowania antywirusowego podkreślają, jak ważna jest postawa użytkowników. Nowe rodzaje ataków i przechwytywania informacji sprawiają, że producenci programów antywirusowych wprowadzają i nieustannie rozwijają technologie umożliwiające coraz lepsze zabezpieczenie użytkowników. Niestety, nawet najnowocześniejsza technologia nie zastąpi zdrowego rozsądku i w dużej mierze to od nas zależy, na jakie niebezpieczeństwa każdego dnia się narażamy – mówi Mariusz Osiński, inżynier techniczny w Bitdefender.

Obszar e-commerce znajduje się w polu szczególnego ryzyka. Logowanie, płatności, kontakt z kurierem. Na szczęście dzisiejszy e-klient jest coraz bardziej świadomy. Wie, że jego bezpieczeństwo zależy od polityki serwisu. Zwraca uwagę na szyfrowanie danych i przy każdej transakcji szuka symbolu zielonej kłódki. Wypracowanie lojalności klienta to najistotniejsze, choć jednocześnie najtrudniejsze zadanie dla właścicieli sklepów internetowych. Powracający użytkownicy konwertują. Zatem wniosek jest jeden... bezpieczeństwo po prosu się opłaca.

[1] Small & Medium Business Trends Report, Salesforce 2017.


Autorem materiału jest:

Ilona Kuźniarz
Specjalista ds. marketingu
Kei.pl