Cyberbezpieczeństwo w e-commerce. Jak zabezpieczyć sklep internetowy

26.06.2019 AUTOR: Adam Sawicki

Prowadzenie sklepu internetowego nie jest tak proste, na jakie wygląda z zewnątrz. Nie dość, że trzeba zadbać o logistykę, konwersję i klientów, to na dodatek należy wiedzieć, czym jest cyberbezpieczeństwo i jak zabezpieczyć sklep przed hakerami. Dla wielu właścicieli punktów e-commerce cyberbezpieczeństwo może wydawać się na tyle skomplikowane, że w efekcie bagatelizują kwestie bezpieczeństwa – a to niedobrze!

Dlaczego?

Mogą chociażby stracić ciągłość prowadzenia biznesu, gdy haker zablokuje sklepowe serwery, albo narazić swoich klientów, gdy cyberprzestępca ukradnie dane osobowe użytkowników. Ale to nie wszystko, bo istnieje więcej konsekwencji wynikających z zaniechania środków zwiększających cyberbezpieczeństwo. Poznasz je wszystkie, czytając niniejsze kompendium. Dowiesz się także, jak należycie zabezpieczyć sklep.

cyberbezpieczeństwo

Oto punkty, z którymi się zapoznasz:

1. Cyberbezpieczeństwo a płatności i wiarygodność sklepu

1.1. Rodzaje płatności

1.1.1. Przelew za pośrednictwem operatora płatności

1.1.2. Płatność gotówką/wysyłka za pobraniem

1.1.3. Tradycyjny przelew elektroniczny

1.1.4. Płatność kartą

1.1.5. Portfel elektroniczny

1.2. Cyberbezpieczeństwo płatności. Jak je zabezpieczyć?

1.2.1. Certyfikat SSL

1.2.2. Usługa 3D-Secure

1.2.3. Regulamin sklepu

1.2.4. RODO i polityka prywatności

2. Cyberbezpieczeństwo a atak hakera

2.1. Atak hakera a konsekwencje dla sklepu internetowego

3.Cyberbezpieczeństwo. Jak hakerzy atakują sklepy internetowe?

3.1. Phishing

3.2. DDoS

3.3. Spoofing

4. Cyberbezpieczeństwo a negocjacje z hakerem i zapłata okupu5.Jak zadbać o cyberbezpieczeństwo sklepu internetowego?

5.1. Stwórz silne hasło  

5.1.1. Silne hasło, czyli jakie?  

5.1.2. Jak stworzyć silne hasło?

5.1.3. Zasady korzystania z silnych haseł

5.2. Chroń dane jak należy  

5.3. Aktualizuj oprogramowanie

5.4. Uważaj co podłączasz do komputera  

5.5. Nie spuszczaj sprzętu z oka  

5.6. Uważaj na publiczną sieć Wi-Fi

5.7. Edukacja pracowników

5.8. Wykonaj audyty bezpieczeństwa

6.Cyberbezpieczeństwo. Podsumowanie

Artykuł powstał we współpracy z partnerami:

cyberbezpieczeństwo

 

cyberbezpieczeństwo

Cyberbezpieczeństwo a płatności i wiarygodność e-sklepu

Nie ma sprzedaży bez zbudowania zaufania. Chociaż to wyświechtane stwierdzenie, jest prawdziwe. Zarówno w przypadku zakupów w fizycznych sklepach, jak i tych wirtualnych.

Na próżno spodziewać się, że użytkownik dokona transakcji, jeśli odwiedzając sklepową witrynę, poczuje, że coś jest z nią nie tak. Nie do końca nawet musi wiedzieć, co jest nie tak. Wystarczy brak poczucia bezpieczeństwa. Wrażenie. Nuta niepewności i po sprawie. Ja przynajmniej nie dokonałbym zakupów w takim sklepie. Ty pewnie też.

Mimo że w pierwszej chwili możemy nie uświadamiać sobie, dlaczego sklep nie wzbudza w nas zaufania, to mówiąc o cyberbezpieczeństwie w e-commerce, zazwyczaj mamy na myśli płatności. Chcemy mieć wybór, pewność, że są zabezpieczone sprawdzonymi protokołami oraz że właściciel sklepu, mając na uwadze dobro konsumenta, zadbał o aspekty prawne.

Te trzy elementy – rodzaj płatności, formy ich zabezpieczenia i noty prawne – utwierdzają konsumenta w przekonaniu, że warto w danym sklepie złożyć zamówienie. Zajmiemy się więc nimi w niniejszym artykule.

Rodzaje płatności

Klienci sklepów internetowych lubią mieć szeroki wybór. To jasne. Między innymi właśnie po to dokonują transakcji w sieci. Lubią mieć wybór także pod kątem formy dokonywania płatności. Mają też swoją ulubioną formę. Zgodnie z raportem „Gemius dla e-commerce Polska. E-commerce w Polsce 2018” jest nią szybki przelew za pośrednictwem operatora płatności. I od opisu działania tej formy zaczniemy.

  1. Przelew za pośrednictwem operatora płatności

Decydując się na przelew za pośrednictwem operatora płatności, klient loguje się do bankowości elektronicznej i autoryzuje płatności. Zapłata niemal natychmiast trafia na konto sprzedawcy, dzięki czemu sklep od razu może wysłać klientowi zakupiony towar.

Marta Kwiatkowska, Video marketing and PR specialist

To, co odróżnia przelew za pośrednictwem operatora płatności od e-przelewu wykonywanego bez jego udziału to zarówno bezpieczeństwo, jak i różnorodność metod płatności i – co za tym idzie – szybsze zakupy. W praktyce to dzięki operatorowi płatności wdrożonemu na stronie e-sklepu, klient ma możliwość dokonania płatności za pomocą takich metod jak, np. BLIK, portfele elektroniczne (Masterpass) lub Google Pay.

Jak operator płatności działa w praktyce?

Operator płatności dokładnie weryfikuje wszystkie sklepy korzystające z systemu, dzięki czemu kupujący może mieć pewność, że dany sklep naprawdę istnieje, co słusznie wzbudza u niego poczucie bezpieczeństwa. Czy to oznacza, że sklepy niekorzystające z usług operatorów płatności są nieuczciwe? Oczywiście, że nie. Jednak przelewając środki bezpośrednio na konto sprzedawcy, klient nie ma gwarancji, że e-sklep działa uczciwie. Na szczęście w dobie ogromnej popularności e-commerce, sklepy niekorzystające z systemów płatności to rzadkość.

Jeśli jednak na danej witrynie jest coś, co budzi wątpliwości, a dodatkowo sklep nie ma wdrożonego operatora płatności, klientowi zdecydowanie powinna zapalić się czerwona lampka. Może być to sygnał, że witryna nie jest w żaden sposób zweryfikowana, a brak innych metod finalizacji zakupu niż tradycyjny przelew spowoduje, że trudniej będzie im odzyskać pieniądze, gdyby pojawiła się taka potrzeba.

Czy obecność operatora zwalnia użytkownika z zachowania ostrożności? Oczywiście, że nie. Operator płatności to tylko jeden z gwarantów bezpieczeństwa – trzyma on pieczę nad powierzonymi przez klientów pieniędzmi. Zawsze należy pamiętać, by zachowywać zdrowy rozsądek.

Operator płatności przed rozpoczęciem współpracy dokładnie weryfikuje każdy sklep. Mimo to, jako konsument powinieneś zwrócić uwagę także na inne elementy sklepu, takie jak np. adekwatność cen. Przykładowo, jeśli znajdziesz sklep, który oferuje kupno najnowszego modelu iPhone’a za dwa tysiące złotych, wiedz, że może być to próba wyłudzenia pieniędzy.  

Przykładem tego, jak operator płatności może działać na rzecz klienta jest case study Aleshop.pl. Aleshop.pl było e-sklepem, który początkowo zajmował się sprzedażą drobnej elektroniki. Przeszedł weryfikację, bo spełnił wymogi formalne i wywiązywał się z transakcji. Do pewnego momentu. Po paru miesiącach transakcje gwałtownie wzrosły, a sklep zaczął oferować kilkukrotnie droższe produkty.

Pojawiły się pierwsze sygnały wskazujące na to, że sklep jest nieuczciwy. Jako instytucja płatnicza, działająca pod licencją KNF, staramy się na bieżąco monitorować wszystkie sklepy korzystające z naszego systemu. Po nieudanych próbach wyjaśnienia ze sprzedawcą nieprawidłowości, zablokowaliśmy możliwość wypłat właścicielowi sklepu, zabezpieczając i zwracając ponad 500 tys. złotych oszukanym klientom.

cyberbezpieczeństwo

  1. Płatność gotówką/wysyłka za pobraniem

To dwie kolejne najczęściej wykorzystywane metody płatności, po które sięgają klienci sklepów. W obu przypadkach dokonują płatności przy odbiorze przesyłki.

  1. Tradycyjny przelew elektroniczny

Użytkownicy sieci zwykle mają większe zaufanie do banków niż do sklepów, więc często decydują się zapłacić za zamówiony towar tradycyjnym przelewem. Wystarczy umieścić na stronie dane do przelewu, aby klient mógł sfinalizować transakcję. Minusem takiego sposobu płatności jest to, że klient musi poczekać na przesyłkę nieco dłużej, aż kwota zaksięguje się na koncie sklepu.

  1. Płatność kartą

Nieco rzadziej, ale wciąż często klienci sklepów internetowych płacą za zakupy kartami kredytowymi. Proces jest prosty, wygodny i bezpieczny. Wystarczy podać dane z karty, żeby sfinalizować transakcję.

  1. Portfel elektroniczny

Portfel elektroniczny to kolejny wygodny sposób zapłaty za zakupy w sklepie online. Czym dokładnie jest? Jak sama nazwa wskazuje to cyfrowy odpowiednikiem portfela trzymanego w kieszeni. Pozwala zatem dokonywać analogicznych czynności:

  • wkładania i wyciąganie gotówki z portfela – wpłata i wypłata środków,
  • przekazywanie pieniędzy między np. znajomymi – przesyłanie środków między portfelami,
  • trzymanie karty w portfelu – integracja z kartą płatniczą.

Przykładem elektronicznego portfela jest Apple Pay, Masterpass i Google Wallet.

Cyberbezpieczeństwo płatności. Jak je zabezpieczyć?

  1. Certyfikat SSL

Certyfikat SSL (ang. Secure Socket Layer) to standardowy protokół bezpieczeństwa. Służy do nawiązywania zaszyfrowanych połączeń między serwerem a stroną internetową, a co za tym idzie, jego implementacja w sklepie internetowym gwarantuje, że wszystkie dane, z których korzysta sklep, na przykład informacje o karcie kredytowej, zostają zaszyfrowane.

Powinna posiadać go każda strona internetowa, w której użytkownik może zostawić dane.

Rodzaje szyfrowania SSL

Istnieją trzy rodzaje certyfikatów SSL:

  • Certyfikat klasy DV (ang. Domain Validation) – zabezpiecza transmisję danych w obrębie domeny oraz potwierdza jej autentyczność nie podając przy tym informacji o jej właścicielu. SSL DV sprawdzi się w przypadku małych sklepów, niewielkich portali, a także blogów.
  • Certyfikat klasy OV (ang. Organization Validation) – weryfikuje zarówno prawo do posiadania domeny, jak i dane podmiotu zamawiającego certyfikat. To zabezpieczenie szczególnie przydatne większym sklepom i portalom, które dysponują rozbudowanym formularzem, umożliwiającym pozostawienie wrażliwych danych.
  • Certyfikat klasy EV (ang. Extended Validation) – kompleksowo sprawdza dane i tożsamość firmy wnioskującej o wydanie certyfikatu. Jest zabezpieczeniem najwyższego poziomu. Stosują go głównie duże przedsiębiorstwa, na przykład banki. Adres URL witryny z certyfikatem SSL EV wyświetla się na zielono.

Po czym klienci poznają, że zabezpieczyłeś sklepową witrynę certyfikatem SSL?

Wszystkie informacje potrzebne, by stwierdzi, że zabezpieczyłeś sklep szyfrowaniem SSL znajdują się w pasku adresu przeglądarki. O jego posiadaniu świadczą:

  • Adres URL rozpocznie się od „https://„ zamiast „http://
  • W pasku adresu pojawi się ikona kłódki

W jaki sposób możesz uzyskać certyfikat SSL ?

Najłatwiejszym sposobem uzyskania certyfikatu SSL jest jego zakup u dostawcy usług hostingowych. Możesz go również nabyć bezpośrednio u autoryzowanych wystawców. Implementacja protokołu jest niezwykle prosta, bo często wykonuje ją dostawca usługi.

  1. Usługa 3D-Secure

3D-Secure to standardowe zabezpieczenie transakcji dokonywanych w Internecie bez fizycznego użycia karty. Zabezpieczenie polega na dodatkowej autoryzacji transakcji jednorazowym kodem, który klient otrzymuje SMS-em na numer telefonu widniejący w bazie danych banku. Proces przebiega w czterech krokach.

Krok 1. Na stronie sklepu w formularzu wprowadzasz dane karty kredytowej.

Krok 2. Otrzymujesz na telefon kod 3D-Secure.

Krok 3. Wprowadzasz otrzymany kod do formularza na stronie sklepu.

Krok 4. Bank autoryzuje transakcję.

Po czym klienci poznają, że zabezpieczyłeś sklepową witrynę usługą 3D-Secure?

Podobnie, jak w przypadku certyfikatu SSL, klienci niemal od razu mogą stwierdzić, że zabezpieczyłeś płatności w sklepie. Wystarczy, że zobaczą na stronie logotypy „MasterCard SecureCode” lub „Verified by VISA”.

  1. Regulamin sklepu

O regulaminie w sklepie internetowym rozmawiam z Mają Feliksiak, która odpowiada za działania prawne w Tpay.

cyberbezpieczeństwo

Maja Feliksiak – absolwentka Uniwersytetu im. Adama Mickiewicza w Poznaniu. Prawnik – administratywista z tytułem zawodowym radcy prawnego. Od ponad dwóch lat związana z marką Tpay, początkowo jako Marketing and PR Specialist obecnie na stanowisku Legal and Compliance Counsel.

Dlaczego sklepy internetowe potrzebują regulaminów?

To nie kwestia potrzeby, ale obowiązku wynikającego z ustawy o świadczeniu usług drogą elektroniczną. Wspomniana ustawa określa, jakie zapisy powinny znaleźć się w regulaminie, jaka jest właściwa forma jego zapisu oraz z jakimi konsekwencjami musi się liczyć sklep w przypadku nieudostępnienia regulaminu konsumentom.

Regulamin sklepu internetowego to podstawa regulująca treść stosunku prawnego łączącego strony umowy o świadczenie usług drogą elektroniczną. Jeśli usługodawca (sprzedawca) nie określi regulaminu świadczenia usług drogą elektroniczną i nie udostępni tych postanowień usługobiorcy (kupującemu) przed zawarciem umowy o świadczenie takich usług, to kupujący nie będzie związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione we właściwy sposób, co może być szkodliwe dla sklepu.

Ponadto postanowienia regulaminu w relacji sprzedawca-konsument podlegają kontroli sądowej, która ocenia, czy wspomniane postanowienia nie są niedozwolonymi postanowieniami umownymi (znajdziesz je tutaj). Sąd stwierdza, czy treść dokumentu jest zgodna z prawem oraz bada, czy postanowienia regulaminu nie kształtują praw i obowiązków konsumenta w sprzeczny sposób z dobrymi obyczajami, rażąco naruszający jego interesy.

Zaniechanie wykonania obowiązków dotyczących regulaminu może też zostać uznane decyzją Prezesa Urzędu Ochrony Konkurencji i Konsumenta za praktykę naruszającą zbiorowe interesy konsumentów. Takie decyzje zapadały w przeszłości.

Jak właściciel sklepu internetowego może zabezpieczyć sklep przed prawnymi konsekwencjami kradzieży danych?

Najlepiej stosując się do wymogów wynikających z rozporządzenia o ochronie danych osobowych (RODO), zwłaszcza w zakresie zasad dotyczących przetwarzania danych, przestrzegania praw osób, których dane dotyczą i wypełniania obowiązków nałożonych przez RODO na administratorów danych oraz obowiązków w zakresie bezpieczeństwa danych osobowych.   

Jeśli dojdzie do naruszenia i na przykład ze sklepu wyciekną wspomniane dane, jego właściciel będący administratorem danych osobowych ma obowiązek w odpowiednim czasie po takim zdarzeniu zawiadomić Prezesa Urzędu Ochrony Danych Osobowych, że doszło do naruszenia oraz wyjaśnić, że spełnił wszystkie wymogi wynikające z RODO i że odpowiednio zabezpieczył sklep.

Dodatkowo jeżeli naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw klientów, sprzedawca zobowiązany jest także poinformować klientów o takim zajściu.

Trzeba pamiętać, że każdy sprzedawca, który uczestniczy w przetwarzaniu danych osobowych, odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO. Oprócz odszkodowania, którego może dochodzić konsument na drodze postępowania sądowego, ciąży nad nim ewentualna kara przyznawana przez Prezesa Urzędu Ochrony Danych Osobowych.

Jedynym sposobem, aby właściciel sklepu, będący administratorem danych swoich klientów, uwolnił się od odpowiedzialności odszkodowawczej jest udowodnienie, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.  

Jakie zapisy regulaminu świadczą, że sklep chroni interesy konsumentów?

Po pierwsze właściciel sklepu powinien udostępnić regulamin w odpowiednim formacie. Oznacza to, że należy go umieścić na stronie w widoczny sposób oraz umożliwić użytkownikowi odczytania jego treści bez konieczności sięgania po dodatkowe oprogramowanie.

Jeśli świadomy konsument widzi, że w regulaminie określono warunki świadczenia usług drogą elektroniczną, warunki zawarcia i rozwiązania umowy oraz określono stosowane przez sklep internetowy wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, a także dodano informacje dotyczące postępowania reklamacyjnego, warunków i terminów zwrotów oraz dostępnych metodach płatności ze wskazaniem zaufanego operatora tych płatności, może mieć zaufanie do takiego sklepu i dokonać zakupu.

Ważnym punktem regulaminu jest również gwarancja, czyli oświadczenie, które określa obowiązki gwaranta i uprawnienia kupującego. Gwarancja powinna w jasny i zrozumiały sposób określać warunki wykonania uprawnień z gwarancji, wskazywać adres gwaranta, regulować kwestie dotyczące przysługujących uprawnień oraz czas i zasięg terytorialny ochrony gwarancyjnej.

Jeśli gwarancja nie określa terminu, na jaki została udzielona, wiemy z przepisów, że są to dwa lata licząc od dnia kiedy rzecz została kupującemu wydana. Chcąc dowiedzieć się, co konkretnie powinno znaleźć się w gwarancji, warto zajrzeć do artykułu 5771 Kodeksu Cywilnego.

Innym źródłem ochrony interesów konsumenta jest realizacja jego uprawnień wynikających z rękojmi, która zawsze jest związana z odpowiedzialnością sprzedawcy. Sprzedawca odpowiada z tytułu rękojmi, jeżeli wady fizyczne rzeczy zostały stwierdzone przed upływem dwóch lat od dnia wydania rzeczy kupującemu. Na gruncie rękojmi kupujący może żądać od sprzedawcy wymiany wadliwego towaru, usunięcia wady, obniżenia ceny albo odstąpić do umowy. Warto podkreślić, że udzielenie gwarancji nie wyłącza uprawnień kupującego z tytułu rękojmi.

  1. RODO i polityka prywatności

Od maja 2018 roku obowiązuje nowe rozporządzenie o ochronie danych osobowych (RODO), które nakłada między innymi na właścicieli sklepów internetowych szereg obowiązków związanych z gromadzeniem, przetwarzaniem i ochroną danych osobowych.

Zgodnie z przepisami RODO przedsiębiorcy nie tylko muszą poinformować klientów, jakie dane osobowe gromadzą, jak je przetwarzają i po co to robią, ale także muszą zapewnić możliwość uzyskania dostępu do zebranych informacji, ich usunięcia i zmiany. Wymaga to od właścicieli sklepów opracowania odpowiednich procedur i umieszczenia na sklepowej witrynie szeregu informacji. Doskonale nadaje się do tego dokument zwany polityką prywatności.

Polityka prywatności

Polityka prywatności to ważny dokument, który może świadczyć o tym, że właściciel sklepu internetowego faktycznie dba o cyberbezpieczeństwo i o dane osobowe klientów. To także dokument, dzięki któremu administrator strony może spełnić obowiązek informacyjny wynikającego z przepisów RODO. Co konkretnie powinna zawierać polityka prywatności?

To zależy między innymi od tego, jakie dane przetwarza sklep, po co to robi i czy profiluje użytkowników. Niemniej polityka prywatności każdego sklepu powinna zawierać podobne punkty. Rafał Stępniewski, prezes zarządu Rzetelna Grupa, mówi, że wspomniane punkty określa art. 13 Rozporządzenia RODO.

Oto one:

  1. Tożsamość i dane kontaktowe administratora danych osobowych.
  2. Dane kontaktowe inspektora ochrony danych (jeśli został wyznaczony).
  3. Cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania.
  4. Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f), prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią.
  5. Informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.
  6. Gdy ma to zastosowanie, informację o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
  8. Informację o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
  9. Jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  10. Informację o prawie wniesienia skargi do organu nadzorczego.
  11. Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
  12. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Polityka prywatności spełnia przede wszystkim funkcję informacyjną. Powinna więc zostać skonstruowana w przejrzysty i zrozumiały sposób oraz opisywać wspomniane informacje prostym językiem. I chociaż możesz sporządzić politykę prywatności samodzielnie, lepiej jednak sięgnąć po pomoc prawnika.

cyberbezpieczeństwo

Cyberbezpieczeństwo a atak hakera

Na początku grudnia ubiegłego roku sklep internetowy morele.net przyznał się do wycieku danych. Okazało się wówczas, że hakerzy wykradli bazę zawierającą adresy e-mail, numery telefonów, imiona i nazwiska oraz zahashowane hasła 2,5 miliona klientów sklepu.

Zanim jednak sprawa wyszła na jaw, hakerzy przynajmniej przez miesiąc mogli atakować klientów morele.net podszywając się pod sklep, czego dokonywali w wiarygodny sposób.

Jak to wyglądało? Po dokonaniu zakupu klient otrzymywał SMS-a od oszustów z prośbą o natychmiastową dopłatę złotówki do zamówienia. Klikał link prowadzący do podstawionej strony Dotpay, wybierał bank, z którego chciał przelać pieniądze, zostawiał loginy i hasło, a finalizując transakcję, potwierdzał dodanie oszusta do listy zaufanych odbiorców.

Od tamtej pory hakerzy mogli swobodnie czyścić konto ofiary.

Na domiar złego opublikowali bazę danych w sieci, bo nie dogadali się z właścicielami sklepu. Zażądali początkowo 15 bitconów, czyli jakieś 225 tys. złotych, w zamian za wyciszenie sprawy i załatanie dziur w systemie zabezpieczeń. Przedstawiciele morele.net grali na zwłokę, dodali kod śledzący do wiadomości, który oszust wykrył, i w końcu zaproponowali hakerowi pracę, którą odrzucił.

Obecnie sprawę bada Urząd Ochrony Danych Osobowych, by ocenić, czy w obliczu ataku morele.net postąpiło zgodnie z przepisami prawa. Niezależnie od wyniku śledztwa wiemy, że sklep internetowy stracił zaufanie części klientów. Od grudnia minionego roku do dziś morele.net. zaliczyło ponad 6-procentowy spadek ruchu, z blisko 12 milionów odwiedzin miesięcznie do ponad 8,5 miliona.

Być może uważasz, że morele.net to duży sklep internetowy, więc taki atak miał sens, i że ciebie nie spotka nic podobnego. No bo kto u licha zaatakuje niewielkie sklep? Prawda?

Otóż nieprawda.

Ofiarą cyberprzestępców może być każdy. Co więcej, sklepy online, platformy internetowe i różnej maści strony zlokalizowane w Polsce znajdują się na niechlubnej liście najczęściej atakowanych witryn. Skala zjawiska jest ogromna, bo tylko wczoraj (17.05.2019 r.) przeprowadzono aż 29 milionów ataków na całym świecie. Mapę ataków (z relacją na żywo) znajdziesz tutaj.

Nie powinieneś więc bagatelizować problemu, tym bardziej, że do ciebie, jako właściciela sklepu internetowego i administratora danych osobowych, należy obowiązek zadbania o cyberbezpieczeństwo i bezpieczeństwo danych osobowych użytkowników. Niewypełnienie tego obowiązku wiąże się z przykrymi konsekwencjami. Przekonał się o tym chociażby amerykański serwis randkowy Ashley Madison, z którego serwerów wyciekły dane 37 milionów użytkowników.

Atak hakera a konsekwencje dla sklepu internetowego

Czeka cię pozew – wśród danych, które hakerzy z grupy Impact Team ukradli z serwerów Ashley Madison w 2015 roku, należały między innymi informacje o imionach i nazwiskach, loginach i siedmioletniej historii transakcji dokonywanych kartami kredytowymi, a także inne kompromitujące informacje (Ashley Madison był wówczas serwisem dla „niewiernych partnerów”). Użytkownicy, wściekli tym „incydentem”, złożyli pozew zbiorowy w sądzie w Los Angeles przeciwko właścicielom serwisu i zarzucili im naruszenie zasad prywatności.

Tydzień później wpłynął kolejny pozew przeciwko przedsiębiorstwu. Tym razem domagano się odszkodowania w wysokości 760 milionów dolarów. Spółka nie mając wyboru, poszła na ugodę i zdecydowała się wypłacić ofiarom odszkodowanie o łącznej wartości ponad 11 milionów dolarów.

Rebranding i gaszenie pożarów – historia Ashley Madison nie skończyła się jednak na wypłacie odszkodowania poszkodowanym. Spółka przeszła gruntowy rebranding, zmieniła dotychczasowe hasło portalu „Życie jest krótkie. Pozwól sobie na romans” na „Żyj chwilą” i od tamtej pory stara się odciąć od wizerunku „portalu dla niewiernych” – między innymi to było jednym z powodów ataków.

Czy gdyby nie ten „incydent”, Ashley Madison zerwałoby ze swoim dotychczasowym wizerunkiem? Prawdopodobnie nie. Rebranding to kosztowny proces, który wymaga zaangażowania środków finansowych i zasobów ludzkich. A można przecież wykorzystać te pieniądze i tych ludzi do osiągnięcia innych, biznesowych celi.

Niech więc historia Ashley Madison będzie przestrogą dla nas wszystkich.

Pozycja w wynikach wyszukiwania – działając w e-commerce zapewne wiesz, jak duże znaczenie ma wysoka pozycja w wynikach wyszukiwania Google. Dzięki temu, że jesteś obecny na pierwszej stronie, generujesz ruch organiczny i zwiększasz szansę na zakup.

Ale czy wiesz, że hakerzy mogą pozbawić cię wysokiej pozycji w wynikach wyszukiwania Google? Okazuje się bowiem, że niemal każdego tygodnia Google blokuje około 20 tys. stron zainfekowanych przez malware i 50 tys. podejrzanych o phishing. Część z nich trafia nawet na tzw. „czarną listę” i traci szansę na uzyskanie certyfikatu SSL. Bez certyfikatu SSL zapomnij o wysokiej pozycji w wynikach wyszukiwania.

Ruch direct – powiedzmy, że miesiąc temu jeden z klientów polecił twój sklep internetowy swojemu znajomemu. W międzyczasie hakerzy zaatakowali sklep i zainfekowali witrynę, pod którą sklep widnieje. Co Google zrobi w takiej sytuacji? Wyświetli komunikat o treści „Ta witryna mogła paść ofiarą ataku hakerów”. Ma być to ostrzeżenie dla użytkowników przed odwiedzeniem podejrzanej witryny, która zamiast zadziałać poprawnie, być może przekieruje ich do spamu albo złośliwego oprogramowania.

Czy znajomy klienta zaryzykuje i odwiedzi stronę twojego e-sklepu? Stwierdzi raczej, że buty lub cokolwiek innego może kupić gdziekolwiek indziej w sieci. I będzie mieć rację! Dla rabatu, marki lub rekomendacji nie warto narażać własnego bezpieczeństwa.

Kontrola nad stroną i serwerem – hakerzy atakują sklepy online z rozmaitych powodów i na wiele sposobów. Bywa, że przejmują kontrolę nad całym sklepem albo wyświetlają na jego witrynie kompromitujący komunikat, na przykład publikują pornografię.

Oba przypadki są problematyczne, bo:

  • po pierwsze nie mając dostępu do serwera, nie obsłużysz własnego sklepu internetowego, nie wprowadzisz zmian w katalogach i nie zrealizujesz zamówień. Słowem: biznes stanie, będziesz uziemiony.
  • po drugie użytkownik, który zobaczy na stronie podejrzany komunikat zamiast oferty, dwa razy się zastanowi zanim zostawi w sklepie swój adres e-mail i numer karty kredytowej.
  • po trzecie prawdopodobnie dostaniesz ofertę okupu. Nigdy nie jest to komfortowa sytuacja i nigdy nie wygrywasz. Jeśli nie zapłacisz, haker być może wyrządzi większe szkody (na przykład opublikuje skradzioną bazę danych). Zapłacisz, to stracisz pieniądze i wciąż nie będziesz mieć pewności, że oszust odpuści.

Na jakie więc zagrożenia ze strony cyberprzestępców powinieneś być uczulony? Jak je rozpoznać i jak się przed nimi bronić? Odpowiedzi na te pytania, znajdziesz w następnej sekcji artykułu.

3.Cyberbezpieczeństwo. Jak hakerzy atakują sklepy internetowe?

Internetowi przestępcy atakują e-sklepy, bo te zwykle dysponują ogromną bazą danych. Przechowują przecież dane personalne klientów, informacje dotyczące kart kredytowych i historię transakcji. Wiedzą również, z jakich systemów operacyjnych, urządzeń i przeglądarek korzystają ich klienci, a dla cyberoszusta to ważne informacje, bo dzięki nim może cię szantażować, żądać okupu albo zaatakować twoich klientów.

Ataki przybierają różne formy. Oto 3 rodzaje, które są niezwykle popularne i skuteczne:

Phishing

Phishing to przebiegła forma cyberataku, bo haker bazuje na twoich emocjach i zaufaniu do znajomych ci osób lub instytucji, z którymi utrzymujesz kontakt (bank, Urząd Skarbowy, dostawca usług telekomunikacyjnych lub kontrahent), aby pozyskać wrażliwe dane (numer konta lub karty kredytowej, hasła i loginy itp.). Hakerzy wykorzystują do phishingu głównie pocztę elektroniczną lub popularne komunikatory tekstowe.

Jak działa phishing?

Scenariusz może wyglądać tak. Dostajesz maila od „kontrahenta” z prośbą o uregulowanie nieopłaconej faktury. W treści wiadomości znajdujesz link kierujący do dostawcy płatności internetowych. Klikasz odnośnik i trafiasz na stronę łudząco podobną do witryny operatora płatniczego. Uzupełniasz dane w formularzu i… jesteś w kropce. Haker przejął hasło i login do twojego konta bankowego. Teraz może je wyczyścić.

Jak rozpoznać phishing?

Phishing stosunkowo łatwo rozpoznać. Oto pięć punktów, na które powinieneś zwrócić uwagę otrzymując wiadomość mailową lub nadaną za pośrednictwem komunikatora:

  • Literówki i alarmujący ton wiadomości – wiadomości, których celem jest wyłudzenie danych mają wspólny mianownik: często są pisane niedbale. Mają błędy gramatyczne i literówki, bo na przykład to tłumaczenia z obcego języka. Pisane są też alarmującym, emocjonalnym stylem. Jeśli dostałeś właśnie taką wiadomość, miej się na baczności.
  • Zasadność wiadomości – czy na pewno nie opłaciłeś faktury? czy bank faktycznie chce, byś „teraz”, „w tym momencie” zmienił hasło? Zastanów się. Jeśli prośba wydaje się pozbawiona uzasadnienia, możesz mieć do czynienia z phishingiem.
  • Adres nadawcy – sprawdź, od kogo dostałeś wiadomość. Jeśli w adresie e-mail zobaczysz literówki albo nazwa domeny będzie inna niż domena usługodawcy, możesz być pewien, że to phishing.  
  • Błędy w linku – zamiast klikać link, podejrzyj adres URL. Być może zawiera literówki albo nie zawiera protokołu SSL (https://). Jeśli tak, to podstęp.

Phishing a prewencja. Checklista

  1. Nie reaguj na linki zamieszczane w niechcianych mailach lub wiadomościach nadsyłanych za pośrednictwem komunikatorów lub na Facebooku.
  2. Nie otwieraj załączników z niechcianych wiadomości mailowych.
  3. Twórz silne hasła i nie ujawniaj ich nikomu.
  4. Sprawdzaj URL stron.
  5. Aktualizuj przeglądarkę.

DDoS

DDoS to ataki, które mają sprawić, że zaatakowana strona przestaje działać poprawnie lub w ogóle. Ofiarami DDoS najczęściej są duże podmioty, takie jak rządowe portale, banki lub korporacje. Cyberprzestępcy nie próbują za pomocą DDoS zarobić, ale jedynie zniszczyć lub umniejszyć wiarygodność zaatakowanej strony, portalu lub platformy.

Jak działa DDoS?

Podczas ataku DDoS hakerzy bombardują wybrany adres IP ogromną ilością danych (ruchu sieciowego), którego szeroki strumień ma źródło w zainfekowanych komputerach połączonych w sieć botnet. Nadmierna ilość ruchu powoduje przeciążenie infrastruktury IT, przez co dochodzi do „wyłączenia” zaatakowanej strony.

Jak rozpoznać atak DDoS?

Atak DDoS jest stosunkowo łatwy do wykrycia. Jeśli spostrzeżesz, że twój sklep online od tygodnia lub miesiąca jest zalewany ruchem, co powoduje, że klienci nie mogą wcale lub w pełni korzystać ze sklepowej strony, prawdopodobnie masz do czynienia z atakiem DDoS.

Atak DDoS a prewencja. Checklista

Mimo że łatwo wykryć atak DDoS, to trudno mu zapobiec. Poniżej znajdziesz pięć kroków, które sprawią, że twój sklep internetowy będzie bardziej bezpieczny:

  1. Wiedz, jaki ruch zwykle generuje sklep. To kluczowa wiedza, bo pozwala już na wczesnym etapie wykryć, że masz do czynienia z atakiem DDoS, który zazwyczaj charakteryzuje się gwałtownym skokiem natężenia danych. Monitoruj i porównuj statystyki sklepu, żebyś mógł szybko reagować na zagrożenie.
  2. Zadbaj o nadmierną przepustowość. – Jasne, ale to i tak nie uchroni mnie przed atakiem – powiesz. Prawda, nie uchroni, ale „kupi” czas potrzebny na reakcję. W innym razie serwer padnie, biznes stanie, a klienci nie dostaną się na sklepową witrynę.
  3. Nie trzymaj wszystkich usług na jednym serwerze. Jeśli system CRM, pocztę elektroniczną i witrynę sklepu trzymasz na jednym serwerze, to zgadnij co się stanie, gdy serwer przestanie odpowiadać? Każdy z tych systemów przestanie działać. Biorąc to pod uwagę, lepiej trzymać wybrane systemy na różnych serwerach.
  4. Korzystaj z CDN. A co to takiego? Usługa, która sprawi, że klient zawsze połączy się z najbliższym geograficznie serwerem. Oznacza to, że użytkownik sklepu z Polski połączy się z serwerem znajdującym się w Polsce, Japończyk natomiast z serwerem mieszczącym się na terenie Japonii. Dzięki temu, gdy dojdzie do ataku DDoS, ruch rozłoży się na kilka serwerów zamiast uderzyć bezpośrednio w jeden.
  5. Miej plan na wypadek ataku. Jednym z rozwiązań jest nawiązanie współpracy z firmą, która wykorzystując protokół BGP, rozładuje ruch na przeciążonych serwerach.

Spoofing

Kojarzysz metodę na wnuczka lub policjanta? Spoofing działa na podobnej zasadzie, bo wykorzystuje ten sam mechanizm: przestępca podszywa się pod zaufaną osobę lub firmę, żeby wyłudzić od ofiary pieniądze, wykraść wrażliwe informacje albo na przykład zyskać dostęp do prywatnego lub firmowego konta bankowego.

Jak działa Spoofing?

Na pierwszy rzut oka Spoofing działa na tej samej zasadzie, co phishing, bo jednym ze sposobów oszustwa jest wysłanie do ofiary wiadomości e-mail, która wygląda jak mail nadany przez zaufaną osobę. Nie jest to jednak jedyna metoda spoofingu, bo hakerzy próbują oszukać nie tylko użytkowników sieci, ale też infrastrukturę IT. Wszystko po, by ominąć wszelkie zabezpieczenia stosowane przez administratora w sieci wewnętrznej.

Do tych „innych” metod spoofingu należy:

  • Spoofing DNS – oszust wysyła na serwer DNS ofiary fałszywy pakiet danych, który powoduje „połączenie” wskazanej przez hakera domeny z innym adresem IP. Po wejściu na przejętą stronę, użytkownik zostanie przeniesiony na jej fałszywą wersję. Wszystkie dane jakie tam zostawi, trafią w ręce cyberprzestępców.
  • Spoofing IP –  atak polega na wykorzystaniu przesyłanego przez urządzenia ofiary pakietu sieciowego do sfałszowaniu bazowego adresu IP. Dzięki temu haker może ukryć swoją tożsamość, wejść w posiadanie informacji o ofierze, podszyć się pod jej współpracownika i przejąć kontrolę nad siecią.
  • Spoofing ARP – wykorzystując tę metodę oszust rozsyła wewnątrz sieci lokalnej zmodyfikowane pakiety protokołów ARP, co powoduje, że dane przesyłane między komputerami ofiary zamiast trafić do adresata, trafiają na urządzenie hakera.

Jak rozpoznać Spoofing?

O ile rozpoznanie fałszywej wiadomości mailowej jest stosunkowo proste, to nie można powiedzieć tego samego o pozostałych trzech wariantach Spoofingu. Jeśli więc nie masz pewności, czy zaufana strona internetowa faktycznie jest tą witryną, za którą się podaje lub adresat maila odpisuje na wiadomość w nienaturalny sposób, zastanów się. Być może masz do czynienia ze Spoofingiem.

Spoofing a prewencja. Checklista

  1. Nie odpowiadaj na e-maile z pytaniami o dane dostępowe.
  2. Stosuj jednorazowe hasła.
  3. Korzystaj z uwierzytelnienia wieloetapowego.
  4. Sprawdzaj dokładnie, czy adres nadawcy nie jest podejrzany.
  5. Zwracaj uwagę, czy zaufane strony internetowe nie wyglądają dziwnie.
  6. Korzystaj z kryptograficznych zabezpieczeń i skomplikowanych numerów TCP/IP.
  7. Korzystaj z sieci VPN.

Jarosław Growin, co-founder and CTO Tpay

Możliwych wektorów ataków jest tyle, co różnego rodzaju oprogramowań. W celu zabezpieczenia danego systemu, zdecydowanie polecam skorzystać z usług profesjonalistów, zajmujących się danym obszarem, ponieważ każda technologia jest podatna na inne zagrożenia, które trzeba zabezpieczyć.

Należy pamiętać, że atakujący też są ludźmi, więc rozpoczynają od najłatwiejszych i kończą na najbardziej zaawansowanych sposobach.

Większość atakujących rozpoczyna od prostego wysłania zainfekowanego załącznika do osoby mającej dostęp do odpowiednich systemów, który uruchamia szkodliwe oprogramowanie umożliwiające dostęp do komputera atakowanego.   

Cyberbezpieczeństwo a negocjacje z hakerem i zapłata okupu

Musisz być świadomy: nie unikniesz wszystkich ataków. Pytanie, co zrobisz, gdy haker przedrze się przez infrastrukturę, ukradnie dane i zażąda okupu? Zgodzisz się i zapłacisz, czy odmówisz? Co bardziej się opłaca? Zapytałem o to Dawida Bałuta, senior security consultanta w TestArmy.

cyberbezpieczeństwo

Dawid Bałut – przez 5 lat badał systemy bezpieczeństwa w firmach takich jak Apple, Amazon czy Facebook oraz przez 6 lat pracował jako architekt bezpieczeństwa dla korporacji z Doliny Krzemowej. Gdy nie pracuje, to dzieli się wiedzą tworząc: bloga, podcast, występując publicznie oraz będąc wykładowcą uniwersyteckim. Jego gościnne artykuły ukazywały się m. in. w Forbesie, Apple News, HackerNoon, 2600 Security Magazine, Australian Cyber Security Magazine a w 2018 roku wydał książkę dotyczącą skutecznego zarządzania bezpieczeństwem w dojrzałych organizacjach technologicznych.

Cyberprzestępca zażądał okupu. Przystać na propozycję, czy nie?

Żeby w ogóle myśleć o zapłaceniu okupu, najpierw trzeba sprawdzić, czy cyberprzestępca faktycznie przeprowadził skuteczny atak. Zdarza się bowiem, że cyberprzestępca żąda okupu i grozi upublicznieniem „skradzionej” bazy danych, nawet gdy nie przeprowadził próby ataku.

Dzieje się tak dlatego, że na przykład zebrał sporo informacji o ofierze i zorientował się, że właściciel sklepu internetowego nie przykłada szczególnej uwagi do bezpieczeństwa, więc wysłał wiadomość z informacją o złamaniu zabezpieczeń i wydobyciu danych. Tak działają cyberprzestępcy na całym świecie, a nieświadomi użytkownicy sieci wpadają w pułapkę.

Skoro nie masz bladego pojęcia, jak prawidłowo zabezpieczyć sklep, to nie poznasz także, czy faktycznie doszło do ataku. Cyberprzestępcy mają tę świadomość i z niej korzystają.

Jak więc sprawdzić, czy sklep został zaatakowany?

Powiedzmy, że otrzymałeś wiadomość od cyberprzestępcy z żądaniem okupu.

Najpierw musisz zweryfikować, co to za typ wiadomości. Bardzo często zdarza się, że ofiary cyberprzestępców otrzymują zautomatyzowane maile, które haker jednocześnie wysłał do tysięcy osób. Taka wiadomość oprócz informacji o żądaniu okupu i groźbie upublicznienia skradzionej bazy danych zwykle zawiera informacje o właścicielu sklepu.

Skopiuj więc fragment wiadomości i wklej treść w okno wyszukiwarki. Może się okazać, że trafisz na forum, gdzie kilkaset osób skarży się, że otrzymało podobnego maila. Wówczas wiesz, że to nie atak, ale próba wyłudzenia. Jeśli jednak przeczytasz na specjalistycznym forum, że grasuje w sieci grupa cyberprzestępców i podejrzewasz, że zostałeś zaatakowany, lepiej skontaktować się z firmą zajmującą się cyberbezpieczeństwem i audytem systemów IT.

Warto też rzucić okiem na logi serwera. Jeśli zobaczysz, że w ciągu minuty próbowano 10 tysięcy razy zalogować się do konta administratora lub innego użytkownika, powinieneś czuć się zaniepokojony. Zwykle, gdy administrator lub pracownik sklepu wprowadza dane do logowania i się myli, to robi to raz lub dwa razy. 10 tysięcy prób z 30 różnych adresów IP to potencjalny atak. Nie wolno go ignorować. Nie wiemy, czy atak się powtórzy, ani też, czy ucichł, bo cyberprzestępca w końcu złamał zabezpieczenia i wszedł w posiadanie danych.

Jeśli korzystasz z SaaS-owych narzędzi klasy enterprise, na przykład ze Slacka, to sporo z nich samodzielnie wykrywa pewne anomalia i informuje cię o nich. Sprawdź więc, czy w ostatnim czasie nie pojawiły się niepokojące alerty. Zweryfikuj również logi PHP, Apache i SSH oraz błędy systemowe, które wykrył system serwerowy.

Jeśli wiesz, że serwer został zainfekowany, masz namacalny dowód, że doszło do ataku, wówczas możesz zastanowić się, czy warto płacić okupu.

Warto więc, czy?

To zależy, chociaż generalna rekomendacja brzmi nie. Nie negocjuje się z terrorystami przecież. Ale to teoria. W praktyce należy zadać sobie pytanie, czy biznes poradzi sobie, jeśli nie zapłacę okupu?

Wielokrotnie dochodziłem do wniosku z klientami, że jednak trzeba zapłacić, bo inaczej nie odzyskamy klucza deszyfrującego bazę danych. Dlaczego? Bo klient nie pomyślał nawet, by zrobić backup infrastruktury i sprawdzić, czy kopie bezpieczeństwa działają jak należy.

Jeśli więc faktycznie straciłeś dostęp do sklepu i nie możesz odzyskać infrastruktury, zadaj sobie pytanie, ile będzie cię kosztować zawieszenie biznesu i starta danych i porównaj ten koszt z kwotą, którą żąda cyberprzestępca. Jeśli wartość okupu wynosi 2000 złotych, a odzyskiwanie danych 20 tysięcy złotych, to bardzo często opłaci się wejść w układ z cyberprzestępcą.

Niemniej płacąc okup, musisz zrobić coś jeszcze: skonsultować się z firmą specjalizującą się w tego typu zagadnieniach. Trzeba bowiem przeprowadzić analizę po włamaniową oraz określić, jak cyberprzestępca złamał zabezpieczenia i zabezpieczeń sklepu na przyszłość, podnosząc tym samym koszty kolejnego potencjalnego włamania.

Co można zrobić, by podnieść te koszty?

Można zintegrować się z platformą typu CloudFlare, która przefiltruje treści trafiające na witrynę sklepu. Na froncie pojawi się firewall, który wykryje niektóre próby ataku i odrzuci ruch z krajów, w których nie prowadzisz biznesu. Oznacza to tyle, że jeśli zarejestrowałeś sklep w Polsce i nie spodziewasz się klientów na przykład z Chin lub z Rosji, ruch z tych krajów nie trafi na twoją stronę i w ten sposób utrudnisz oszustowi prowadzenie ataku.

Możesz podnieść cyberbezpieczeństwo e-sklepu przeprowadzając testy penetracyjnym, które polegają na kontrolowanych atakach. Ich celem jest wykrycie luk w infrastrukturze. Możesz też wprowadzić mechanizmy typu CAPTCHA lub dwuskładnikowe uwierzytelnienie oraz upewnić się, że zainstalowałeś na serwerze oprogramowanie antywirusowe. To wszystko spowolni próbę ataku i zniechęci cyberprzestępcę. Nie należy jednak poprzestawać na tym.

Co jeszcze mogę zrobić?

Upewnić się, że masz utwardzone środowisko infrastruktury sieciowej i nadane dostępy tylko tym osobom, które faktycznie ich potrzebują. Ograniczając w ten sposób dostęp do infrastruktury zminimalizujesz szansę na „głęboki” atak, to znaczy cyberprzestępca być może złamie zabezpieczenia do konta użytkownika, ale nie spenetruje całej infrastruktury IT.

Powinieneś też szyfrować dane i posiadać procedury odzyskiwania danych. Wiedzieć, jak i kiedy przeprowadzane są backupy oraz weryfikować, czy kopie bezpieczeństwa zapisały się w prawidłowy sposób.

Mimo stosowania tych zabezpieczeń wciąż należy mieć świadomość, że atak może się udać, bo na przykład pracownik nie zabezpieczył komputera lub nie zastosował się do procedur bezpieczeństwa i w efekcie jego urządzenie zostało zainfekowane.

Jak więc skutecznie zabezpieczyć komputer?

Podstawą jest antywirus. Jeśli ktoś nie zainstalował antywirusa na sprzęcie, nie możemy w ogóle mówić o żadnych innych zabezpieczenia. Ochrona przed cyberatakami polega na spowolnieniu atakującego i zmuszeniu go do posiadania wysokich umiejętności, dzięki którym być może złamie stosowane zabezpieczenia.

Większość prostego, złośliwego oprogramowania zostanie powstrzymane właśnie przez antywirusa. Przydatny jest przede wszystkim antywirus z funkcją skanowania ruchu https, bo dzięki temu zostaniesz ostrzeżony, gdy wejdziesz na stronę, która została zgłoszona do bazy jako podejrzana lub niebezpieczna.

Czy warto instalować bezpłatnego antywirusa?

Oczywiście. Ważne, tylko żeby to był antywirus firmy, które od lat istnieje na rynku. Niech to będzie na przykład Avast Free, zamiast antywirus „firmy krzak”. Warto też wspomnieć, że z antywirusa powinieneś korzystać niezależnie do tego, czy używasz PC-ta, czy Maca.

To znaczy, że bezpieczeństwo Maców to mit?

Cyberprzestępcy tworzą złośliwe oprogramowanie na każdy typ platformy. Na Maca też. Wprawiony cyberprzestępca zanim cię zaatakuje sprawdzi, jakiego systemu operacyjnego używasz albo nawet stworzy złośliwe oprogramowanie, które samo dokona „diagnozy”.

W związku z tym każdy system operacyjny powinien być zabezpieczony antywirusem.

Niemniej nadal istnieje większe prawdopodobieństwo, że zostaniesz zaatakowany, jeśli korzystasz ze sprzętu z zainstalowanym Windowsem. To bardzo prosta i powszechnie używana platforma, więc jest bardziej narażona na ataki niż macOS.

Kolejnym aspektem, o którym powinieneś pamiętać, zabezpieczając komputer jest silne hasło i dwuskładnikowe uwierzytelnieni. Zamiast więc samemu wymyślać słabe hasła, jak „Dawid1234”, lepiej skorzystać z managera haseł, które nie dość, że za ciebie wygeneruje silne hasło, to na dodatek je zapamięta.

Wystarczy managera haseł w przeglądarce?

Najlepiej korzystać z zewnętrznego oprogramowania firmy, która koncentruje się wyłącznie na cyberbezpieczeństwie. Niemniej korzystanie z managera haseł w przeglądarce jest lepszym rozwiązaniem niż niestosowanie żadnego managera.

Warto też używać dwuskładnikowego uwierzytelnienia, na przykład za pomocą SMS lub aplikacji Google Authenticator, dzięki której podczas każdej próby zalogowania się do systemu otrzymasz na telefon dodatkowy kod zabezpieczający.

To dobre zabezpieczenie, bo żeby cyberprzestępca mógł włamać się na któreś z twoich kont, musiałby też posiadać twoje urządzenie mobilne. Co więcej, większość platform, na których stoją sklepy internetowe, w tym chociażby WordPress, pozwala na zintegrowanie dwuskładnikowego uwierzytelnienia.

Jak zadbać o cyberbezpieczeństwo sklepu internetowego?

Nie spodoba ci się to, co teraz powiem. Znakomita część ataków hakerskich i wycieków danych to wina właścicieli oraz pracowników sklepów internetowych. Sami są sobie winni.

CO?!

Niestety. Tak to wygląda.

Nie przestrzegają podstawowych zasad bezpieczeństwa, zostawiając oszustom otwartą furtkę do ich wirtualnego podwórka. A oszuści korzystają. Oznacza to jednak, że można zmienić tę sytuację w prosty sposób. Wystarczy, że zastosujesz się do poniższych zasad, dzięki którym zwiększysz cyberbezpieczeństwo własnego sklepu internetowego.

Stwórz silne hasło

Czy kiedykolwiek zdarzyło ci się zabezpieczyć któryś z systemów lub kont hasłem typu „qwerty” albo „123456”? Jeśli tak, mogę pokiwać głową z niedowierzaniem, poklepać cię po ramieniu i powiedzieć: zmień to hasło. I to szybko! Dlaczego? Krótka odpowiedź to: takie hasło jest po prostu słabe. Łatwo je odgadnąć. Włamać się i zabrać co masz.

Lista popularnych „słabych haseł” jest jednak szersza. Oto 8 przykładów haseł, od których lepiej byś trzymał się z daleka:

  • 123456789
  • 111111
  • password
  • 12345678
  • abc123
  • 1234567
  • password1
  • 123123

Silne hasło, czyli jakie?

Wiesz już, czym jest słabe hasło. Pytanie teraz, czym charakteryzuje się silne hasło, czyli takie, które trudno złamać? Trzymaj się poniższych wskazówek, a stworzysz naprawdę dobre zabezpieczenie firmowego konta bankowego, infrastruktury IT lub czegokolwiek, co wymaga solidnej ochrony.

  • Niech będzie długie. Ale jak długie? W różnych poradnikach różnie piszą. Zwykle jednak pada odpowiedź: 8 znaków. Lepiej jednak sięgnąć po hasło składające się nawet z 15 albo 20 znaków. Zasada jest prosta: im hasło jest dłuższe, tym trudniej je złamać. Kropa.
  • Używaj różnych znaków. Nie bój się sięgać po wielkie i małe litery, cyfry oraz specjalne znaki. Mieszaj je ze sobą w dowolny, przypadkowy sposób, by stworzyć unikalne hasło.
  • Unikaj „cyfrowo-słownych” zamienników. Na pierwszy rzut oka taka zamiana wydaje się sprytna, no bo trudniej odgadnąć „3MI7A18” niż „EMILA18”. Ale hakerzy również są sprytni i wiedzą, że użytkownicy sieci i komputerów sięgają po takie hasła.
  • Zapomnij o popularnych skrótach klawiszowych. Posługiwanie się popularnymi skrótami klawiszowymi, na przykład „crtl+c” lub „alt+ctrl+del” jest równie niebezpiecznie, co posługiwanie się sekwencjami typu „qwerty”, „123456” lub „wsad”.

Jak stworzyć silne hasło?

Możesz ułożyć zupełnie przypadkowe wyrazy w ciąg znaków albo ułożyć hasło z dwóch pierwszych liter tych wyrazów. Oba rozwiązania mogą się sprawdzić, ale lepiej skorzystać z hasła, które automatycznie generuje przeglądarka internetowa lub dedykowane do tego narzędzie, na przykład Random Password Generator by Avast.

Wówczas hasło wygląda tak: c$H-9f$-nIO-4SH-Lbu.

Zasady korzystania z silnych haseł

Aby właściwie zabezpieczyć firmowe zasoby IT, nie wystarczy jednak stworzyć silne hasło i mieć nadzieję, że haker nigdy go nie złamie. Takiej pewności nie możesz mieć. Musisz z kolei wiedzieć, jak z silnym hasłem postępować, a istnieją co to tego pewne zasady.

  1. Nie zostawiaj hasła na widoku

Wiem jak to brzmi. Pewnie pukasz się w głowę i zastanawiasz się, któż taki przypiąłby do monitora karteczkę z hasłem albo zostawił notes z dostępami obok komputera. Być może osoba, która nie chce zapamiętywać kolejnego hasła albo pracownik, który nadmiernie ufa kolegom zza biurka.

  1. Korzystaj z managera haseł

Na rynku dostępne są rozmaite narzędzia do zarządzania hasłami. Ich przewagą jest to, że samodzielnie generują silne hasła i synchronizują się z wieloma urządzeniami, dzięki czemu nie musi trudzić się z wymyśleniem kolejnego silnego hasła, zapamiętywać go i wprowadzać za każdym razem, gdy chcesz się zalogować do któregoś ze sklepowych systemów. Manager haseł wykona te operacje za ciebie.

  1. Zmieniaj hasło. I to często

Im częściej zmieniasz hasła, tym lepiej, na przykład raz lub dwa razy w miesiącu. Czasami bowiem możesz nie wiedzieć, że haker wszedł w posiadanie danych dostępowych i już korzysta na przykład z twojego adresu e-mail. Częsta zmiana haseł chroni cię przed tym niebezpieczeństwem.

  1. Używaj różnych haseł

Korzystanie z tego samego hasła do Facebooka, systemu CRM i poczty e-mail to powszechny błąd, przez który możesz stracić dostęp lub kontrolę nad wieloma narzędziami i systemami na raz. Używając różnych haseł do każdego rozwiązania sprawisz, że taka sytuacja się nie wydarzy.

  1. Sięgnij po uwierzytelnienie wieloskładnikowe

Prawdopodobnie znasz uwierzytelnienie wieloskładnikowe z bankowości mobilnej, bo tam korzysta się z niej na co dzień. Robisz przelew, dostajesz na telefon SMS z jednorazowym kodem, który umożliwia sfinalizowanie operacji. To zabezpieczenie sprawia, że oszust, który zalogował się do twojej bankowości mobilnej, nie dokona nieautoryzowanej operacji.

Uwierzytelnienie wieloskładnikowe możesz także wykorzystać do zabezpieczenia sklepowej infrastruktury IT, na przykład dodatkowym pytaniem lub biometryką. Jeśli więc masz taką możliwość, korzystaj z niej.

Chroń dane jak należy

Czy wiesz, które dane wymagają najwyższego poziomu bezpieczeństwa? Podpowiem. To między innymi informacje o numerach kart kredytowych (firmowych i twoich klientów), dane dostępowe i wszelkie dane osobowe (dane wrażliwe dotyczące na przykład wyznania oraz preferencji seksualnych). Te informacje powinieneś chronić w pierwszej kolejności.

Nie oznacza to jednak, że reszta danych jest nieważna. Jest ważna. Należy tylko określić na jakie ryzyko związane z utratą danych możesz sobie pozwolić. Może bowiem się zdarzyć, że twój sklep internetowy zaatakują hakerzy lub któryś z pracowników nieumyślnie zainfekuje sieć albo serwery przestaną działać. Co zatem? Powinieneś trzymać się kilku prostych wytycznych, by zminimalizować ryzyko związane z utratą danych.

  1. Trzymaj dane na różnych serwerach

Trzymanie ich na jednym serwerze może być niebezpiecznie. Podczas ataku DDoS hakerzy odetną cię od wszelkich firmowych zasobów i zatrzymają biznes na kilka dobrych dni.

  1. Stwórz politykę obsługi danych

Zastanów się, który z pracowników i w jakim stopniu powinien mieć dostęp do poufnych i wrażliwych danych. Na pewno nie każdy. Ustal procedury związane z ich obsługą.

  1. Wykonaj kopię bezpieczeństwa (backup)

Pewnie wielokrotnie słyszałeś, jak ważne jest tworzenie kopii zapasowych. Ale czy wiesz, jak tę kopię wykonać w prawidłowy sposób? Oto trzy reguły, które warto zapamiętać.

a) Stosuj zasadę 3-2-1

Zgodnie z zasadą 3-2-1 należy:

  • wykonać trzy backupy,
  • przechowywać je na dwóch różnych nośnikach,
  • a jeden z nich trzymać poza firmą.

Dlaczego? Wykonanie trzech kopii bezpieczeństwa, które na dodatek przechowujesz na dwóch różnych nośnikach minimalizuje ryzyko utraty lub zniszczenia, któregoś z nośników. Równie ważne jest, by jeden z nośników znajdował się poza firmą. Dzięki temu dane będą bezpieczne, nawet gdyby ktoś włamał się do biura lub gdyby biuro spłonęło.

b) Zautomatyzuj proces i sprawdzaj, czy backup się wykonał

Najlepiej, gdyby kopia bezpieczeństwa zapisywała się na nośnikach automatycznie, bez udziału pracowników. To oczywiście możliwe, ale trzeba mieć na uwadze, że technologia może zawieść. Nie warto więc pozostawić backupu samego sobie. Niech nad procesem wykonywania kopii zapasowej czuwa wyznaczony pracownik. Tak będzie bezpieczniej.

Niemniej jego rola nie powinna ograniczać się jedynie do kontroli. Osoba odpowiedzialna za backup powinna również przeprowadzać testy związane z prawidłowym wykonaniem kopii bezpieczeństwa i sprawdzić, czy ma pełny dostęp do danych zapisanych w kopii.  

c) Przygotuj się na odzyskiwanie danych

Kopię bezpieczeństwa wykonujesz na wszelki wypadek. Musisz jednak brać pod uwagę, że kiedyś może się przydać. Co zatem? Sugeruję być opracował procedury odzyskiwania utraconych danych. Określ:

  • kto odpowiada za odzyskiwanie danych,
  • jakie kroki należy podjąć, by odzyskać dane,
  • ile czasu zajmie przywrócenie danych,
  • jak w tym czasie będzie funkcjonować firma.

Aktualizuj oprogramowanie

Niemal każdy dostawca dowolnego oprogramowania regularnie wypuszcza aktualizacje. Nie tylko dlatego, że wzbogacił system o nowe funkcje lub usprawnił działania obecnych, ale również dlatego, że zwiększył bezpieczeństwo oprogramowania.

Mogło się bowiem zdarzyć tak, że odkrył luki w zabezpieczeniach software’u albo pojawiła się na rynku skuteczniejsza metoda ochrony i właśnie ją wdrożył. To dobra wiadomość, a zatem nie powinieneś zamykać okienek z informacją o dostępnej aktualizacji, ale przynajmniej przeczytać, co takiego zawiera rzeczona aktualizacja. Jeśli zauważysz wzmiankę dotyczącą bezpieczeństwa systemu, koniecznie wykonaj aktualizację.

Przed tym jednak pamiętaj, żeby wykonać kopię zapasową danych.

Uważaj co podłączasz do komputera

Firmowy sprzęt zwykle jest lepiej chroniony niż ten, z którego na co dzień korzystamy w domu. Nie powinieneś więc pozwolić, by pracownicy podłączali do służbowego komputera prywatne dyski, pendrive’y lub karty pamięci. Nie wiesz przecież, co się na nich znajduje.

Nie wiesz, czy pracownik dba o bezpieczeństwo domowego sprzętu. Jeśli na przykład pobiera nielegalne oprogramowanie, muzykę lub filmy, a do tego korzysta z wątpliwej jakości antywirusa, może nawet nie wiedzieć, że pliki znajdujące się na jego komputerze są zainfekowane. Przenosząc je na zewnętrzny dysk, mogą trafić na firmowy sprzęt.

Jak więc udostępniać pracownikom firmowe dane i narzędzia, by mogli z nich korzystać na przykład podczas delegacji? Umieszczając je w chmurze lub pozwalając zabrać laptopa ze sobą.

Nie spuszczaj sprzętu z oka

Ta zasada dotyczy głównie zdalnych pracowników, którzy pracują w barach, hotelach lub przestrzeniach coworkingowych. Odchodząc od komputera, zawsze pamiętaj, żeby się wylogować. Ponadto nie udostępniaj innym własnego sprzętu. Oczywiście nie zakładaj, że twój sąsiad zza biurka (czy zza lady) to haker lub oszust, który tylko czeka aż wyjdziesz do toalety, by ukraść laptopa. Niemniej może przez przypadek skasować potrzebne dane albo część projektu, nad którym pracowałeś od jakiegoś czasu. Nie potrzebujesz tego stresu.

Uważaj na publiczną sieć Wi-Fi

Umawiasz się z klientem na spotkanie w pobliskiej kawiarni. Jesteś już na miejscu, masz jeszcze 15 minut do spotkania, a lokal dysponuje otwartą siecią Wi-Fi. Korzystasz z niej, bo zapomniałeś opłacić faktury. Zrobisz to teraz. Ale czy to oby na pewno dobry pomysł?

To zależy.

Niemniej zawsze powinieneś ostrożnie podchodzić do „darmowego Wi-Fi”. Dlaczego? Oto 3 zagrożenia, które stwarza otwarta sieć:

  • Monitoring danych – miej na uwadze, że cyberprzestępcy mogą monitorować przepływ danych, które przesyłane są za pośrednictwem publicznej sieci Wi-Fi. W ten sposób mogą poznać twoje dane dostępowe na przykład do skrzynki elektronicznej albo bankowości elektronicznej.
  • Fałszywa sieć – oszuści tworzą otwarte fałszywe sieci Wi-Fi, których nazwy do złudzenia przypominają sieci kawiarni, restauracji lub hoteli. Po dołączeniu do takiej sieci, hakerzy śledzą każdy twój ruch.
  • Aktualizacja i przekierowanie ruchu – kolejnym niebezpieczeństwem, które stwarza darmowe Wi-Fi jest prośba o aktualizację systemu, za którym kryje się oprogramowanie szpiegujące albo przekierowanie ruchu na zainfekowaną stronę internetową.

Jak więc bezpiecznie korzystać z publicznej sieci Wi-Fi?

  1. Nie korzystać

Nie korzystaj z darmowego Wi-Fi, chyba że to niezbędne. Bezpieczniej zwiększyć pakiet danych internetu mobilnego i korzystać ze sprawdzonego źródła.

Jeśli jednak MUSISZ użyć Wi-Fi w lokalu:

  1. Sprawdź, czy jest chronione hasłem

Jeśli nie jest, może być podstawione przez oszustów. Upewnij się więc i poproś obsługę o podanie dokładnej nazwę łącza i hasła.

  1. Ogranicz ważne operacje

Podczas korzystania z darmowego Wi-Fi nie warto logować się do żadnych ważnych usług i serwisów, w szczególności do bankowości mobilnej i firmowych zasobów IT. Korzystaj z tego typu łącza jedynie do „przeglądania Internetu”.

  1. Łącz się tylko ze stronami z certyfikatem SSL

Szukając w Internecie informacji, łącz się jedynie ze stronami, w których w adresie URL widnieje protokół https://.

  1. Korzystaj z VPN

VPN (ang. Virtual Private Network), czyli wirtualna sieć prywatna, szyfruje połączenie między punktem A (twoim urządzeniem) a punktem B (np. odwiedzaną witryną). Dzięki temu haker nie będzie w stanie przejąć danych na łączu.

Edukacja pracowników

Zabezpieczenie sklepu internetowego nie polega wyłącznie na poznaniu zagrożeń oraz dobrych praktyk służących ochronie. Przede wszystkim trzeba je wdrożyć, ale nie zrobisz tego w pojedynkę. Twoim pracownicy także muszą być świadomi zagrożeń i konsekwencji oraz wiedzieć, jak postępować, by zminimalizować ryzyko ataku hakerskiego. Wytłumacz im, jak mają dbać o bezpieczeństwo sklepu. Przekaż im na przykład ten poradnik!

Wykonaj audyty bezpieczeństwa

Jak często? To zależy. Jeśli masz pewność, że zostałeś zaatakowany, wykonaj audyt bezpieczeństwa natychmiast. Musisz przecież dowiedzieć się, jak cyberprzestępca przedarł się przez stosowane zabezpieczenia i załatać dziury, by nie doszło do kolejnego ataku. W innym razie dobrą praktyką będzie coroczny audyt bezpieczeństwa. Pytanie tylko, czy należy wykonać go samodzielnie?  

Jarosław Growin, co-founder and CTO Tpay

Zdecydowanie odradzam wykonywania audytów bezpieczeństwa samodzielnie.  Sugeruję za to zatrudnić zewnętrzną firmę. Oczywiście można wykonać pewne podstawowe kroki, aby chociaż częściowo na własną rękę zbadać, czy nasze systemy widoczne online bronią się przed najpopularniejszymi zagrożeniami.

Są to czynności takie jak testy penetracyjne wewnętrzne, zewnętrzne i skany ASV (pod standard PCI DSS). Jednak, żeby je wykonać, lepiej zatrudnić specjalistę lub firmę zewnętrzną, ponieważ każdego dnia pojawiają się nowe zagrożenia, a zabezpieczenie systemu to nie jest zadanie, które można wykonać bez zaawansowanej, aktualnej wiedzy technicznej.

Dla tych, którzy mimo to chcą zabezpieczyć swoje systemy samodzielnie, pod tym linkiem znajdują checklista standardu PCI DSS, który jest najlepszym zbiorem wymagań jaki znam do zabezpieczania systemów online.</p

Cyberbezpieczeństwo. Podsumowanie

Ufff! Cieszę się, że dobrnąłeś do końca. Mam nadzieję także, że po lekturze tego artykułu lepiej rozumiesz, czym jest cyberbezpieczeństwo i dlaczego jest ważne oraz dobrze wiesz, jak zabezpieczyć swój sklep internetowy.

Na koniec zebrałem dla ciebie najistotniejsze punkty, dzięki którym utrwalisz wiedzę i z łatwością wdrożyć ją we własnym sklepie.

  1. Zabezpiecz sklep szyfrowaniem SSL,
  2. Korzystaj z płatności zabezpieczonych 3D-Secure,
  3. Umieść w widocznym miejscu regulamin sklepu,
  4. Poinformuj klienta w polityce prywatności, jak gromadzisz i przetwarzasz jego dane osobowe,
  5. Wiedz, że cyberprzestępcy są podstępni. Będą próbować złamać zabezpieczenia sklepu na różne sposoby. Popularne ataki to: phishing, DDoS i spoofing,
  6. Jeśli otrzymałeś od cyberprzestępcy wiadomość z żądaniem okupu, najpierw upewnij się, że faktycznie zostałeś zaatakowany. Być może to tylko próba wyłudzenia. Jeśli nie, oszacuj, czy lepiej zapłacić okup, czy samodzielnie przywrócić sprawność systemów. Skontaktuj się z firmą specjalistyczną,
  7. Używaj silnych haseł, które generują i przechowują managerowie haseł,
  8. Przechowuje ważne dane na różnych serwerach,
  9. Wykonuj kopię bezpieczeństwa zgodnie z zasadą 3-2-1,
  10. Bądź na bieżąco z oprogramowaniem. Zaktualizuj je!
  11. Nie podłączaj do komputera pendrive’ów i zewnętrznych dysków o nieznanym pochodzeniu (np. znalezionych na ulicy),
  12. Będąc w miejscu publicznym, nie zostawiaj sprzętu bez opieki,
  13. Jeśli nie musisz, nie korzystaj z publicznej sieci Wi-Fi. Korzystając upewnij się, że jest zabezpieczona hasłem,
  14. Naucz pracowników, jak dbać o cyberbezpieczeństwo. Przekaż im na przykład ten artykuł!
  15. Raz do roku wykonaj audyty bezpieczeństwa.


Zdjęcie główne artykułu by Freepik z serwisu Flaticon

Do góry!

Polecane artykuły

16.07.2019

Wyróżnij się na tle konkurencji! 6 typów wiadomości w e-mail ...

Głodny wiedzy? Zapraszamy do sklepu z kursami i ebookami

Sprawdzam