Зачем представителям eCommerce знать основы кибербезопасности

Игорь Бахарев

Согласно отчету EINPresswire, электронная коммерция отчаянно нуждается в облачных решениях для бизнеса, чтобы противостоять киберугрозам. Но во многих компаниях по-прежнему не понимают риски цифровой эпохи. Либо не знают, как внедрять искусственный интеллект и машинное обучение. Проблема хакерских атак и утечек данных – одна из самых актуальных в eCommerce на сегодняшний день. 

Угрозы и риски киберцивилизации 

Из-за пандемии практически весь бизнес перешел в режим онлайн, но многие организации заняты разработкой и поставками товара, пренебрегая техническими нормами защиты. Между тем, если на сайте присутствует опция заказа продукта, а надлежащая система защиты не внедрена, любой клиент попадает в зону риска. Если одновременно с пользователем на сайт зашел хакер, есть вероятность утечки персональных данных, кражи денег с финансового аккаунта клиента. Безусловно, это навредит не только потребителю, но и владельцу сайта. Суды накладывают огромные штрафы за несоблюдение норм безопасности на интернет-магазины. Кроме того, именно бизнесмену, из-за технических проблем которого пострадал кошелек потребителя, придется возмещать ущерб. Разумеется, истории о том, что организация стала жертвой кибератаки и потеряла клиентскую базу данных, не лучшим образом сказываются на репутации бизнеса. 

Как сообщает ThreatPost, в июне 2021 ученые NordLocker обнаружили 1.2 терабайта украденной информации, собранной с 3.2 млн компьютеров с операционной системой Windows. Хакеры атаковали при помощи вирусной версии Adobe Photoshop, пиратских игр и инструментов для взлома Windows. Найдены 6.6 млн файлов, 26 млн реквизитов и 2 млрд cookies. Это говорит о том, что на сегодняшний день персональные данные уязвимы, как никогда. 

В зоне риска оказываются не только компании, которые не предприняли меры безопасности, или не пользователи, не знающие, почему нельзя подключаться к незащищенному соединению, либо что такое VPN. Как объясняет ExpressVPN, любой из нас потенциально уязвим. Допустим, у вас есть Mac, с доступными соединениями Wi-Fi и Ethernet, но предпочтительным подключением является именно Ethernet. Обычная ситуация. В то же время, IP-адрес в секции «DNS-серверы» имеет вид 10.x.x.x, 192.168.x.x или расположен в диапазоне между 172.16.x.x и 172.31.x.x, это и есть ваш локальный IP-адрес. Значит, маршрутизатор выполняет функцию DNS-сервера, и ваши DNS-запросы легко просматриваются интернет-оператором. В этом случае, вы являетесь полностью уязвимы для утечек данных через DNS-сервер, хотя на первый взгляд система выглядит защищенной. 

Исследование PerimeterX показало, что киберпреступники перестали использовать одну модель нападения, а вместо этого разрабатывают атаку специально под каждую компанию в eCommerce. И это неудивительно: ведь программы для кибератак легко приобрести в темном вебе за $100. Более того, как продемонстрировал отчет Verizon нынешнего года, в 61% инцидентов утечка данных произошла после кражи реквизитов аккаунта. Киберпреступники платят $2 за покупку миллиардов логинов и паролей, а затем используют информацию для взлома и получают огромное финансовое вознаграждение. 

Статистика киберугроз в eCommerce 

Чтобы определить, чего ждать от будущего года, взглянем на следующие факты и цифры. 

·        По информации Cyberpion, 83% американских представителей сферы электронной коммерции уязвимы для кибератак.

·        Как сообщает отчет VMWare Carbon Black, 77% владельцев интернет-магазинов приобрели инструменты кибербезопасности, а 69% расширили IT-отделы, нанимая специалистов для оценки сети, системы и уязвимостей.

·        В 2020 году количество вирусных ботов на 32% превысило показатель 2019. Зафиксировано на 38% больше DDoS-атак. На 43% чаще крадут деньги с кредитных карт без ведома пользователя онлайн-банкинга и на 56% более развитым стало финансовое мошенничество. На 45% выросло количество SQL-инъекций (введение вирусного кода в форму на сайте интернет-магазина с целью заполучить деньги покупателя в момент проведения платежа онлайн).

Те представители eCommerce, которые сумели адаптироваться к угрозам цифровой эпохи, предприняли ряд мер безопасности. Посмотрим, к каким результатам это привело, согласно отчету WebScale. 

·        70% организаций инвестировали в двухфакторную аутентификацию.

·        54% брендов позаботились о бот-менеджменте – это системы определения вирусных ботов, а также блокировки вредоносного трафика, который нарушает работу интернет-магазина.

·        79% игроков электронной коммерции собираются вложить средства в Политику безопасности контента (Content Security Protection – CSP). Это механизм, который защищает от внедрения вирусных форм и кодов на сайте. CSP формирует правила безопасного контента и блокируют любую информацию, поступающую извне, которая не соответствует выработанным нормам.

·        64% компаний намерены приобрести системы определения мошенничества онлайн, а 72% - купить программы мониторинга реальных пользователей (Real User Monitoring – RUM).

·        68% владельцев интернет-магазинов выразили желание автоматизировать системы управления безопасностью.

·        Благодаря указанным мерам, 29% организаций усовершенствовали способность предупреждать кибератаки, по сравнению с тем, что происходило два года назад. 34% быстрее определяют намерения хакеров, 24% лучше справляются с восстановлением системы после утечки, 27% легче минимизируют влияние инцидентов на бизнес. 

 

Стандарт PCI DSS как решение

В свете событий в мире цифровых технологий недостаточно покупать программное обеспечение для выявления хакеров и противодействия их темным играм. Необходимо адаптировать политику безопасности компании в соответствие с мировыми стандартами, такими как PCI DSS.

Стандарт безопасности данных в области платежных карт (Payment Card Industry Data Security Standard – PCI DSS) содержит технические требования, которые обеспечивают безопасность финансовой информации во время проведения транзакций, хранения и передачи средств. Любая организация, которая имеет дело с оплатами онлайн, стремится соотносить принципы работы с PCI DSS. Стандарт содержит 12 требований.

1.      Установите файерволлы для защиты данных владельца карты.

2.      Не используйте пароли и другие параметры системы безопасности, указанные по умолчанию.

3.      Защищайте финансовую информацию пользователей.

4.      Зашифровывайте передачу банковских сведений ваших клиентов при подключении к общественным сетям.

5.      Инсталлируйте и регулярно обновляйте антивирусы.

6.      Разработайте систему и приложения безопасности.

7.      Оставьте доступ к клиентской базе данных только для тех сотрудников вашей фирмы, кому это по-настоящему необходимо для работы. Для всех остальных ограничьте доступ.

8.      Предоставьте уникальный ID каждому, кто имеет доступ к корпоративному компьютеру.

9.      Не допускайте физический доступ к банковской информации пользователей.

10. Отслеживайте, что происходит с доступом к сетевым ресурсам и онлайн-банкингу клиентов.

11. Постоянно тестируйте систему и сеть на наличие уязвимостей.

12. Внедрите политику безопасности, в которую будет вовлечен весь штат вашей организации.

Зачем нужен сертификат ISO?

ISO, или Международная организация по стандартизации разработала ряд принципов для обеспечения качества, безопасности, эффективности и соответствия стандартам, в том числе и в сфере электронной коммерции. Если ваш бизнес выходит на глобальный рынок, необходимо убедить, что все нормы соблюдены, и не возникнет проблем с иностранным покупателем.

Организации, работающие в eCommerce, знают, что соответствие стандартам ISO обеспечивает такую политику безопасности, которая параллельно позволит защититься от хакерских атак и утечек данных. Ведь эти сертификаты влияют на степень удовлетворения клиента, усовершенствование процессов и продуктов, операционную эффективность, внутренний аудит, управление рисками, повышение квалификации сотрудников, да и репутацию бренда в целом.

Заключение 

Сегодня хакеры атакуют сферу электронной коммерции вовсю. Троянские вирусы, фишинг, нападения с целью довести систему до отказа, социальная инженерия… Эти инструменты нацелены на взлом системы, чтобы получить персональные данные пользователей и доступ к финансовым аккаунтам. Поэтому игроки eCommerce во всем мире приходят к выводу, что всеобщая кибербезопасность – дело каждого. Любая организация, занимающаяся торговлей в сети, обязана соответствовать мировым стандартам. Только так можно выстроить безопасное торговое пространство, свободное от мошенников.

Материал по теме

Сайт магазина Rendez-Vous атаковали злоумышленники?

Материал по теме

Почти 70% ритейлеров столкнулись с утечками данных в 2023 году

Материал по теме

Uber закрывает сервис доставки алкоголя Drizly

Подписаться на новости

Актуальное сейчас

Яндекс Маркет и GFK: Как москвичи покупают в онлайне

В ежегодном опросе Яндекс Маркет и компания GfK Rus проанализировали потребительские тренды интернет-покупателей из Москвы. Эксперты выявили основные паттерны поведения и предпочтения жителей города при сов...

Что россияне покупают весной на маркетплейсах: аналитика Мегамаркет

Мегамаркет проанализировал ежегодные весенние покупки пользователей на площадке и составил прогноз по товарам, на которые продавцам стоит сделать упор в этом сезоне. Согласно статистике, среди пользо...

Торговые сети раздувают цены в онлайне

Продуктовые сети в России вводят дифференцированное ценообразование в онлайне и офлайне. Цены на одни и те же товары в обычных и интернет-магазинах могут отличаться на 5-10%. Это связано с растущими затратами н...

Ozon и Wildberries выходят на рынок страхования

Ozon и Wildberries объявили о планах развития страхового направления бизнеса. В частности, Ozon уже во второй половине 2024 года запустит собственную страховую компанию, которая будет предоставлять широкий ...

АУРЭК vs Wildberries: в чём суть обвинений ассоциации

Ассоциация участников рынка электронной коммерции (АУРЭК) обвинила Wildberries в том, что на его складах селлеры регулярно теряют от 2 до 4% годового оборота товаров. Ещё столько же пропадают в пути.  ...

Спрос на специалистов в сфере маркетплейсов вырос в два раза в 2023 году

По данным сервиса "Мое дело", к концу года количество продаж на маркетплейсах выросло более чем в 5 раз, в сравнении с первым кварталом 2023 года. Более того, наблюдался стабильный рост востребованности спе...

Согласие на обработку персональных данных

×

Физическое лицо, оставляя заявку на веб-сайте e-pepper.ru через форму «Обсудим ваш проект» и форму подписки на e-mail рассылку, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее — Согласие) Обществу с ограниченной ответственностью «АЭРОКОМ» (ООО «АЭРОКОМ») (ИНН 9705136776, info@aeroidea.ru, +7(495)120-12-38, +7 968 900-23-45), которому принадлежит веб-сайт https://e-pepper.ru и которое зарегистрировано по адресу 111024, г. Москва, вн.тер.г.муниципальный округ Лефортово, ул. Авиамоторная, д.50, стр.2, этаж 2, помещ.XI, комната 25, офис А79, на обработку своих персональных данных со следующими условиями:

  1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  2. Согласие дается на обработку следующих моих персональных данных: персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона.
  3. Цель обработки персональных данных: обсуждение возможного проекта.
  4. В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
  5. Третьи лица, обрабатывающие персональные данные по поручению ООО "Аэроком” для указанной в согласии цели:
    • АО "АМОЦРМ", 21205, г. Москва, вн.тер.г. Муниципальный Округ Можайский, Тер Сколково Инновационного Центра, б-р Большой, д. 42 стр. 1
    • ООО "Яндекс", 119021, г. Москва, ул. Льва Толстого, д. 16
  6. Персональные данные обрабатываются в течение 30 дней с момента отказа в дальнейшем обсуждении проекта или с момента принятия решения о заключении договора на проект в соответствии с ч. 4 ст. 21 152-ФЗ, смотря что произойдет раньше.
  7. Согласие может быть отозвано вами или вашим представителем путем направления ООО "Аэроком” письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
  8. В случае отзыва вами или вашим представителем Согласия ООО "Аэроком” вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  9. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п. 6 и п. 7 Согласия.