Зачем представителям eCommerce знать основы кибербезопасности

Игорь Бахарев

Согласно отчету EINPresswire, электронная коммерция отчаянно нуждается в облачных решениях для бизнеса, чтобы противостоять киберугрозам. Но во многих компаниях по-прежнему не понимают риски цифровой эпохи. Либо не знают, как внедрять искусственный интеллект и машинное обучение. Проблема хакерских атак и утечек данных – одна из самых актуальных в eCommerce на сегодняшний день. 

Угрозы и риски киберцивилизации 

Из-за пандемии практически весь бизнес перешел в режим онлайн, но многие организации заняты разработкой и поставками товара, пренебрегая техническими нормами защиты. Между тем, если на сайте присутствует опция заказа продукта, а надлежащая система защиты не внедрена, любой клиент попадает в зону риска. Если одновременно с пользователем на сайт зашел хакер, есть вероятность утечки персональных данных, кражи денег с финансового аккаунта клиента. Безусловно, это навредит не только потребителю, но и владельцу сайта. Суды накладывают огромные штрафы за несоблюдение норм безопасности на интернет-магазины. Кроме того, именно бизнесмену, из-за технических проблем которого пострадал кошелек потребителя, придется возмещать ущерб. Разумеется, истории о том, что организация стала жертвой кибератаки и потеряла клиентскую базу данных, не лучшим образом сказываются на репутации бизнеса. 

Как сообщает ThreatPost, в июне 2021 ученые NordLocker обнаружили 1.2 терабайта украденной информации, собранной с 3.2 млн компьютеров с операционной системой Windows. Хакеры атаковали при помощи вирусной версии Adobe Photoshop, пиратских игр и инструментов для взлома Windows. Найдены 6.6 млн файлов, 26 млн реквизитов и 2 млрд cookies. Это говорит о том, что на сегодняшний день персональные данные уязвимы, как никогда. 

В зоне риска оказываются не только компании, которые не предприняли меры безопасности, или не пользователи, не знающие, почему нельзя подключаться к незащищенному соединению, либо что такое VPN. Как объясняет ExpressVPN, любой из нас потенциально уязвим. Допустим, у вас есть Mac, с доступными соединениями Wi-Fi и Ethernet, но предпочтительным подключением является именно Ethernet. Обычная ситуация. В то же время, IP-адрес в секции «DNS-серверы» имеет вид 10.x.x.x, 192.168.x.x или расположен в диапазоне между 172.16.x.x и 172.31.x.x, это и есть ваш локальный IP-адрес. Значит, маршрутизатор выполняет функцию DNS-сервера, и ваши DNS-запросы легко просматриваются интернет-оператором. В этом случае, вы являетесь полностью уязвимы для утечек данных через DNS-сервер, хотя на первый взгляд система выглядит защищенной. 

Исследование PerimeterX показало, что киберпреступники перестали использовать одну модель нападения, а вместо этого разрабатывают атаку специально под каждую компанию в eCommerce. И это неудивительно: ведь программы для кибератак легко приобрести в темном вебе за $100. Более того, как продемонстрировал отчет Verizon нынешнего года, в 61% инцидентов утечка данных произошла после кражи реквизитов аккаунта. Киберпреступники платят $2 за покупку миллиардов логинов и паролей, а затем используют информацию для взлома и получают огромное финансовое вознаграждение. 

Статистика киберугроз в eCommerce 

Чтобы определить, чего ждать от будущего года, взглянем на следующие факты и цифры. 

·        По информации Cyberpion, 83% американских представителей сферы электронной коммерции уязвимы для кибератак.

·        Как сообщает отчет VMWare Carbon Black, 77% владельцев интернет-магазинов приобрели инструменты кибербезопасности, а 69% расширили IT-отделы, нанимая специалистов для оценки сети, системы и уязвимостей.

·        В 2020 году количество вирусных ботов на 32% превысило показатель 2019. Зафиксировано на 38% больше DDoS-атак. На 43% чаще крадут деньги с кредитных карт без ведома пользователя онлайн-банкинга и на 56% более развитым стало финансовое мошенничество. На 45% выросло количество SQL-инъекций (введение вирусного кода в форму на сайте интернет-магазина с целью заполучить деньги покупателя в момент проведения платежа онлайн).

Те представители eCommerce, которые сумели адаптироваться к угрозам цифровой эпохи, предприняли ряд мер безопасности. Посмотрим, к каким результатам это привело, согласно отчету WebScale. 

·        70% организаций инвестировали в двухфакторную аутентификацию.

·        54% брендов позаботились о бот-менеджменте – это системы определения вирусных ботов, а также блокировки вредоносного трафика, который нарушает работу интернет-магазина.

·        79% игроков электронной коммерции собираются вложить средства в Политику безопасности контента (Content Security Protection – CSP). Это механизм, который защищает от внедрения вирусных форм и кодов на сайте. CSP формирует правила безопасного контента и блокируют любую информацию, поступающую извне, которая не соответствует выработанным нормам.

·        64% компаний намерены приобрести системы определения мошенничества онлайн, а 72% - купить программы мониторинга реальных пользователей (Real User Monitoring – RUM).

·        68% владельцев интернет-магазинов выразили желание автоматизировать системы управления безопасностью.

·        Благодаря указанным мерам, 29% организаций усовершенствовали способность предупреждать кибератаки, по сравнению с тем, что происходило два года назад. 34% быстрее определяют намерения хакеров, 24% лучше справляются с восстановлением системы после утечки, 27% легче минимизируют влияние инцидентов на бизнес. 

 

Стандарт PCI DSS как решение

В свете событий в мире цифровых технологий недостаточно покупать программное обеспечение для выявления хакеров и противодействия их темным играм. Необходимо адаптировать политику безопасности компании в соответствие с мировыми стандартами, такими как PCI DSS.

Стандарт безопасности данных в области платежных карт (Payment Card Industry Data Security Standard – PCI DSS) содержит технические требования, которые обеспечивают безопасность финансовой информации во время проведения транзакций, хранения и передачи средств. Любая организация, которая имеет дело с оплатами онлайн, стремится соотносить принципы работы с PCI DSS. Стандарт содержит 12 требований.

1.      Установите файерволлы для защиты данных владельца карты.

2.      Не используйте пароли и другие параметры системы безопасности, указанные по умолчанию.

3.      Защищайте финансовую информацию пользователей.

4.      Зашифровывайте передачу банковских сведений ваших клиентов при подключении к общественным сетям.

5.      Инсталлируйте и регулярно обновляйте антивирусы.

6.      Разработайте систему и приложения безопасности.

7.      Оставьте доступ к клиентской базе данных только для тех сотрудников вашей фирмы, кому это по-настоящему необходимо для работы. Для всех остальных ограничьте доступ.

8.      Предоставьте уникальный ID каждому, кто имеет доступ к корпоративному компьютеру.

9.      Не допускайте физический доступ к банковской информации пользователей.

10. Отслеживайте, что происходит с доступом к сетевым ресурсам и онлайн-банкингу клиентов.

11. Постоянно тестируйте систему и сеть на наличие уязвимостей.

12. Внедрите политику безопасности, в которую будет вовлечен весь штат вашей организации.

Зачем нужен сертификат ISO?

ISO, или Международная организация по стандартизации разработала ряд принципов для обеспечения качества, безопасности, эффективности и соответствия стандартам, в том числе и в сфере электронной коммерции. Если ваш бизнес выходит на глобальный рынок, необходимо убедить, что все нормы соблюдены, и не возникнет проблем с иностранным покупателем.

Организации, работающие в eCommerce, знают, что соответствие стандартам ISO обеспечивает такую политику безопасности, которая параллельно позволит защититься от хакерских атак и утечек данных. Ведь эти сертификаты влияют на степень удовлетворения клиента, усовершенствование процессов и продуктов, операционную эффективность, внутренний аудит, управление рисками, повышение квалификации сотрудников, да и репутацию бренда в целом.

Заключение 

Сегодня хакеры атакуют сферу электронной коммерции вовсю. Троянские вирусы, фишинг, нападения с целью довести систему до отказа, социальная инженерия… Эти инструменты нацелены на взлом системы, чтобы получить персональные данные пользователей и доступ к финансовым аккаунтам. Поэтому игроки eCommerce во всем мире приходят к выводу, что всеобщая кибербезопасность – дело каждого. Любая организация, занимающаяся торговлей в сети, обязана соответствовать мировым стандартам. Только так можно выстроить безопасное торговое пространство, свободное от мошенников.

Материал по теме

Сайт магазина Rendez-Vous атаковали злоумышленники?

Материал по теме

Почти 70% ритейлеров столкнулись с утечками данных в 2023 году

Материал по теме

Uber закрывает сервис доставки алкоголя Drizly

Подписаться на новости

Актуальное сейчас

UPGRADE года 2024: Подводим итоги развития ритейл рынка вместе с ведущими компаниями отрасли

4 декабря сообщество ритейлеров UPGRADE проведет ежегодную конференцию, премию и вечеринку ведущих компаний отрасли — UPGRADE года 2024. Эксперты подведут итоги, обсудят важнейшие тренды отрасли, отметят бы...

Минпромторг ужесточит контроль за маркетплейсами

Российские власти планируют усилить контроль за продажей товаров на маркетплейсах. Об этом свидетельствует ответ Минпромторга на запрос "Общественной потребительской инициативы". В фокусе внимания ок...

Ситилинк подключился к СДЭК

Ситилинк начал сотрудничество с логистической компанией СДЭК, предоставив клиентам новый способ получения заказов. В рамках пилотного проекта доставка стала доступна в более чем 2000 пунктов выдачи заказов ...

"Монетка" тестирует онлайн

Торговая сеть "Монетка" тестирует онлайн-заказы и доставку в партнёрстве с сервисом "Купер" в трех городах. Сервис заработал в 115 магазинах Екатеринбурга, в восьми торговых точках Санкт-Петербурга и четыре...

Работники Amazon в 20 странах готовятся к протестам и забастовкам на "Черную пятницу"

Сотрудники Amazon и их профсоюзы планируют акции протеста и забастовки в более чем 20 странах в период с "Черной пятницы" до "Киберпонедельника" (29 ноября — 2 декабря). Цель — добиться улучшения условий тр...

"eCom к 2027: как отыскать ценность вокруг товара, сервиса и контент"

5 декабря в 18:30 в офисе разработчика eCom- и data-решений АЭРО состоится митап на тему: "eCom к 2027: как отыскать ценность вокруг товара, сервиса и контент".   Программа будет состоять из 3 блоков:   ...

Согласие на обработку персональных данных

×

Физическое лицо, оставляя заявку на веб-сайте e-pepper.ru через форму «Обсудим ваш проект» и форму подписки на e-mail рассылку, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее — Согласие) Обществу с ограниченной ответственностью «АЭРОКОМ» (ООО «АЭРОКОМ») (ИНН 9705136776, info@aeroidea.ru, +7(495)120-12-38, +7 968 900-23-45), которому принадлежит веб-сайт https://e-pepper.ru и которое зарегистрировано по адресу 111024, г. Москва, вн.тер.г.муниципальный округ Лефортово, ул. Авиамоторная, д.50, стр.2, этаж 2, помещ.XI, комната 25, офис А79, на обработку своих персональных данных со следующими условиями:

  1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  2. Согласие дается на обработку следующих моих персональных данных: персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона.
  3. Цель обработки персональных данных: обсуждение возможного проекта.
  4. В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
  5. Третьи лица, обрабатывающие персональные данные по поручению ООО "Аэроком” для указанной в согласии цели:
    • АО "АМОЦРМ", 21205, г. Москва, вн.тер.г. Муниципальный Округ Можайский, Тер Сколково Инновационного Центра, б-р Большой, д. 42 стр. 1
    • ООО "Яндекс", 119021, г. Москва, ул. Льва Толстого, д. 16
  6. Персональные данные обрабатываются в течение 30 дней с момента отказа в дальнейшем обсуждении проекта или с момента принятия решения о заключении договора на проект в соответствии с ч. 4 ст. 21 152-ФЗ, смотря что произойдет раньше.
  7. Согласие может быть отозвано вами или вашим представителем путем направления ООО "Аэроком” письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
  8. В случае отзыва вами или вашим представителем Согласия ООО "Аэроком” вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г.
  9. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п. 6 и п. 7 Согласия.