Зачем представителям eCommerce знать основы кибербезопасности

Согласно отчету EINPresswire, электронная коммерция отчаянно нуждается в облачных решениях для бизнеса, чтобы противостоять киберугрозам. Но во многих компаниях по-прежнему не понимают риски цифровой эпохи. Либо не знают, как внедрять искусственный интеллект и машинное обучение. Проблема хакерских атак и утечек данных – одна из самых актуальных в eCommerce на сегодняшний день. 

Угрозы и риски киберцивилизации 

Из-за пандемии практически весь бизнес перешел в режим онлайн, но многие организации заняты разработкой и поставками товара, пренебрегая техническими нормами защиты. Между тем, если на сайте присутствует опция заказа продукта, а надлежащая система защиты не внедрена, любой клиент попадает в зону риска. Если одновременно с пользователем на сайт зашел хакер, есть вероятность утечки персональных данных, кражи денег с финансового аккаунта клиента. Безусловно, это навредит не только потребителю, но и владельцу сайта. Суды накладывают огромные штрафы за несоблюдение норм безопасности на интернет-магазины. Кроме того, именно бизнесмену, из-за технических проблем которого пострадал кошелек потребителя, придется возмещать ущерб. Разумеется, истории о том, что организация стала жертвой кибератаки и потеряла клиентскую базу данных, не лучшим образом сказываются на репутации бизнеса. 

Как сообщает ThreatPost, в июне 2021 ученые NordLocker обнаружили 1.2 терабайта украденной информации, собранной с 3.2 млн компьютеров с операционной системой Windows. Хакеры атаковали при помощи вирусной версии Adobe Photoshop, пиратских игр и инструментов для взлома Windows. Найдены 6.6 млн файлов, 26 млн реквизитов и 2 млрд cookies. Это говорит о том, что на сегодняшний день персональные данные уязвимы, как никогда. 

В зоне риска оказываются не только компании, которые не предприняли меры безопасности, или не пользователи, не знающие, почему нельзя подключаться к незащищенному соединению, либо что такое VPN. Как объясняет ExpressVPN, любой из нас потенциально уязвим. Допустим, у вас есть Mac, с доступными соединениями Wi-Fi и Ethernet, но предпочтительным подключением является именно Ethernet. Обычная ситуация. В то же время, IP-адрес в секции «DNS-серверы» имеет вид 10.x.x.x, 192.168.x.x или расположен в диапазоне между 172.16.x.x и 172.31.x.x, это и есть ваш локальный IP-адрес. Значит, маршрутизатор выполняет функцию DNS-сервера, и ваши DNS-запросы легко просматриваются интернет-оператором. В этом случае, вы являетесь полностью уязвимы для утечек данных через DNS-сервер, хотя на первый взгляд система выглядит защищенной. 

Исследование PerimeterX показало, что киберпреступники перестали использовать одну модель нападения, а вместо этого разрабатывают атаку специально под каждую компанию в eCommerce. И это неудивительно: ведь программы для кибератак легко приобрести в темном вебе за $100. Более того, как продемонстрировал отчет Verizon нынешнего года, в 61% инцидентов утечка данных произошла после кражи реквизитов аккаунта. Киберпреступники платят $2 за покупку миллиардов логинов и паролей, а затем используют информацию для взлома и получают огромное финансовое вознаграждение. 

Статистика киберугроз в eCommerce 

Чтобы определить, чего ждать от будущего года, взглянем на следующие факты и цифры. 

·        По информации Cyberpion, 83% американских представителей сферы электронной коммерции уязвимы для кибератак.

·        Как сообщает отчет VMWare Carbon Black, 77% владельцев интернет-магазинов приобрели инструменты кибербезопасности, а 69% расширили IT-отделы, нанимая специалистов для оценки сети, системы и уязвимостей.

·        В 2020 году количество вирусных ботов на 32% превысило показатель 2019. Зафиксировано на 38% больше DDoS-атак. На 43% чаще крадут деньги с кредитных карт без ведома пользователя онлайн-банкинга и на 56% более развитым стало финансовое мошенничество. На 45% выросло количество SQL-инъекций (введение вирусного кода в форму на сайте интернет-магазина с целью заполучить деньги покупателя в момент проведения платежа онлайн).

Те представители eCommerce, которые сумели адаптироваться к угрозам цифровой эпохи, предприняли ряд мер безопасности. Посмотрим, к каким результатам это привело, согласно отчету WebScale. 

·        70% организаций инвестировали в двухфакторную аутентификацию.

·        54% брендов позаботились о бот-менеджменте – это системы определения вирусных ботов, а также блокировки вредоносного трафика, который нарушает работу интернет-магазина.

·        79% игроков электронной коммерции собираются вложить средства в Политику безопасности контента (Content Security Protection – CSP). Это механизм, который защищает от внедрения вирусных форм и кодов на сайте. CSP формирует правила безопасного контента и блокируют любую информацию, поступающую извне, которая не соответствует выработанным нормам.

·        64% компаний намерены приобрести системы определения мошенничества онлайн, а 72% - купить программы мониторинга реальных пользователей (Real User Monitoring – RUM).

·        68% владельцев интернет-магазинов выразили желание автоматизировать системы управления безопасностью.

·        Благодаря указанным мерам, 29% организаций усовершенствовали способность предупреждать кибератаки, по сравнению с тем, что происходило два года назад. 34% быстрее определяют намерения хакеров, 24% лучше справляются с восстановлением системы после утечки, 27% легче минимизируют влияние инцидентов на бизнес. 

 

Стандарт PCI DSS как решение

В свете событий в мире цифровых технологий недостаточно покупать программное обеспечение для выявления хакеров и противодействия их темным играм. Необходимо адаптировать политику безопасности компании в соответствие с мировыми стандартами, такими как PCI DSS.

Стандарт безопасности данных в области платежных карт (Payment Card Industry Data Security Standard – PCI DSS) содержит технические требования, которые обеспечивают безопасность финансовой информации во время проведения транзакций, хранения и передачи средств. Любая организация, которая имеет дело с оплатами онлайн, стремится соотносить принципы работы с PCI DSS. Стандарт содержит 12 требований.

1.      Установите файерволлы для защиты данных владельца карты.

2.      Не используйте пароли и другие параметры системы безопасности, указанные по умолчанию.

3.      Защищайте финансовую информацию пользователей.

4.      Зашифровывайте передачу банковских сведений ваших клиентов при подключении к общественным сетям.

5.      Инсталлируйте и регулярно обновляйте антивирусы.

6.      Разработайте систему и приложения безопасности.

7.      Оставьте доступ к клиентской базе данных только для тех сотрудников вашей фирмы, кому это по-настоящему необходимо для работы. Для всех остальных ограничьте доступ.

8.      Предоставьте уникальный ID каждому, кто имеет доступ к корпоративному компьютеру.

9.      Не допускайте физический доступ к банковской информации пользователей.

10. Отслеживайте, что происходит с доступом к сетевым ресурсам и онлайн-банкингу клиентов.

11. Постоянно тестируйте систему и сеть на наличие уязвимостей.

12. Внедрите политику безопасности, в которую будет вовлечен весь штат вашей организации.

Зачем нужен сертификат ISO?

ISO, или Международная организация по стандартизации разработала ряд принципов для обеспечения качества, безопасности, эффективности и соответствия стандартам, в том числе и в сфере электронной коммерции. Если ваш бизнес выходит на глобальный рынок, необходимо убедить, что все нормы соблюдены, и не возникнет проблем с иностранным покупателем.

Организации, работающие в eCommerce, знают, что соответствие стандартам ISO обеспечивает такую политику безопасности, которая параллельно позволит защититься от хакерских атак и утечек данных. Ведь эти сертификаты влияют на степень удовлетворения клиента, усовершенствование процессов и продуктов, операционную эффективность, внутренний аудит, управление рисками, повышение квалификации сотрудников, да и репутацию бренда в целом.

Заключение 

Сегодня хакеры атакуют сферу электронной коммерции вовсю. Троянские вирусы, фишинг, нападения с целью довести систему до отказа, социальная инженерия… Эти инструменты нацелены на взлом системы, чтобы получить персональные данные пользователей и доступ к финансовым аккаунтам. Поэтому игроки eCommerce во всем мире приходят к выводу, что всеобщая кибербезопасность – дело каждого. Любая организация, занимающаяся торговлей в сети, обязана соответствовать мировым стандартам. Только так можно выстроить безопасное торговое пространство, свободное от мошенников.