Jak zabezpieczyć mały e-commerce od wycieków danych i ataków

Specjaliści od e-commerce oraz bezpieczeństwa doradzają w 9 punktach jak najlepiej zabezpieczyć dane w małych firmach.

Jak zabezpieczyć mały e-commerce od wycieków danych i ataków

Cyber-bezpieczeństwo i wycieki danych to nieustannie jedne z najbardziej gorących na rynku tematów. Kwestie te są szczególnie ważne dla małych biznesów e-commerce, które korzystają z platform open-source lub których nie stać na inwestowanie w rozbudowane i drogie narzędzia do zabezpieczania danych. Jakie więc można podjąć kroki by lepiej zabezpieczać dane swoje oraz swoich klientów bez narażania się na duże koszty? Oto porady ekspertów.

1. Edukuj pracowników

“Cyberataki stają się coraz bardziej wyrafinowane, a nawet wiadomości e-mail, które są rozsyłane jako spam, prezentują coraz wyższą „jakość” wyglądając często jak zwykła wiadomość biznesowa” – mówi Norman Guadagno z firmy Carbonite. „Dla większości złośliwego oprogramowania wystarczy dosłownie jedno kliknięcie by zainstalować się w systemie użytkownika i dobrać do wrażliwych danych”. W związku z tym pierwszym i najważniejszym krokiem do zabezpieczenia interesów swoich i współpracowników jest nieustanne edukowanie ich w zakresie nowych zagrożeń. Dobrze jest chociażby raz na dwa miesiące zaprezentować kilka scenariuszy z życia wziętych, które pokazują jak łatwo można dać się nabrać cyberprzestępcom i jak można było uniknąć katastrofy. Warto też samemu dokonywać od czasu do czasu małego testu bezpieczeństwa – wiadomo wówczas na co zwrócić uwagę i w jakim zakresie edukować. Do takiego testu można zawsze także zatrudnić wyspecjalizowane firmy lub eksperci, którzy dokonują „ataku” opartego o inżynierię społeczną.

2. Upewnij się, że Twoja firma hostująca jest niezawodna

„Korzystaj tylko z usług zadufanych dostawców hostingu, bo akurat w tym temacie nie ma co oszczędzać. Sprawdź dokładnie czy traktują bezpieczeństwo poważnie, chociażby – czy używają szyfrowania” – mówi Troy Gill, menedżer z AppRiver, która specjalizuje się bezpieczeństwem stron internetowych i wiadomości e-mail.

3. Używaj bezpiecznej platformy ecommerce

„Korzystaj z hostowanego koszyka” – mówi Christopher Flemming z Onlinestorehelp.com i doradza by w wyborze platformy e-commerce dowiedzieć się chociażby czy ta przeszła pierwszy poziom audytu PCI-DSS, co oznacza poważne podejście do tematu.

4. Ustaw szyfrowanie SSL

„Upewnij się, że wszystkie transakcje na Twojej stronie internetowej są szyfrowane za pomocą protokołów SSL/HTTPS – mówi Dodi Glenn, współzałożyciel PC Pitstop. „Wybierając platformę e-commerce upewnij się, że wspiera ona protokół SSL dla transakcji. Dzięki temu będziesz przeprowadzać transakcje bezpiecznie, bez ryzykowania utraty wrażliwych informacji, które w innym przypadku mogłyby być przekazywane w prostej formie tekstowej”. Tutaj radzimy pójść o krok więcej i upewnić się, że cała Twoja strona jest zabezpieczona certyfikatem SSL, a nie tylko bramka płatności. Dzięki temu otrzymasz większą pewność, że wszystkie dane Twoich klientów są bezpieczne (w tym adresy e-mail). Google też lepiej traktuje strony z certyfikatem SSL.

5. Korzystaj z WAF Web Application Firewall

Biznes e-commerce powinien korzystać z usług WAF by chronić swoje strony przed różnego rodzaju atakami takimi jak Cross Site Scripting, Denial of Service czy brute force. „Wiele form oferuje WAF jako standard lub za bardzo małą dopłatą, a konfiguracja usługi może zamknąć się dosłownie w kilku minutach. Warto się tym tematem zainteresować” - mówi Glenn.

6. Spraw by Twoi pracownicy często zmieniali hasła

Zmuś pracowników by często zmieniali swoje hasła – mówi John Arroyo, CEO Arroyo Labs. Zgadzamy się. Większość udanych ataków opiera się na atakach zbudowanych na inżynierii społecznej oraz słabych hasłach użytkowników. Bardzo często najłatwiejszą metodą by włamać się komuś do skrzynki jest po prostu kliknięcie „przypomnij hasło” i udzielenie odpowiedzi na tak banalne pytanie jak „data urodzin” lub „imię pierwszego psa”. Ba, równie często zdarza się, że samo hasło również należy do tej grupy. Także zachęcamy by hasła miały ustalaną datę ważności – maksymalnie 90 dni – po której trzeba będzie je zmienić. To łatwa i skuteczna metoda na zwiększenie bezpieczeństwa w organizacji (przy okazji pracownicy przypominają sobie, że istnieje coś takiego jak bezpieczeństwo dostępu do poufnych danych). Druga rzecz – należy pilnować (najlepiej systemowo) by wpisywane hasła zawierały znaki specjalne lub liczby. Nie ma zmiłuj.

7. Używaj wielostopniowej autoryzacji

Wielostopniowa autoryzacja dodaje do każdego systemu dodatkową warstwę ochronną i jest szczególnie skuteczna przeciwko atakom botnetów i podobnym zautomatyzowanym zagrożeniom. Więcej na ten temat przeczytacie w artykule o zabezpieczaniu Androida. Warto dodać, że w przypadku komputerów PC istnieje wiele dodatków, które ułatwiają życie z weryfikacją dwuetapową – ot, choćby aplikacja mobilna Google Authenticator, która generuje kody weryfikacji dwuetapowej na telefonie użytkownika. Warto poszukać tego typu rozwiązań.

8. Aktualizuj ile możesz, szczególnie open-source (jak WordPress czy Magento)

„Prawie 25% wszystkich stron internetowych jest zbudowana na WordPressie” – mówi John Macaulay, współzałożyciel BizZen Canada. WordPress to świetna platforma, jednak fakt, że należy do kategorii open-source i jednocześnie jest popularna, sprawia, że jest bardzo podatna na ataki. Aby jak najbardziej zminimalizować zagrożenie należy zawsze jak najszybciej aktualizować wtyczki do tej platformy, a także znaleźć dodatkowe pluginy, które odpowiadają bezpośrednio za bezpieczeństwo.

9. Upewnij się, że robisz regularny backup

By spać już całkiem spokojnie, trzeba także upewnić się, że pilnujemy tworzenia regularnych kopii zapasowych – zarówno na nośnikach fizycznych, jak i w chmurze (gdzie można ten proces łatwo zautomatyzować). To istotne zarówno w przypadku biznesu, jak i prywatnych danych. (Osobiście przekonałem się o konieczności backupu, gdy niespodziewanie padł dysk i przepadły zapisy gier z Wiedźmina 3, około 60-70 godzin spędzonych w wirtualnym świecie. Nie życzę nikomu podobnej przygody – czy to prywatnie, czy biznesowo).