Na początku 2021 roku zarejestrowano w naszym kraju niemal 44,5 tysiąca e-sklepów, czyli o 21,5% więcej niż w analogicznym okresie poprzedniego roku. Wszystko z uwagi na większe zainteresowanie zakupami online. Większa aktywność w tym obszarze sieci powoduje też wzrost zagrożenia atakami, więc jako przedsiębiorca warto zadbać o ogólne bezpieczeństwo swojej platformy. Jak bezpiecznie prowadzić e-sklep?
Jakub Jacek. Zwany człowiekiem bez nazwiska, od wielu lat pomaga swoim klientom w zakresie strategii biznesowych, projektowania skutecznych stron internetowych oraz marketingu internetowego opartego w szczególności o Facebook Ads i Content Marketing. Na swoim blogu uczy jak skutecznie reklamować swój biznes oraz uświadamia przedsiębiorców o niebezpieczeństwach czyhających na nich w „internetach”.
Dbaj o bezpieczeństwo swoje i klienta
Właściciele sklepów internetowych powinni dbać o bezpieczeństwo zarówno swoich kanałów dystrybucji, ale też zapewniać je klientom. W zasadzie kwestie bezpieczeństwa klienta powinny stać na pierwszym miejscu.
Domagają się tego m.in. przepisy RODO, czy odpowiednie komunikaty do użytkowników usług). Z mojego doświadczenia wynika jednak, że warto stosować szerszą politykę w celu podnoszenia jakości obsługi klienta.
Przez zastosowanie pewnych kroków osiągnięte zostaną cele dla obu stron transakcji, więc bezpieczne prowadzenie sklepu należy tutaj rozpatrywać synergicznie.
Szyfrowane połączenie SSL, 3D-Secure i silne hasło
Dzisiejszym standardem podczas prowadzenia usług w Internecie jest odpowiednie szyfrowanie połączenia między serwerem a klientem. Charakterystyczna kłódeczka na pasku adresowym przeglądarki potwierdza zastosowanie ochrony danych użytkowników. Umiejętne informowanie o certyfikacie SSL nie tylko zachęci do korzystania ze sklepu, ale też zabezpieczy dane osobowe podczas zakupów.
Na tym etapie warto zapoznać się z ofertą hostingu, czyli ocenić poziom zabezpieczeń i jakość prowadzonych usług przez dostawcę przestrzeni dla naszego sklepu. Szyfrowany serwer to dodatkowa zaleta. Przy większych sklepach warto zastosować serwery różnych dostawców, tj. nosić jajka w kilku koszyczkach.
Bazy danych powinny być przy tym jednocześnie zabezpieczane silnym hasłem. Musi być ono oczywiście unikatowe, trudne do odgadnięcia, możliwie długie oraz składać się z różnych znaków, cyfr i liter. Dobrą praktyką jest też regularne zmienianie haseł dostępu oraz kontrolowanie uprawnień użytkowników, którzy mają dostęp do platformy jako pracownicy różnego szczebla.
Warto dodatkowo wyłączyć logowanie do panelu administracyjnego przez sieci publiczne lub uruchomić dostęp wyłącznie przez VPN (wirtualne sieci prywatne). Szkolenie kadry pod względem dbania o bezpieczeństwo jest tu równie istotne, gdyż jest ona ważnym (i często najsłabszym) ogniwem w całym naszym biznesie. Zastosowane normy ochrony na poziomie platformy przenieśmy też na pracowników. Dla dobra wspólnego.
System płatności będący integralną częścią praktycznie każdego współczesnego e-sklepu również powinien oferować aktualne standardy bezpieczeństwa. Tutaj najczęściej stosowanym rozwiązaniem jest 3D-Secure. Ta metoda autoryzacji jest wykorzystywana przez większość organizacji płatniczych, więc będzie akceptowana też przez wielu klientów.
Im większy wybór alternatywnych sposobów płatności, tym więcej klientów skorzysta ze sklepu. Każdą jednak należy wdrażać do swoich usług uwzględniając warunki ochrony klienta. Przykładowo, przy płatnościach BLIKiem warto uczulać klientów na sztuczki cyberprzestępców, którzy mogą podszywać się pod sklep w celu wyłudzenia pieniędzy.
Backup bazy danych e-sklepu
Sklepy internetowe są atakowane na różne sposoby. Jedne wyrządzają większe, inne mniejsze krzywdy, ale zawsze awaryjną receptą będzie tu backup wszystkich danych.
Bazy na serwerach zawierają mnóstwo informacji, które w razie potrzeby można odzyskać lub odtworzyć. To nie tylko biblioteki produktów, ich opisy i różnego rodzaju statystyki, ale też zasoby relacji, powiązań oraz przekazu dla algorytmów, które ułatwiają klientom poruszanie się po sklepie (lub nawet sugerowanie dodatkowych zakupów). Szkoda stracić historię takiej bazy. Jej przywrócenie może być bez plików backupu niemożliwe lub bardzo trudne i czasochłonne do ponownego uruchomienia.
Kopię bazy danych e-sklepu warto robić możliwie często, szczególnie przy częstym uzupełnianiu pozycji oraz wielu transakcjach. Wybrani hostingodawcy oferują tworzenie takiego archiwum nawet kilka razy na dobę, ale nie warto liczyć wyłącznie na usługi zewnętrzne. Każdy szanujący się sklep internetowy powinien robić backup we własnym zakresie. Zdarzają się przecież także awarie serwerowni.
W tej drugiej opcji mamy więcej możliwości w zakresie doboru zapisu kopii wybranych (najważniejszych z punktu widzenia biznesu) plików. Odpowiednie oprogramowanie do backupu jest kosztem, ale niewielkim w porównaniu do strat jakie może spowodować utrata danych sklepu, jego przejęcie przez hakerów lub jakaś niespodziewana awaria.
Ochrona e-sklepu przed phishingiem i ransomware
Dlaczego własny backup jest tak ważny? Właściciele e-sklepów muszą być przygotowani na niespodziewane ataki na swoje platformy sprzedażowe. Hakerzy szukają okazji nie tylko przy wyłudzaniu danych z prywatnych kont użytkowników, ale też większych instytucji i firm, gdzie mogą uzyskać więcej “korzyści”. Stosują tutaj wiele różnych metod, ale dwie z nich są popularniejsze. To phishing i ransomware. Obie mogą powodować ogromne straty dla biznesu. Warto zatem wiedzieć, jak funkcjonują i jak się przed nimi bronić.
Phishing to sposób oszustwa, w którym cyberprzestępcy podszywają się pod daną osobę lub instytucję, by wyłudzać wrażliwe informacje. Służą one potem do kolejnych ataków na większą skalę. W przypadku internetowego sklepu, phishing ma podwójne znaczenie, gdyż może dotyczyć dwóch sytuacji.
W jednej może być po prostu ofiarą wyłudzania poufnych danych z bazy sklepu (np. statystyk i planów biznesowych, które dają przewagę nad konkurencją), natomiast w drugiej pełnić rolę “oszusta”. Internetowi przestępcy podszywają się wtedy pod naszą markę, by wzbudzać zaufanie Internautów. W ten sposób nieświadomi niczego klienci przekazują hakerom swoje prywatne dane (od loginów i haseł, po pieniądze).
Ransomware to z kolei metoda bazująca na złośliwym oprogramowaniu, które może być wgrane na serwery sklepu przy okazji m.in. działań phishingowych. Dostęp do e-sklepu jest blokowany, co pozwala na użycie szantażu. Najczęściej jest to okup, po którego opłaceniu atakujący obiecują przywrócenie stanu platformy lub odzyskanie kontroli nad nią. Jak się bronić przed phishnigiem i ransomware?
Oba działania wykorzystują inżynierię społeczną, więc swoje uwagi musimy koncentrować na umiejętności wykrywaniu zjawiska. Znając samą budowę metody ataków jesteśmy w stanie się jej przeciwstawić. Weryfikujmy nadesłane na skrzynkę mailową wiadomości, nie klikajmy bezmyślnie w przesłane linki (mogą być zainfekowane), sprawdzajmy z kim się kontaktujemy.
Dwuskładnikowa weryfikacja konta e-sklepu
Tym, co najczęściej interesuje hakerów są przede wszystkim loginy i hasła służące do logowania się do internetowych kont. W większości nie dbamy o wystarczającą siłę tej podstawowej ochrony dostępu, więc nowym standardem w sieci stała się dwuskładnikowa weryfikacja (tzw. 2FA, z ang. “Two Factor Authentication”).
Polega ona na dodatkowym etapie, w którym potrzebne jest wprowadzenie kodu wysyłanego na tylko nam znane urządzenie. Przestępcom nie wystarczy wtedy sam login i hasło. Przez zastosowanie dwuetapowego uwierzytelniania utrudniamy im dalsze działanie.
Dwuskładnikową weryfikację warto uruchomić nie tylko w samym e-sklepie, ale zachęcać do tego też samych użytkowników serwisu. Takie połączenie ochrony profili administracyjnych, pracowniczych, ale i klienckich będzie spełniało współczesne minimum bezpieczeństwa w sieci. Niestety, nawet najlepszym hasłem można się wręcz “podzielić” z cyberprzestępcą, gdy gra się według jego sztuczek.
Mimo to sprytne podejście z wykorzystaniem phishingu jest w stanie obejść i tę drugą zaporę. Najskuteczniejsze będzie tu zatem zastosowanie innej, mocniejszej i wygodniejszej formy dwuetapowej weryfikacji – U2F (Universal 2nd Factor), w której kod na telefon zastępowany jest fizycznym kluczem USB (lub NFC).
U2F chroni o wiele silniej, gdyż proces weryfikacji odbywa się w kluczu podłączonym do komputera lub smartfona. Hakerzy musieliby mieć do niego bezpośredni dostęp, więc nie uda im się wykradać danych zdalnie. Taki kluczyk (najczęściej w postaci pendrive’a) jest też mniej uciążliwy podczas samego logowania, gdyż weryfikacja użytkownika odbywa się automatycznie. Nie jest to też drogie zabezpieczenie, a warte wdrożenia w całej firmie, gdzie z panelu sklepu korzysta wielu pracowników.
Sklep internetowy w social media
Zabezpieczenie własnej platformy sprzedażowej to jedno, ale obecnie handel kieruje się w stronę integracji e-sklepów z popularnymi platformami Social Media, więc na bezpieczeństwo należy patrzeć też od ich strony.
Połączenie bazy produktów z Facebookiem umożliwia dotarcie do bardzo szerokiej bazy nowych klientów, ale wymaga też dodatkowych zabezpieczeń, które dobrze jest aktywować zawczasu. Warto zatem powiązać własny sklep internetowy z dodatkowym “rynkiem”, ale z pamięcią o odpowiednim dbaniu o jego ochronę.
Facebook oferuje własny zakres zabezpieczeń, m.in. wspomnianą już wyżej dwuetapową weryfikację i możliwość aktywacji Klucza Fizycznego U2F. Instagram również oferuje swoje metody ochrony kont, gdzie także możliwe jest integrowanie treści z zakupowymi elementami prowadzącymi do zewnętrznych sklepów.
Jak bezpiecznie prowadzić e-sklep?
Otwarcie sklepu internetowego nie jest dziś trudnym zadaniem. Na rynku jest wiele gotowych platform, które szybko możemy integrować z kolejnymi narzędziami lub dodatkowymi bazami klientów stron społecznościowych. Jednak by wszystko działało jak należy, trzeba rozpocząć od razu z adekwatnymi zabezpieczeniami.
Na pierwszym miejscu najlepiej postawić bezpieczeństwo danych klienta, ponieważ myśląc o ochronie z jego perspektywy dbamy jednocześnie o cały swój biznes. E-sklep powinien mieć także bezpieczny, sprawdzony i szyfrowany serwer, regularne backupy, silne hasła i dwuetapową weryfikację, ale jego właściciel musi być też na bieżąco z metodami ataków hakerskich, by się przed nimi chronić lub regularnie zlecać kontrole zabezpieczeń swoich internetowych zasobów. Stosując wszystkie powyższe dobre praktyki ustrzeżemy się przed zbędnymi konsekwencjami, a nasz sklep będzie pracował bez bezpieczniej.
Zdjęcie główne artykułu pochodzi z unsplash.com.
1 szybką poradę,
1 narzędzie.
