eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Osvrt na sajber bezbednost u protekloj godini

Za početak podelio bih sa vama par interesantnih informacija:

• Svakih 39 sekundi se desi hakerski napad.
• Procena je da je globalni profit od trgovine drogom oko 400 milijardi dolara. Tokom 2018. godine zarada od sajber kriminala je procenjena na 600 milijardi dolara.
• Ruski hakeri su najbrži na svetu. Mogu se infiltrirati u bilo koju kompjutersku mrežu u proseku za 18 minuta.
• Putem dark web-a za samo 6.000 dolara možete postati građanin SAD.
• Najveći sajber napad u istoriji dogodio se 2017. godine kada je Yahoo priznao da je ugroženo 3 milijarde korisničkih naloga.

Razvoj interneta i tehnologije je pored mnogih dobrih stvari doneo i one loše. Jedna od njih, ako ne i glavna, je zloupotreba podataka – pre svega ličnih podataka. I sami smo svedoci da način kojim se barata našim ličnim podacima postaje goruća tema za sve pripadnike internet zajednice. Kako za biznise, tako i za pojedince. Svest o tome raste iz godine u godinu i postaje jedna od glavnih tema kada je u pitanju sajber bezbednost, ako ne i najvažnija stvar.

Prema istraživanju o sajber bezbednosti pod nazivom 2021. Data Breach Investigations Report, koje svake godine sprovodi američki telco operater Verizon, trend je ostao nepromenjen. Najveći procenat sajber napada je eksterne prirode i finansijski je motivisan. Međutim ono što je interesantno, je da je tokom 2020. godine upravo ovakav profil sajber napada zabeležio i veliki rast u odnosu na prethodni period.

Gledajući godinu za nama, na udaru su i dalje najviše bili serveri i pojedinci, odnosno web aplikacije, email i finansijski podaci. Kada govorimo o tipu podataka koji je najviše bio tražen, kredencijali i lični podaci su najviše bili na udaru hakera. Ono što je možda i najalarmantnije je činjenica da to nisu više pojedinci već dobro organizovane grupe koje se mogu okarakterisati kao organizovani kriminal.

Imajući u vidu da je internet trgovina imala veliki rast u proteklom periodu i da finansijski podaci, lični podaci i kredencijali imaju važnu ulogu u procesu zaštite, jasno je zašto su upravo ovi podaci i najčešće na udaru.

Šta je eCommerce bezbednost?

Pre svega trebamo napraviti razliku između termina usklađenost (compliance) i bezbednost (security). Dešava se da se ova termina koriste naizmenično, kada je u pitanju e-commerce bezbednost. Iako imaju određenih dodirnih tačaka, postoji i jedna bitna razlika. To što smo usklađeni sa određenim standardima (GDPR, CCPA, PCI DSS…) ne znači nužno da je e-commerce prodavnica u potpunosti bezbedna.

E-commerce bezbednost podrazumeva da su svi e-commerce elementi zaštićeni od nedozvoljenog pristupa, upotrebe, izmene ili uništenja. Obuhvata 6 dimenzija:

1. Integritet – sprečavanje nedozvoljene modifikacije podataka.
2. Dokaz o poreklu i integritetu podataka (Non-repudation) – „non-repudation“ je pravni termin koji se odnosi na bezbednost informacija. Podrazumeva da servis može pružiti dokaz o poreklu i integritetu podataka. Drugim rečima nemoguće je poreknuti autentičnost i integritet poruke.
3. Autentičnost – dokaz o legitimnosti izvora podataka.
4. Poverljivost – zaštita od nedozvoljenog otkrivanja podataka.
5. Privatnost – obezbeđivanje kontrole nad podacima i njihovim otkrivanjem.
6. Dostupnost – sprečavanje kašnjenja ili uklanjanje podataka.

Kako bi umanjili verovatnoću da dođe do sajber napada i umanjili štetu ukoliko dođe do nekog, potrebno je da:

• Uradimo procenu rizika unutar biznisa (Risk Assessment) – napravimo listu svih elemenata e-commerce biznisa i definišemo njihov značaj i vrednost,
• Kreiramo politiku bezbednosti (Security Policy) – pisani dokument o tome:
  • Koje elemente e-commerce biznisa štitimo od koga?
  • Zašto ih štitimo?
  • Ko je odgovoran za zaštitu?
  • Koja ponašanja su prihvatljiva, a koja nisu?
• Kreiramo plan implementacije – set koraka potrebnih da se preduzmu kako bi postigli zadovoljavajući stepen bezbednosti,
• Kreiramo sektor/odeljenje zaduženo za e-commerce bezbednost – deo organizacije koji će biti zadužen za njeno sprovođenje,
• Redovno proveravamo stepen bezbednosti.

Sada kada znamo šta je e-commerce bezbednost, reći ćemo nešto više o mogućim pretnjama do kojih može doći.

Kako da povećate bezbednost vaše Internet prodavnice?

1. Upotreba HTTPS/SSL

HTTPS (Hypertext Transfer Protocol Secure) predstavlja primarni protokol za bezbednu razmenu podataka između veb sajta i internet klijenta (Google Chrome npr.). Ovaj protokol predstavlja set pravila koja određuju koji tip informacija treba postojati i šta raditi sa podacima koji se prenose.

SSL (Secure Socket Layer) je deo HTTPS protokola koji vrši autentikaciju i enkripciju podataka između dva umrežena uređaja ili u našem slučaju e-commerce prodavnica i internet klijenta. Prednosti korišćenja SSL su sledeće:

1. Štiti podatke od pregleda i izmena u tranzitu,
2. Potvrđuje identitet internet prodavnice (vrši autentikaciju),
3. Pomaže u ispunjavanju uslova za PCI DSS usklađenost,
4. Pomaže u boljem rangiranju na Google,
5. Uliva dodatno poverenje kod korisnika internet prodavnice.

Na osnovu prethodno rečenog možemo zaključiti da je veoma korisno imati ovakvu vrstu zaštite naročito kada dolazi do razmene izuzetno osetljivih podataka kao što su lični podaci i podaci o platnoj kartici. Ovo je pogotovu korisno kada je u pitanju e-skimming napad čiji je cilj doći do ovakve vrste podataka.

2. Upotreba anti-malware softvera i firewall

Anti-malware je softverski program koji služi za detekciju, uklanjanje i preventivu bilo kog malware (crvi, virusi, trojanci…) sprečavajući na taj način njegovo zlonamerno delovanje.

Firewall je bezbedonosno rešenje koje, na osnovu definisanih pravila, proverava saobraćaj koji dolazi do servera i preduzima potrebne radnje kako bi sprečio bilo kakve zlonamerne aktivnosti koje mogu prouzrokovati hakerski napadi ili malware.

Njihovom kombinacijom postavljamo dodatni nivo zaštite za internet prodavnicu i povećavamo nivo e-commerce bezbednosti. Upotreba anti-malware i firewall je naročito važna za zaštitu od phishing napada. Takve vrste napada najčešće se manifestuju prikrivenim instaliranjem zlonamernih softvera koji prikupljaju poverljive informacije (šifre ili finansijske podatke) i prosleđuju ih trećoj strani koja ih može zloupotrebiti.

3. Korišćenje jakih, jedinstvenih lozinki i dodatnih načina autentikacije

Ove teme smo se donekle dotakli ranije. Upotreba velikih i malih slova, brojeva i specijalnih karaktera prilikom kreiranja lozinke će svakako otežati posao hakerima. Nakon kreiranja, lozinku treba menjati u redovnim vremenskim intervalima. Admin panel e-commerce prodavnice treba podesiti tako da pristup panelu imaju samo definisane IP adrese.

Još jedan način da povećate e-commerce bezbednost je i uvođenje dva nivoa autentiikacije (Two-Factor Authentication) ili 2FA. Ova bezbednosna mera funkcioniše tako što prilikom logovanja u korisnički nalog (web aplikacija ili uređaj) server na kome se nalazi ovaj nalog šalje zahtev za dodatnim načinom provere. Ovaj dodatni oblik provere je nezavisan od prvog i sistem ne dozvoljava pristup korisničkom nalogu ukoliko korisnik nije prošao obe autentikacije. Postoji više tipova 2FA metoda:

• Push notifikacija na mobilnom uređaju – pojavljuje se notifikacija koja vas pita da potvrdite pristup nalogu,
• Kod koji se šalje na mobilni uređaj – aplikacija za autentikaciju (Google Authenticator npr.) kreira kod koji je potrebno uneti prilikom pristupa nalogu,
• Slanjem koda putem SMS – na mobilni uređaj se šalje SMS sa kodom koji je potrebno uneti,
• Slanjem koda putem email-a – slično prethodnoj metodi samo u ovom slučaju kod se šalje putem email,
• Fizički token – mali uređaj koji kontinualno kreira kod za pristup.

Napomenuo bih da je ovo i jedan od osnovnih načina da se zaštitimo od domain hijacking-a tj. krađe domena. Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i ujedno i najjednostaviji onaj u kojem dolazi do preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra ili kod hosting provajdera čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena. Više o krađi domena i načinima na koje možete povećati bezbednost svog domena pročitajte u tekstu na sajtu domen.rs.

Najčešći razlozi zašto se vrši domain hijacking su:

• Redirekcija saobraćaja
• Preusmeravanje email komunikacije
• Pharming
• Phishing
• Preprodaja domena
• Transfer domena

4. Redovan update internet prodavnice i third-party integracija

E-commerce bezbednost je konstantna igra mačke i miša. Hakeri pronađu bezbedonosni propust u web aplikaciji ili third-party integraciji. Softver inžinjeri uklone taj propust. U slučaju da se koristi neka od e-commerce platformi onda je ovaj proces u manjoj ili većoj meri automatizovan. U slučaju da se koristi sopstveno rešenje onda je odgovornost za testiranje, update i otklanjanje bezbedonosnih propusta isključivo na vama. Ista je situacija i sa third-party integracijama.

Redovnim i pravilnim održavanjem internet prodavnice i aplikacija smanjujemo mogućnost od napada u vidu kompjuterskih virusa (vrsta malware) i time povećavamo e-commerce bezbednost.

5. Implementacija PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS je set bezbedonosnih polisa i standarda sa ciljem da :

• Optimizuje bezbednost svih transakcija
• Zaštiti lične podatke vlasnika platne kartice i spreči zloupotrebu

Organizacija koja se brine o sprovođenju PCI DSS zove se Payment Card Industry Security Standards Council i njeni osnivači su Visa, MasterCard, American Express, Discover i JCB. Svi biznisi koji se bave prihvatanjem, prenosom i čuvanjem podataka vlasnika platnih kartica dužni su da budu usklađeni sa ovim standardom.

Usklađenost sa PCI DSS je važno iz sledećih razloga:

• Sprečava finansijske prevare i hakerske napade radi prikupljanja podataka o korisnicima internet prodavnice,
• Gradi poverenje korisnika u e-commerce brend,
• Otklanja potrebu da se podaci o platnim karticama korisnika skladište na sopstvenim serverima i na taj način povećava e-commerce bezbednost i smanjuje troškove servera.

Više o PCI DSS možete saznati OVDE.

eCommerce bezbednost: važan korak ka uspehu online biznisa

Postaviti e-commerce bezbednost na odgovarajući nivo je vitalan korak ka uspehu jednog biznisa. Primena saveta iz ovog posta, kao i redovno praćenje i prilagođavanje dešavanjima iz oblasti e-commerce bezbednosti, pružiće vašim korisnicima iskustvo kupovine u koju mogu imati poverenja.

Imajte na umu da, kada je u pitanju e-commerce bezbednost, nekada je dovoljna i jedna jedina greška i vaš e-commerce biznis je propao zauvek. Zato bih na kraju istakao da je podjednako važno investirati u bezbednost kao i u marketing ili veb dizajn.