eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

eCommerce bezbednost: 5 saveta za bezbedniju internet trgovinu

Svakog oktobra održava se Evropski mesec sajber bezbednosti. Sa porastom internet trgovine u svetu, ali i u Srbiji, zapitali smo se kako povećati bezbednost domaćih internet prodavnica i šta to mali i veliki trgovci mogu da urade kako bi zaštitili svoje kupce. Korisne savete potražite u nastavku ovog vodiča.

Osvrt na sajber bezbednost u protekloj godini

Za početak podelio bih sa vama par interesantnih informacija:

Razvoj interneta i tehnologije je pored mnogih dobrih stvari doneo i one loše. Jedna od njih, ako ne i glavna, je zloupotreba podataka – pre svega ličnih podataka. I sami smo svedoci da način kojim se barata našim ličnim podacima postaje goruća tema za sve pripadnike internet zajednice. Kako za biznise, tako i za pojedince. Svest o tome raste iz godine u godinu i postaje jedna od glavnih tema kada je u pitanju sajber bezbednost, ako ne i najvažnija stvar.

Prema istraživanju o sajber bezbednosti pod nazivom 2021. Data Breach Investigations Report, koje svake godine sprovodi američki telco operater Verizon, trend je ostao nepromenjen. Najveći procenat sajber napada je eksterne prirode i finansijski je motivisan. Međutim ono što je interesantno, je da je tokom 2020. godine upravo ovakav profil sajber napada zabeležio i veliki rast u odnosu na prethodni period.

Gledajući godinu za nama, na udaru su i dalje najviše bili serveri i pojedinci, odnosno web aplikacije, email i finansijski podaci. Kada govorimo o tipu podataka koji je najviše bio tražen, kredencijali i lični podaci su najviše bili na udaru hakera. Ono što je možda i najalarmantnije je činjenica da to nisu više pojedinci već dobro organizovane grupe koje se mogu okarakterisati kao organizovani kriminal.

Imajući u vidu da je internet trgovina imala veliki rast u proteklom periodu i da finansijski podaci, lični podaci i kredencijali imaju važnu ulogu u procesu zaštite, jasno je zašto su upravo ovi podaci i najčešće na udaru.

Šta je eCommerce bezbednost?

Pre svega trebamo napraviti razliku između termina usklađenost (compliance) i bezbednost (security). Dešava se da se ova termina koriste naizmenično, kada je u pitanju e-commerce bezbednost. Iako imaju određenih dodirnih tačaka, postoji i jedna bitna razlika. To što smo usklađeni sa određenim standardima (GDPR, CCPA, PCI DSS…) ne znači nužno da je e-commerce prodavnica u potpunosti bezbedna.

E-commerce bezbednost podrazumeva da su svi e-commerce elementi zaštićeni od nedozvoljenog pristupa, upotrebe, izmene ili uništenja. Obuhvata 6 dimenzija:

  1. Integritet – sprečavanje nedozvoljene modifikacije podataka.
  2. Dokaz o poreklu i integritetu podataka (Non-repudation) – „non-repudation“ je pravni termin koji se odnosi na bezbednost informacija. Podrazumeva da servis može pružiti dokaz o poreklu i integritetu podataka. Drugim rečima nemoguće je poreknuti autentičnost i integritet poruke.
  3. Autentičnost – dokaz o legitimnosti izvora podataka.
  4. Poverljivost – zaštita od nedozvoljenog otkrivanja podataka.
  5. Privatnost – obezbeđivanje kontrole nad podacima i njihovim otkrivanjem.
  6. Dostupnost – sprečavanje kašnjenja ili uklanjanje podataka.

Kako bi umanjili verovatnoću da dođe do sajber napada i umanjili štetu ukoliko dođe do nekog, potrebno je da:

  • Uradimo procenu rizika unutar biznisa (Risk Assessment) – napravimo listu svih elemenata e-commerce biznisa i definišemo njihov značaj i vrednost,
  • Kreiramo politiku bezbednosti (Security Policy) – pisani dokument o tome:
    • Koje elemente e-commerce biznisa štitimo od koga?
    • Zašto ih štitimo?
    • Ko je odgovoran za zaštitu?
    • Koja ponašanja su prihvatljiva, a koja nisu?
  • Kreiramo plan implementacije – set koraka potrebnih da se preduzmu kako bi postigli zadovoljavajući stepen bezbednosti,
  • Kreiramo sektor/odeljenje zaduženo za e-commerce bezbednost – deo organizacije koji će biti zadužen za njeno sprovođenje,
  • Redovno proveravamo stepen bezbednosti.

Sada kada znamo šta je e-commerce bezbednost, reći ćemo nešto više o mogućim pretnjama do kojih može doći.

Kako da povećate bezbednost vaše Internet prodavnice?

1. Upotreba HTTPS/SSL

HTTPS (Hypertext Transfer Protocol Secure) predstavlja primarni protokol za bezbednu razmenu podataka između veb sajta i internet klijenta (Google Chrome npr.). Ovaj protokol predstavlja set pravila koja određuju koji tip informacija treba postojati i šta raditi sa podacima koji se prenose.

SSL (Secure Socket Layer) je deo HTTPS protokola koji vrši autentikaciju i enkripciju podataka između dva umrežena uređaja ili u našem slučaju e-commerce prodavnica i internet klijenta. Prednosti korišćenja SSL su sledeće:

  1. Štiti podatke od pregleda i izmena u tranzitu,
  2. Potvrđuje identitet internet prodavnice (vrši autentikaciju),
  3. Pomaže u ispunjavanju uslova za PCI DSS usklađenost,
  4. Pomaže u boljem rangiranju na Google,
  5. Uliva dodatno poverenje kod korisnika internet prodavnice.

Na osnovu prethodno rečenog možemo zaključiti da je veoma korisno imati ovakvu vrstu zaštite naročito kada dolazi do razmene izuzetno osetljivih podataka kao što su lični podaci i podaci o platnoj kartici. Ovo je pogotovu korisno kada je u pitanju e-skimming napad čiji je cilj doći do ovakve vrste podataka.

2. Upotreba anti-malware softvera i firewall

Anti-malware je softverski program koji služi za detekciju, uklanjanje i preventivu bilo kog malware (crvi, virusi, trojanci…) sprečavajući na taj način njegovo zlonamerno delovanje.

Firewall je bezbedonosno rešenje koje, na osnovu definisanih pravila, proverava saobraćaj koji dolazi do servera i preduzima potrebne radnje kako bi sprečio bilo kakve zlonamerne aktivnosti koje mogu prouzrokovati hakerski napadi ili malware.

Njihovom kombinacijom postavljamo dodatni nivo zaštite za internet prodavnicu i povećavamo nivo e-commerce bezbednosti. Upotreba anti-malware i firewall je naročito važna za zaštitu od phishing napada. Takve vrste napada najčešće se manifestuju prikrivenim instaliranjem zlonamernih softvera koji prikupljaju poverljive informacije (šifre ili finansijske podatke) i prosleđuju ih trećoj strani koja ih može zloupotrebiti.

3. Korišćenje jakih, jedinstvenih lozinki i dodatnih načina autentikacije

Ove teme smo se donekle dotakli ranije. Upotreba velikih i malih slova, brojeva i specijalnih karaktera prilikom kreiranja lozinke će svakako otežati posao hakerima. Nakon kreiranja, lozinku treba menjati u redovnim vremenskim intervalima. Admin panel e-commerce prodavnice treba podesiti tako da pristup panelu imaju samo definisane IP adrese.

Još jedan način da povećate e-commerce bezbednost je i uvođenje dva nivoa autentiikacije (Two-Factor Authentication) ili 2FA. Ova bezbednosna mera funkcioniše tako što prilikom logovanja u korisnički nalog (web aplikacija ili uređaj) server na kome se nalazi ovaj nalog šalje zahtev za dodatnim načinom provere. Ovaj dodatni oblik provere je nezavisan od prvog i sistem ne dozvoljava pristup korisničkom nalogu ukoliko korisnik nije prošao obe autentikacije. Postoji više tipova 2FA metoda:

  • Push notifikacija na mobilnom uređaju – pojavljuje se notifikacija koja vas pita da potvrdite pristup nalogu,
  • Kod koji se šalje na mobilni uređaj – aplikacija za autentikaciju (Google Authenticator npr.) kreira kod koji je potrebno uneti prilikom pristupa nalogu,
  • Slanjem koda putem SMS – na mobilni uređaj se šalje SMS sa kodom koji je potrebno uneti,
  • Slanjem koda putem email-a – slično prethodnoj metodi samo u ovom slučaju kod se šalje putem email,
  • Fizički token – mali uređaj koji kontinualno kreira kod za pristup.

Napomenuo bih da je ovo i jedan od osnovnih načina da se zaštitimo od domain hijacking-a tj. krađe domena. Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i ujedno i najjednostaviji onaj u kojem dolazi do preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra ili kod hosting provajdera čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena. Više o krađi domena i načinima na koje možete povećati bezbednost svog domena pročitajte u tekstu na sajtu domen.rs.

Najčešći razlozi zašto se vrši domain hijacking su:

  • Redirekcija saobraćaja
  • Preusmeravanje email komunikacije
  • Pharming
  • Phishing
  • Preprodaja domena
  • Transfer domena

4. Redovan update internet prodavnice i third-party integracija

E-commerce bezbednost je konstantna igra mačke i miša. Hakeri pronađu bezbedonosni propust u web aplikaciji ili third-party integraciji. Softver inžinjeri uklone taj propust. U slučaju da se koristi neka od e-commerce platformi onda je ovaj proces u manjoj ili većoj meri automatizovan. U slučaju da se koristi sopstveno rešenje onda je odgovornost za testiranje, update i otklanjanje bezbedonosnih propusta isključivo na vama. Ista je situacija i sa third-party integracijama.

Redovnim i pravilnim održavanjem internet prodavnice i aplikacija smanjujemo mogućnost od napada u vidu kompjuterskih virusa (vrsta malware) i time povećavamo e-commerce bezbednost.

5. Implementacija PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS je set bezbedonosnih polisa i standarda sa ciljem da :

  • Optimizuje bezbednost svih transakcija
  • Zaštiti lične podatke vlasnika platne kartice i spreči zloupotrebu

Organizacija koja se brine o sprovođenju PCI DSS zove se Payment Card Industry Security Standards Council i njeni osnivači su Visa, MasterCard, American Express, Discover i JCB. Svi biznisi koji se bave prihvatanjem, prenosom i čuvanjem podataka vlasnika platnih kartica dužni su da budu usklađeni sa ovim standardom.

Usklađenost sa PCI DSS je važno iz sledećih razloga:

  • Sprečava finansijske prevare i hakerske napade radi prikupljanja podataka o korisnicima internet prodavnice,
  • Gradi poverenje korisnika u e-commerce brend,
  • Otklanja potrebu da se podaci o platnim karticama korisnika skladište na sopstvenim serverima i na taj način povećava e-commerce bezbednost i smanjuje troškove servera.

Više o PCI DSS možete saznati OVDE.

eCommerce bezbednost: važan korak ka uspehu online biznisa

Postaviti e-commerce bezbednost na odgovarajući nivo je vitalan korak ka uspehu jednog biznisa. Primena saveta iz ovog posta, kao i redovno praćenje i prilagođavanje dešavanjima iz oblasti e-commerce bezbednosti, pružiće vašim korisnicima iskustvo kupovine u koju mogu imati poverenja.

Imajte na umu da, kada je u pitanju e-commerce bezbednost, nekada je dovoljna i jedna jedina greška i vaš e-commerce biznis je propao zauvek. Zato bih na kraju istakao da je podjednako važno investirati u bezbednost kao i u marketing ili veb dizajn.


Želiš da podeliš svoje mišljenje o ovoj temi? Komentari su otvoreni na našoj Facebook i LinkedIn stranici!

Popularno

Startapi i poslovanje

Anygo je novi servis za deljenje vozila u Beogradu putem aplikacije – čija se mreža širi

Na ulicama glavnog grada pojavili su se mali gradski Hyundai automobili sa natpisom 'Anygo car sharing'. Prestonica je konačno dobila jedan ovakav servis, a mi vam u intervjuu sa osnivačem startapa 'Anygo' otkrivamo kako on funkcioniše i na koji način je nastao.

Novost

Sve što treba da znate o aplikaciji Agencije za privredne registre

APR je uveo aplikaciju za sastavljanje i podnošenje finansijskih izveštaja za 2023. godinu, u skladu sa Zakonom o računovodstvu. Za vas smo izdvojili najvažnije pojedinosti vezane za njeno korišćenje.

Ekskluzivno

HTEC akvizirao kompaniju SYRMIA – 250 inženjera postaje deo grupe

Kompanija HTEC koja se bavi konsaltingom, softverskim inženjerstvom i razvojem digitalnih proizvoda, osnovana u Beogradu i sa sadašnjim sedištem u San Francisku, akvizirala je kompaniju SYRMIA iz Beograda.

Propustili ste

Analiza

Bindžovanje bez interneta? Uz EON platformu, gde god poželite

Kompanija SBB predstavila je novi EON Video klub, koji transformiše iskustvo gledanja sadržaja inovativnim interfejsom, preporukama, personalizovanim odabirom sadržaja i funkcijom preuzimanja sadržaja za gledanje 'offline'. Donosimo vam prve utiske.

Gaming

For The Win! konferencija ove godine okuplja preko 500 ‘game dev’ profesionalaca

Treće izdanje konferencije For The Win! posvećene game developmentu u Srbiji održaće se 29. i 30. maja, a pored već tradicionalnog večernjeg keynote programa u Bitef teatru, glavni program biće održan u MTS Dvorani, uz dodatne spin-off događaje, žurke i prilike za neformalni networking.

Intervju

Lena Miladinović: Od žene se uvek traži više — u šahu i u preduzetništvu!

Ovogodišnji osmomartovski specijal otvaramo intervjuom s višestrukom državnom prvakinjom u šahu i osnivačicom Outpostchess startapa.

Startapi i poslovanje

Novi GapMinder Fond II s kapitalom od €80 miliona targetira i srpske startape!

GapMinder Ventures, VC fond koji je dosad primarno ulagao u tehnološke kompanije iz Rumunije, pokreće GapMinder Fond II, investicioni paket od 80 miliona evra koji će biti alociran i na širem istočnoevropskom regionu, pa tako i Srbiji i Hrvatskoj.

Tehnologija

SEO Spam: Kako su AI generisani advokati pokušali da prevare Netokraciju?

Razvojem veštačke inteligencije cyber kriminalci postaju sve veštiji, a napadi sve maliciozniji. Donosimo vam priču o tome kako smo uspeli da raskrinkamo jedan takav pokušaj ucene.

Office Talks Podcast

Da li će Bitcoin doći do $100.000?

Dolazak Bitcoin ETF-a izazvao je pažnju mnogih u Web3 svetu. Upravo o ovoj temi ali i o stanju na tržištu kriptovaluta, razgovarali smo u novoj epizodi podkasta sa Aleksandrom Matanovićem, direktorom i osnivačem kripto menjačnice ECD.rs.