Elektroninės prekybos svetainės itin populiarios tarp įsilaužėlių, nes sistemoje saugomi vertingi duomenys jiems atveria daugybę galimybių. Vienas pagrindinių tokių įsilaužėlių tikslų – gauti kredito kortelių duomenis, o galbūt ir klientų asmeninius duomenis, kuriuos vėliau galėtų panaudoti kitoms nusikalstamoms veikoms.
Kadangi programišiaus valiuta yra jo laikas, prieš imdamasis nusikalstamų veikų, jis atliks namų darbus ir įvertins, kiek laiko, norint įsilaužti į jūsų elektroninės prekybos sistemą, jam reikės skirti – kuo daugiau nesaugių prieigų prie įvairių duomenų, tuo šis darbas programišiui patrauklesnis. Jeigu jūsų svetainė prastai apsaugota, o joje yra daugybė lengvai gaunamų duomenų, greičiausiai ji nuo įsilaužėlių nukentės viena pirmųjų. Taigi, ką daryti, kad neatsidurtumėte programišių taikiklyje?
Pasirinkite patikimus partnerius. Pirmiausia vertėtų susirasti patikimą partnerį, kurio sistemoje bus saugoma jūsų elektroninė parduotuvė. Viešai žinoma paslaptis – kibernetinės atakos dažniausiai vyksta prieš lėtesnės prieglobos (hosting) tiekėjų klientus, todėl, renkantis šią paslaugą, itin svarbu pasirinkti patikimus, gerų rekomendacijų turinčius partnerius. Žinoma, mažesni ir mažiau žinomi tiekėjai gali pasiūlyti mažesnę paslaugos kainą, tačiau gali būti, kad saugumo spragų, pro kurias prasmuks kibernetiniai įsilaužėliai, jų sistemoje bus daugiau. Visada konsultuokitės su specialistais ir kartu su jais patikrinkite prieglobos tiekėją bei elektroninės prekybos platformos technines specifikacijas, kad ateityje nesulauktumėte nemalonių siurprizų. Atminkite, užkirsti kelią įsilaužimui yra daug pigiau negu vėliau kovoti su padariniais ir bandyti atgauti prarastus duomenis.
Reguliariai atnaujinkite turinio valdymo sistemas, elektroninės prekybos priemones ir svetainės papildinius. Tam tikra prasme kibernetinis saugumas yra ginklavimosi varžybos – nors įsilaužėliai sugalvoja naujų būdų, kaip įsilaužti į jūsų sistemą, programinės įrangos gamintojai nuolat tobulina savo gaminius, kad galėtų sutrukdyti. Taip, kaip nuolat atnaujinate savo mobiliojo telefono, taip reguliariai atnaujinkite ir elektroninės parduotuvės sistemas. Svarbu tai, kad kai kurie turinio valdymo sistemos „WordPress“ papildiniai (plugin) gali turėti saugos trūkumų, todėl, prieš diegdami juos į savo svetainę, patikrinkite, ar jie netaps atviromis durimis įsilaužėliams.
Pasirūpinkite svetainės administravimo prisijungimo duomenų apsauga. Slaptažodžiai tebėra daugumos įmonių Achilo kulnas, todėl įsilaužėliai savo tikslui pasiekti vis dar sėkmingai naudoja įvairius metodus – prisijungdami įveda tokius lengvai įsimenamus slaptažodžius kaip įmonės pavadinimas ir skaitmenys123 arba naudoja nutekintuose elektroniniuose laiškuose siunčiamus slaptažodžius. Tai dažniausia įmonių darbuotojų klaida. Norėdami būti tikri, kad jūsų slaptažodis nebus lengvai atspėjamas, naudokite unikalius ilgus slaptažodžius ir, jei galima, pasirinkite dviejų lygių atpažinimo sistemą. Taip jūsų prieigos teisės bus patvirtinamos ne tik slaptažodžiu, bet ir kitais būdais.
Verslo paskyros bendrinimas su keliais asmenimis saugumo požiūriu taip pat yra bloga mintis – vėliau bus sunku atsekti, kas buvo prisijungęs prie paskyros. Norint užtikrinti paskyros saugumą, reikėtų nuolatos atlikti nebedirbančių kolegų turėtų slaptažodžių ir prieigų stebėseną, kad svarbūs duomenys nepatektų į netinkamas rankas.
Naudokite patikimą trečiųjų šalių įmokų surinkimo paslaugą. Finansinės operacijos jūsų elektroninėje parduotuvėje – jautriausia jūsų internetinio verslo dalis. Saugoti savo klientų bankininkystės duomenis savo svetainėje galite, jei turite didelę IT specialistų komandą, kuri geba pasirūpinti šių slaptų duomenų saugumu ir turi specialių priemonių. Jeigu tam biudžeto neturite, šį darbą rekomenduojama perleisti tuo profesionaliai besiverčiančiai įmonei.
Ta pati taisyklė galioja ir prižiūrint finansines operacijas – įdiegta visame pasaulyje pripažinta mokėjimo sistema, kuri turi gerą apsaugą nuo sukčiavimo, padidins jūsų klientų pasitikėjimą jūsų verslu ir apsaugos svetainėje atliekamas operacijas nuo duomenų nutekėjimo. Mėgstamiausia programišių preke – banko duomenimis turi rūpintis specialistai, kurie nuolat atnaujina žinias ir duomenų apsaugos technologijas. Pavyzdžiui, SEB banko siūlomą elektroninės prekybos mokėjimų paslaugą teikiame bendradarbiaudami su finansinių technologijų įmone „EveryPay“, kurios sprendimas „Paytech Awards 2020“ pripažintas geriausiu mokėjimų sprendimu taikant debesijos technologijas.
Pasirūpinkite svetainės SSL sertifikatu. SSL (secure sockets layer) – kriptografinis protokolas, skirtas internete esančiai informacijai apsaugoti ją šifruojant. Šis sertifikatas, atpažįstamas iš naršyklėje matomos https žymos ir spynos piktogramos, pirkėjui garantuoja, kad jūsų elektroninė parduotuvė yra saugi atsiskaityti.
Naudokite apsaugą nuo kibernetinių atakų. Paskirstytosios paslaugų trikdymo (Distributed Denial of Service, DDoS) atakos metu interneto svetainė tiesiog bombarduojama milijonais užklausų iš daugybės įvairių šaltinių – virusais užkrėstų kompiuterių, telefonų, maršrutizatorių ar net daiktų, interneto įrenginių. Toks srautas sutrikdo arba visiškai išjungia elektroninę parduotuvę, todėl prie jos nebeįmanoma prisijungti – taip gali būti prarandamos pajamos ir suduodamas smūgis visam prekės ženklui.
Tiesa, apsaugos nuo šių atakų sistema yra sudėtinga ir brangi, todėl verslui savarankiškai ją įsigyti nėra racionalu, tačiau visada galima apsaugos paslaugą užsisakyti iš prieglobos paslaugų teikėjo, ryšio operatoriaus ar specializuotų užsienio įmonių.
Pasirūpinkite saugos kodo apsauga. Jeigu jūsų elektroninėje parduotuvėje yra bent viena registracijos, prisijungimo, komentavimo ar kontaktų forma, jums reikalingas saugos kodo apsauga. Saugos kodas – tai deformuotų ženklų eilutė, pagal tam tikrą kriterijų surūšiuoti paveikslėliai ar matematinės užduoties testas, kuris padeda atskirti svetainės lankytoją asmenį nuo roboto. Tai patikimas, plačiai naudojamas technologinis sprendimas, apsaugantis nuo automatinių kenkėjiškų užklausų, kurių tikslas – sugeneruoti ypač daug komentarų, registracijų ir užklausų, kad sutrikdytų elektroninės parduotuvės serverio veiklą. Taip pat šiuo veiksmu gali būti bandoma atspėti svetainės administravimo prisijungimo duomenis.
Investuokite į periodinį elektroninės prekybos sistemos testavimą. Jeigu turite galimybių, investuokite į periodinį savo elektroninės parduotuvės testavimą – kaip reguliariai tikrinama sveikata gali užtikrinti sunkių ligų prevenciją, taip ir elektroninės parduotuvės patikra gali padėti aptikti saugumo spragas. Net ir nuolat atnaujinama turinio valdymo sistema gali turėti konfigūracijos klaidų, kuriomis netruks pasinaudoti programišiai.
Ką daryti kibernetinės atakos atveju?
Nedelsdami informuokite savo įmonės saugos ar IT ekspertus ir už įmonės komunikaciją atsakingus kolegas
Praneškite apie ataką Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (NKSC)
Jeigu turite tokią galimybę, kreipkitės į įmonę, kuri specializuojasi valdant kibernetinio įsilaužimo riziką ir pasekmes
Apie incidentą praneškite policijai telefonu 112
Savarankiškai nebendraukite su įsilaužėliu SMS žinutėmis, elektroniniais laiškais ar telefonu, nes galite nukentėti dar labiau
Jeigu programišiai vis dėlto į jūsų valdomą elektroninę parduotuvę įsilaužė, svarbu turėti kompetentingus IT specialistus, kurie laiku užkirstų kelią dar blogesniems padariniams, kad internetiniai piratai negalėtų lengvai dar kartą patekti į jūsų sistemas. Sėkmingos kibernetinės atakos atveju įmonė gali ne tik patirti finansinių nuostolių, bet ir dėl prarastų slaptų duomenų jos reputacijai
gali būti suduotas didelis smūgis, po kurio atsitiesti reikėtų dar daugiau finansinių išteklių ir laiko. Kad to nenutiktų, atlikite namų darbus ir į kibernetinį saugumą žiūrėkite itin atsakingai.
Dovilė Bansevičienė, SEB banko lėšų valdymo skyriaus vadovė