Cum protejam magazinele online de atacurile cibernetice

Cum protejam magazinele online de atacurile cibernetice ?

Platformele de comerț electronic oferă oportunități nelimitate pentru întreprinderile mici și mijlocii (IMM-uri) de a crește vânzările, dar criminalitatea cibernetică și frauda online sunt, de asemenea, la un nivel istoric.

În septembrie 2020, hoții cibernetici au compromis aproximativ 2.800 de magazine online, injectând coduri rău intenționate pentru a vedea detaliile de plată a zeci de mii de clienți. Atacul este considerat opera Magecart, care folosește malware JavaScript pentru a viza coșurile de cumpărături asociate platformei Magento de sursă deschisă de comerț electronic. Experții în securitate spun că este cel mai mare incident Magecart din istorie – și este doar unul mai mult dintr-o serie de incidente care transmite amenințarea tot mai mare a atacurilor din partea clienților, una dintre cele mai profitabile și populare tehnici de exploatare în joc în prezent, care are loc la o rată de o dată la 39 de secunde .

Atacurile din partea clienților au un cost semnificativ – posibil chiar paralizant – pentru retaileri. Azi am ajuns la o estimare că incidentele Magecart necesită 65 până la 130 de ore în timp de răspuns (sau aproximativ patru zile între ele dacă se reduce la mijloc) pentru sarcini precum analiza codului sursă, fișierele serverului web și jurnalele. Acest lucru nu ia în considerare timpul inevitabil de nefuncționare, care este extrem de costisitor pentru companiile de comerț electronic. Potrivit cercetări compilate de Gremlin , timpul de nefuncționare a site-urilor pentru comercianții cu amănuntul precum Target, QVC și Wayfair poate varia între 508.000 $ și 598.000 $ pierderi de venituri pe oră.

Companiile de comerț electronic dezvoltă acum planuri de bugetare pentru securitate cibernetică și strategii generale pentru 2021. Ei văd că instrumentele și abordările tradiționale nu mai sunt suficiente. Pentru a răspunde în mod eficient la Magecart și la alte atacuri din partea clientului, acestea trebuie să încorporeze următoarele componente critice în bugetare și strategii:

  • Prevenirea din timp. Echipele de securitate pentru comerțul electronic beneficiar de soluții care permit monitorizarea, detectează și previne încălcări în timp real – înainte de a putea face daune – spre deosebire de alertă ulterioară. Pe măsură ce membrii echipei evaluează „ce a funcționat în 2020 și ce nu”, vor descoperi probabil că au alocat mai multe resurse pe partea serverului în locul clientului, unde nu au implementat straturi adecvate de protecție. În 2021, trebuie să se concentreze pe partea clientului cu instrumente care previn în mod activ orice manipulare rău intenționat pe paginile lor web.
  • Vizibilitate completă a activității terților / furnizorului . Companiile de comerț electronic utilizează între 40 și 60 de instrumente terțe, în timp ce adaugă trei până la cinci noi tehnologii terțe pe site-urile lor în fiecare an. Site-urile web de astăzi nu pot asigura operațiuni și conformitate sigure dacă nu stabilesc o conștientizare / vizibilitate completă a întregului mediu furnizor terț. De fapt, Regulamentul general al Uniunii Europene privind protecția datelor (GDPR) specifică care este site-urile web sunt responsabile pentru acțiunile terților .
  • Zero încredere. Odată ce site-urile web dobândesc vizibilitate totală a mediului furnizor terț, acestea trebuie să fie impuse contra eficiente asupra acestuia. Cel mai sigur și ideal nivel de protecție necesită restricționarea terților doar la informațiile pentru care sunt autorizati, adică zero încredere. Paginile web virtuale joacă un rol esențial prin crearea unei replicări a paginilor web originale pentru accesarea terților, dar excluzând ceea ce terță parte nu este autorizat să vadă. Dacă este permis introducerea unei terțe părți, pagina virtuală o va transfera pe pagina web originală. Deoarece scripturile de la terțe părți sunt izolate de site-ul original, modificările create de hacker în JavaScript nu vor cauza niciun prejudiciu.

Știm că hackerii urmăresc victimele având în vedere două aspecte principale: să câștige cât mai mulți bani și să o facă cât mai ușor. Atacurile verifică ambele cutii, prezentând adversarii cibernetici ca o mulțime de oportunități. Acest lucru înseamnă că liderii comerțului electronic nu îi pot permite să cadă într-o postură pasivă, aceștia trebuie să lanseze proactiv o strategie de apărare care încorporează vizibilitate absolută a furnizorilor terți parte și încredere zero, împreună cu monitorizarea în timp real, care se concentrează pe securizare – astfel „debifând casetele” pentru a avansa la o stare de protecție mai înaltă.

Urmați acești pași de bază pentru a vă menține site-ul, clienții și datele acestora cât mai sigure posibil.

Pasul 1 – parole mai sigure

În timp ce parolele se confruntă cu concurență din partea tehnologiilor precum recunoașterea facială și autentificarea multifactorie (MFA), acestea sunt în continuare cheile de acces standard la majoritatea software-ului. Avem nevoie de parole pentru fiecare serviciu sau site pe care ne conectăm, astfel încât, pentru mulți utilizatori, pare mai ușor să folosiți aceeași parolă pentru mai multe servicii. Problema acestei abordări este că, odată ce numele de utilizator și parolele reutilizate au fost luate de către hackeri, acestea pot fi aplicate la diverse servicii, ducând la fraude pe scară largă.

„Și dacă site-ul dvs. de comerț electronic are o securitate perfectă, cea mai slabă legătură ar putea fi clienții dvs.”, a explicat Patrick Sullivan, director senior de strategie de securitate la Akamai Technologies . „ În ansamblu, ființele umane tind să aibă o igienă de acreditare destul de slabă, deci există o mare probabilitate de a reutiliza aceleași acreditări pe alte site-uri, iar o probabilitate destul de ridicată este că a fost încălcat unul dintre acele site-uri pe care le-au refolosit. . ”

Există diferiți manageri de parole care pot elimina durerea de a vă aminti zeci de parole pentru diferite site-uri web și servicii. În timp ce gestionarea mai multor parole este din ce în ce mai dificilă, există câteva sfaturi minunate despre cum să vă amintiți parole sigure care pot fi găsite online.

Administratorii de site-uri de comerț electronic ar trebui să solicite utilizarea de parole complexe și autentificare în doi factori (2FA) de la utilizatori și clienți. Acest lucru se poate asigura că utilizatorii nu revizuiesc acreditările potențial compromise și poate contribui la asigurarea faptului că cei care solicită acces sunt cei care spun că sunt. Dacă doriți cu adevărat să gestionați în mod holistic tehnologia de autentificare a organizației dvs., verificați în sistemele de gestionare a identității , care pot gestiona această funcție pe mai multe servicii și platforme software.

Dacă rămâneți cu parole pentru moment, nu uitați că acestea ar trebui să necesite un număr minim de caractere (cel puțin șase, de preferință opt până la 10) și să utilizeze numere și simboluri. De asemenea, este recomandabil să forțați utilizatorii să își schimbe regulat parolele.

Pasul 2 – utilizati conexiuni sigure HTTPS

HyperText Transfer Protocol Secure (HTTPS) este protocolul online pentru comunicații securizate pe internet și una dintre cele mai simple modalități de a vă proteja site-ul de e-commerce împotriva fraudei. Desemnate de o pictogramă de blocare verde închisă pe bara de adrese a browserului, site-urile web HTTPS sunt considerate autentice și sigure, deoarece sunt certificate. Aceasta înseamnă că site-ul web este ceea ce pretinde că este și nu un site falsificat plasat online pentru a păcăli utilizatorii, astfel încât băieții răi să poată obține acreditări de acces, date despre cardul de credit și multe altele.

Pentru a activa HTTPS, IMM-urile trebuie să achiziționeze un certificat Secure Socket Layer (SSL) . Primirea unui certificat SSL este primul pas, acesta trebuie acum implementat cu atenție în soluția dvs. de comerț electronic. În timp ce majoritatea gazdelor site-urilor de comerț electronic vor avea un certificat SSL de vânzare, merită să faceți cumpărături cu terți, deoarece unii furnizori oferă un preț mai bun și capacități de securitate suplimentare.

Avantajele utilizării HTTPS depășesc securitatea și încrederea. Google oferă site-urilor web HTTPS securizate o clasare mai ridicată a căutării, ceea ce duce la mai mulți vizitatori. În schimb, Google etichetează, de asemenea, site-urile necriptate ca „nesigure”, ceea ce le face să pară schite și nesigure. În aceste zile, există câteva modalități mai rapide de a determina un potențial client să treacă de site-ul dvs. web.

Mulți cumpărători online pricepuți se vor feri de un site web considerat nesigur sau care nu are denumirea „HTTPS”. Potrivit Raportului global privind frauda și identitatea din 2018 al companiei de raportare a creditelor de consum Experian, 27% dintre cumpărătorii online au abandonat o tranzacție din cauza lipsei de securitate vizibilă.

HTTPS este acum pus în aplicare pe site-urile guvernului SUA , ceea ce ar putea însemna că este doar o chestiune de timp înainte ca acesta să fie o cerință standard și pentru site-urile de comerț electronic. Este dificil pentru site-urile de comerț electronic existente care nu sunt certificate HTTPS să adauge funcția dacă nu a fost integrată inițial. IMM-urile care își planifică site-urile de comerț electronic de la zero au avantajul de a-și proiecta soluțiile având în vedere securitatea HTTPS. Dar chiar dacă vă confruntați cu dificultatea de a implementa HTTPS după aceea, amintiți-vă că este mult mai bine să începeți o astfel de migrație acum, în condițiile dvs., decât să o faceți să devină un standard de facto sau chiar o lege.

Pasul 3 – alegeți o platformă securizată de comerț electronic

Platformele de comerț electronic sunt de obicei alese pentru comoditatea lor de construire a magazinului, gama de design și funcționalitate, dar și caracteristicile de securitate trebuie să fie de primă importanță. Căutați soluții dovedite de comerț electronic care oferă gateway-uri de plată criptate, certificate SSL și protocoale solide de autentificare pentru vânzători și cumpărători.

„Vestea bună este că platformele de securitate bazate pe cloud au făcut cu adevărat securitatea mai accesibilă companiilor mai mici și [mijlocii]. Puteți obține unele dintre avantajele unei mai bune automatizări din aceste instrumente”, a spus Sullivan. ” Beneficiați de unele dintre învățarea automată și seturi de reguli organizate pe care unele platforme bazate pe cloud le-au pus în practică. Aruncați o privire asupra opțiunilor de securitate bazate pe cloud, în special pe cele care au informații integrate în ele.”

Sullivan a sugerat să se gândească la viabilitatea pe termen lung a unei platforme de comerț electronic și să ia în considerare frecvența cu care se adaugă actualizări și patch-uri de securitate pentru a asigura securitatea pe termen lung a serviciului. El a mai spus că IMM-urile ar trebui să ia în considerare platformele de comerț electronic scalabile , care pot crește și pot satisface nevoile viitoare ale unei companii. „ Gândiți-vă la ciclul de viață în curs al acelui software pe care îl introduceți în platforma dvs. de comerț electronic”, a adăugat Sullivan.

Pasul 4 – nu stocați date sensibile ale utilizatorului

Datele personale și confidențialitatea clienților sunt de o importanță capitală și vedem companii majore de tehnologie, precum Apple și Google, care se concentrează asupra păstrării datelor private ale utilizatorilor în siguranță. Confidențialitatea consumatorilor este și mai importantă în comerțul electronic. Companiile au nevoie de date despre clienți pentru a-și îmbunătăți comunicările și ofertele de produse, precum și pentru a facilita returnarea achizițiilor. Pericolul este că hackingul web, phishing-ul și alte atacuri cibernetice vizează datele acestor utilizatori.

Prima regulă este de a colecta doar date care sunt utile în scopul îndeplinirii tranzacției. Companiile ar trebui să evite tentația de a colecta mai multe date despre clienți decât este absolut necesar. Acest lucru evită să vă deranjeze clienții și posibilitatea de a pierde acele date într-o încălcare sau hack. Cele mai jenante e-mailuri pe care companiile trebuie să le scrie clienților lor sunt cele care explică faptul că au pierdut informațiile personale și financiare critice ale utilizatorilor.

Regula de mai sus se aplică în mod specific informațiilor despre cardul de credit al clienților. Nu este nevoie să le stocați pe servere online, ceea ce poate constitui o încălcare a Standardului de securitate a datelor din industria cardurilor de plată (PCI DSS), care servește la aplicarea protecției datelor consumatorilor în industria cardurilor de plată.

Infractorii cibernetici și hackerii nu pot fura ceea ce nu există, astfel încât păstrarea informațiilor personale și financiare valoroase ale utilizatorilor dvs. ar trebui păstrată în siguranță și în afara serverelor online. Dacă trebuie să stocați anumite date, asigurați-vă că este protejat într-un depozit de stocare online sigur, care respectă cele mai bune practici atunci când vine vorba de păstrarea informațiilor în siguranță. Aceasta ar trebui să includă controlul strict al accesului, audituri regulate și, cel mai important, criptarea totală a datelor.

Pasul 5 – angajați-vă propriul monitor de site

În timp ce majoritatea serviciilor de găzduire a site-urilor de comerț electronic vor avea un fel de instrument de monitorizare disponibil pentru clienții lor ca parte a pachetului de bază, acesta nu este un motiv pentru a ignora instrumentele de monitorizare a site -urilor terțe mai robuste . Doriți să analizați aceste opțiuni, deoarece instrumentele precum cele oferite de LogicMonitor și New Relic au funcții de gestionare mult mai profunde, care nu numai că vă vor ajuta să vă mențineți site-ul web mai funcțional, dar și mai sigur.

Capacitatea de a-ți construi propriul tablou de bord și de a utiliza funcții precum monitorizarea stării aplicațiilor și evaluarea comparativă a performanței va păstra cu siguranță site-ul tău funcționând fără probleme, mai ales dacă îl poți monitoriza de oriunde folosind clienții mobili pe care acești instrumente le oferă adesea. Dar utilizarea funcțiilor mai profunde, chiar dacă nu sunteți un profesionist IT, cum ar fi o pistă de audit robustă pentru orice modificări ale caracteristicilor sau un motor de analiză a cauzei radicale la nivel de cod, poate ajuta atât operatorii de afaceri, cât și profesioniștii IT și de securitate să urmărească problemele de securitate se întâmplă sau chiar înainte de a avea șansa să apară. Oricine a transformat un site web într-o afacere ar trebui cel puțin să investigheze astfel de instrumente și să stabilească dacă capacitățile lor pot menține site-ul și datele sale mai sigure. Daca ei pot,atunci majoritatea dintre ele sunt suficient de ieftine încât o investiție este în esență o nebunie.

Pasul 6 – mențineți o mentalitate axată pe securitate

Securitatea comerțului electronic nu este niciodată o afacere unică. Amenințările și metodele de hacking evoluează într-un ritm alarmant, iar menținerea unei conștientizări și a unei mentalități axate pe securitate este metoda preventivă necesară. Odată ce securitatea site-ului de comerț electronic al unui IMM-uri a fost compromisă, este adesea prea târziu. Tot ceea ce poate face o afacere în această situație este un control costisitor și jenant al daunelor.

Acum trebuie să lucrați manual cu clientul dvs. și probabil că ați deteriorat experiența clientului respectiv”, a spus Sullivan de la Akamai. „Trebuie să le resetați contul și să vă ocupați de achizițiile frauduloase. Acest lucru este foarte scump din perspectiva umană, deoarece aveți nevoie de cineva care să lucreze cu ei pentru a afla acest lucru. Acesta este costul direct al fraudei.

Majoritatea hacking-urilor și a încălcărilor site-urilor web nu sunt nici măcar făcute de oameni. Potrivit lui Sullivan și rapoarte precum raportul Verizon menționat mai sus, programele de computer autonome sau „roboții” sunt responsabili pentru o mulțime de daune care se fac în prezent. „Până la 30 la sută din traficul unui site web sunt roboți care verifică vulnerabilitățile”, a spus Sullivan. „De peste șase luni în 2018, segmentul de retail a înregistrat peste 10 miliarde de atacuri de botnet. Majoritatea erau roboți care încercau să găsească informații despre consumatorii care și-au refolosit undeva numele de utilizator și parolele.”

Adevărata provocare pentru toate companiile este implementarea efectivă a măsurilor de autentificare și securitate a comerțului electronic într-un mod fără frecare, astfel încât experiența clientului să nu fie afectată – și apoi să rămână la înălțimea amenințărilor în evoluție fără a încălca bugetul în materie de securitate.

Cum se face acest lucru? Căutați producători de platforme de comerț electronic gestionate sau gazde de site-uri care pun accent pe securitate. Uneori, aceste servicii vor rămâne în topul amenințărilor de securitate în schimbare pentru clienții lor și chiar vor recomanda remedieri la amenințările informatice. Punând securitatea în centrul experienței lor de servicii de cumpărături online, IMM-urile pot oferi clienților cu încredere experiențe de comerț electronic sigure și satisfăcătoare.

Mai trebuie sa mai adaugam ca nu este recomandat sa cautati „experti” in crearea de magazine online pe site-urile de anunturi, Facebook sau chiar si in urma unor articole de presa „sponsorizate” ?

Mult succes !