Securitatea în E-commerce - Magazine online și actualizarea securității

Article Securitatea in E-commerce - Magazine online si actualizarea securitatii | Decalex

Magazine online: O țintă de top pentru atacurile cibernetice

Într-o industrie în care criminalitatea a fost văzută doar sub formă de furt, mutarea în online a magazinelor a însemnat că acestea au devenit o țintă majoră și în rândul criminalilor cibernetici, fiind unul dintre sectoarele cele mai atacate în acest an. Acest lucru se datorează creșterii cererii în comerțul electronic într-o perioadă atât de mică (ca urmare a pandemiei). În timp ce comerțul electronic a fost o tendință în creștere înainte de pandemie, vânzările de cumpărături online au crescut în perioada de vârf a crizei. Pentru criminalii cibernetici, acest lucru a însemnat o creștere a numărului de puncte slabe pe care le pot exploata cu ușurință.

 

Informații despre clienți

Informațiile despre clienți au fost o țintă majoră. Aceste companii nu stochează doar detalii legate de plata cu cardul, ci și informații personale generale despre clienți. Majoritatea magazinelor online au acces la o mulțime de date sensibile despre clienții lor, care folosesc adesea aceleași detalii de conectare pentru mai multe dintre conturile lor.

 

Site-uri/Aplicații de comerț electronic

În plus, fiind centrate pe client, site-urile sau aplicațiile de comerț electronic sunt concepute pentru a fi foarte ușor de utilizat. Acest lucru înseamnă adesea omiterea unor măsuri de securitate importante, cum ar fi autentificarea cu doi factori.

 

Lanțurile de aprovizionare

Un alt punct critic este stocarea în cloud și furnizorii terți. Lanțurile de aprovizionare au devenit, o suprafață de atac obișnuită, plină de puncte de contact vulnerabile. Acest lucru se întâmplă în mod special pentru că comercianții nu pot garanta întotdeauna seriozitatea furnizorilor lor în vederea securității cibernetice.

 

Atacurile cibernetice comune

Două dintre cele mai frecvente atacuri de securitate cibernetică privind sistemele informaționale legate de comerțul electronic sunt (1) atacurile de tip phishing și (2) ransomware.

 

Atacurile de phishing

În cadrul unui atac de phishing, criminalii cibernetici trimit e-mailuri pretinzând a fi o afacere legitimă. Acest lucru le face să pară demne de încredere și există șanse mai mari ca utilizatorii să se conformeze acțiunii cerute de atacator. Aceștia îi cer utilizatorului fie să trimită câteva detalii personale, fie să facă clic pe un link. Prin aceste acțiuni, criminalii obțin de obicei acces la conturile utilizatorilor și pot fura bani sau pot include programe malware care pot face ravagii pe computerul unui utilizator.

 

Ransomware

Conturile clienților conțin o mulțime de informații valoroase de identificare personală care ademenesc infractorii cibernetici. Această acțiune face parte dintr-un ransomware, în care criminalii cibernetici amenință că vor publica datele personale ale companiei sau că blochează permanent accesul la acestea, dacă nu se plătește o răscumpărare. Acest lucru poate pune în joc o pierdere enormă de venituri și de încredere a clienților, deoarece activitatea companiei este de cele mai multe ori oprită până când aceștia plătesc răscumpărarea. Potrivit unui sondaj realizat de Sophos, 44% dintre organizațiile de retail în ultimul an au fost atacate prin ransomware și 32% dintre acestea au plătit.

 

Măsuri de securitate

Cheia supraviețuirii este să fii adaptabil în toate aspectele. Este rolul experților în securitate cibernetică să se asigure că toate canalele și serverele create pentru stocarea și transferul de date rămân protejate. Profesioniștii în securitate cibernetică lucrează pentru a face toate punctele de vulnerabilitate dintr-o rețea inaccesibile privirilor indiscrete ale criminalilor cibernetici și hackerilor. Câteva moduri prin care departamentele IT și experții în securitate cibernetică pot asigura protecția rețelelor și a serverelor sunt:

  • Instalarea unui antivirus de afaceri,
  • Asigurarea unui back-up adecvat,
  • Actualizarea software-ului în mod regulat,
  • Configurarea și întreținerea unui firewall,
  • Utilizarea unui sistem de detectare a intruziunilor (IDS). 

Cu toate acestea, responsabilitatea nu ar trebui să revină în totalitate experților în securitate cibernetică și departamentului IT, deoarece securitatea este o preocupare la nivel de companie, trebuie să existe acceptare la nivel de consiliu. Toți cei care iau decizii ar trebui să înțeleagă riscul oricăror noi tehnologii, fluxuri de lucru sau posibilile vulnerabilități aduse de furnizori. Deoarece furnizorii din lanțul de aprovizionare reprezintă o preocupare majoră, fiți la fel de proactivi cu practicile lor de securitate, precum și cu propriile dvs., monitorizându-i în mod regulat.

 

Măsuri tehnice adecvate în lumina GDPR

În contextul Regulamentului general privind protecția datelor (GDPR), aspectele tehnice joacă un rol esențial în demonstrarea faptului că a fost asigurată o protecție adecvată în ceea ce privește datele cu caracter personal. În special, toate companiile trebuie să țină cont de stadiul tehnicii pentru a determina măsurile tehnice și organizatorice adecvate.

 

O încălcare a acestor specificații tehnice a fost acum critică pentru o companie din Lower Saxony. Această companie a fost amendată cu 65.500 de euro de către Autoritatea pentru Protecția Datelor pentru încălcarea a două articole privind măsurile de securitate luate în companie. Aceste articole se referă la faptul că (1) operatorul trebuie să țină cont de cele mai recente evoluții din diferite domenii și trebuie să aibă software-urile actualizate la zi (articolul 25 din GDPR) și (2) operatorul și împuternicitul trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului (articolul 32 din GDPR).

 

Motivul procedurii a fost un raport al companiei către autorități cu privire la un incident de protecție a datelor. Acest raport a fost luat ca o ocazie de a verifica site-ul din punct de vedere tehnic. S-a dovedit că aplicația magazinului web folosită era învechită din 2014 și nu mai sunt furnizate actualizări de securitate de către producător pe respectiva versiune. În plus, producătorul a avertizat în mod explicit împotriva utilizării în continuare a acestei versiuni a software-ului din cauza vulnerabilităților semnificative de securitate care, printre altele, au făcut posibile atacurile cu injecție SQL.

 

Prin urmare, aceasta arată că Autoritățile pentru Protecția Datelor apreciază măsurile tehnice care au fost luate pentru a asigura securitatea. În plus, autoritățile tratează evaluarea platformelor companiilor din punct de vedere tehnic la fel de serios ca orice altă evaluare privind protecția datelor cu caracter personal.

 

Cea mai frecventă greșeală în securitatea magazinelor online

Un sondaj American Express a constatat recent că 78% dintre consumatori au renunțat la o achiziție intenționată din cauza unei experiențe negative. În online, acest lucru se traduce prin cât de important este să păstrați interfața generală a magazinului cât mai simplă și cât mai orientată spre client. Cercetările recomandă ca site-urile web sau aplicațiile să fie ușor de navigat și că procesul de check-out trebuie să fie unul rapid, iar procedurile de expediere eficiente.

Cu toate acestea, uneori acest lucru este confundat cu faptul că nu se iau măsurile adecvate în proiectarea aplicației pentru a asigura confidențialitatea utilizatorului. Contrar credințelor, unele statistici recente de la Salesforce au demonstrat că confidențialitatea și protecția datelor sunt încă foarte importante pentru utilizatori:

 

  • 90% dintre oameni au mai multe șanse să aibă încredere într-o companie dacă au o politică de confidențialitate fermă;
  • 88% dintre oameni au încredere în companiile care promit să nu-și partajeze informațiile personale fără permisiune;
  • 92% dintre clienți apreciază companiile care le oferă control asupra informațiilor colectate despre ei.

Pentru detalii suplimentare stabileste o intalnire la office@decalex.ro

Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor

PUNE O INTREBARE