Ponad połowa (54 proc.) firm w branży handlu online została przynajmniej raz skutecznie zaatakowana. Tylko 38 proc. z nich było w stanie poradzić sobie ze skutkami tych naruszeń, jak podaje Threat Intelligence. Ta skala pokazuje, że cyberbezpieczeństwo powinno być w czołówce priorytetów każdego e-commerce’u, ale również że odpowiedzialność za ochronę danych osobowych leży po obu stronach transakcji: sklepu i klienta.

Jak można się chronić przed tego typu incydentami? Dzisiaj o tym rozmawiamy z Bartoszem Graczykiem, CTO Alsendo Sp. z o.o. odpowiedzialnym m.in. za informatyczne bezpieczeństwo organizacji oraz jej klientów – zarówno z perspektywy właściciela e-sklepu, jak i klienta.

Z jakimi zagrożeniami najczęściej spotykają się przedsiębiorcy w sieci?

Na pewno największym wyzwaniem są dane klientów, które trzeba zabezpieczyć przed zewnętrznymi naruszeniami. W dobie RODO to nie tylko kwestia budowania zaufania klienta, ale także unikania surowych kar nakładanych przez organy nadzorcze. Wycieki danych są kosztowne dla budżetu firmy nawet bez takiej grzywny – w 2023 roku przeciętny koszt zarządzenia skutkami takiego incydentu osiągnął rekordową wartość 4,45 mln dolarów, jak podaje IBM. A trzeba pamiętać, że, jak wskazują dane FBI, niemal jedna czwarta naruszeń danych jest skutkiem udanego ataku phishingowego, czyli podszycia się pod inną osobę lub firmę w celu pozyskania wrażliwych danych osobowych. Ochrona danych to kwestia nie tylko odpowiednich zabezpieczeń w infrastrukturze informatycznej, ale również solidnej edukacji pracowników.

Inne istotne zagrożenia wiążą się z atakami hackerskimi, wyłudzeniami różnego rodzaju – produktów czy płatności, a także próbami zablokowania dostępu do witryny poprzez tzw. atak DDoS. Zlekceważenie tych kwestii może się znowu wiązać z ogromnymi kosztami dla firmy, nie tylko materialnymi, ale również wizerunkowymi. 

Podejście przedsiębiorcy e-commerce’owego do cyberbezpieczeństwa będzie w dużej mierze determinowane przez rodzaj platformy, na której sprzedaje. Wiele firm, szczególnie początkujących, korzysta z platform open source’owych. Nic dziwnego, oprogramowanie na nich dostępne jest bezpłatnie, sprzedawca musi opłacić tylko hosting, a do tego instalacja jest zazwyczaj niezwykle prosta. Open source ma jednak to do siebie, że kod takiej platformy jest publicznie dostępny w sieci, przez co łatwiej znaleźć podatność w nim. Znalezienie podatności w jednym sklepie może prowadzić do prób ataków na inne sklepy oparte na tym samym rozwiązaniu open source, nawet w sposób zautomatyzowany.

Jeśli sprzedajemy na takich platformach, kluczowe jest regularne instalowanie aktualizacji samej platformy, wtyczek, jak i template’ów, które są dostarczane przez autorów.

Lepiej zabezpieczone są płatne platformy e-commerce’owe, które nie udostępniają kodu, przez co rośnie ich odporność na takie cyberataki. Dodatkowo, dostawcy tych rozwiązań z reguły zatrudniają zespół specjalistów odpowiedzialnych za monitorowanie zagrożeń i bieżące reagowanie na nie, a także przechodzą audyty zewnętrzne i wewnętrzne, które weryfikują wykonaną pracę programistów oraz ekspertów ds. bezpieczeństwa.

Spokojniej mogą także spać przedsiębiorcy korzystający z rozwiązań pisanych przez dedykowane firmy. Hacker nie znajdzie tego kodu w sieci, przez co automatycznie trudniej mu będzie włamać się do danego e-sklepu. A jeśli już znajdzie podatność, to zagrozi ona tylko jednemu merchantowi, a nie wszystkim sprzedającym na danej platformie. 

Wygląda na to, że największym wyzwaniem jest zapobieżenie sytuacji, w której ktoś uzyskuje nieuprawniony dostęp do danych klientów.

To prawda. Loginy i hasła są na wagę złota dla przestępców, bo wiele osób korzysta z tych samych danych dostępowych w różnych serwisach. Czasami sklepy mogą przechowywać też wrażliwe dane klienta, które ułatwiają jego autoryzację w serwisie bankowym, płatności odroczonych czy na dowolnym portalu. A na niektórych mamy przecież zapisane dane karty płatniczej. Nieostrożność klienta i bystrość hackera to niebezpieczne połączenie.

Pozytywna wiadomość jest taka, że 99% sklepów szyfruje hasła klientów. Nie spotkałem się w sumie z bazą haseł, która byłaby niezaszyfrowana. To znacząco utrudnia dostęp do nich. Oczywiście, podstawą jest tutaj stosowanie nowoczesnych algorytmów szyfrujących – przestarzała wersja niewiele pomoże przy zabezpieczaniu danych klientów.

Można jakoś temu zapobiec?

Na pewno warto ustawić unikalne hasło. To banalna porada, ale według Cisco, 6 na 10 użytkowników komputerów używa daty urodzin lub imion (swoich, zwierząt, partnerów, dzieci) jako haseł. A jeśli dojdzie do cyberataku, tylko 45 proc. zmienia hasło po nim.

Jeśli mamy trudność z zapamiętaniem danych dostępowych, z pomocą może przyjść menedżer haseł, w którym można zapisywać loginy i hasła do różnych usług. Z mojego doświadczenia wynika, że najwięcej problemów rodzi się, gdy ktoś używa tych samych danych w różnych serwisach. Hacker, który pozyskuje cudze hasło, najpierw sprawdza najpopularniejsze strony (poczta, bank…) i sprawdza, czy zadziała. Często działa.

Warto pamiętać o podstawowej higienie ustawiania haseł. Małe i duże litery, znaki interpunkcyjne, najlepiej aby był to jednak ciąg losowych znaków. Ważne jest również, aby unikać podobieństwa do loginu. Większość usług nie pozwoli nam ustawić łatwiejszego hasła, które nie spełnia wszystkich tych kryteriów, ale nie we wszystkich serwisach wdrożono takie zabezpieczenia. A proste hasła, nawet zaszyfrowane, są względnie łatwe do złamania przez hackerów. Jeśli wykorzystujemy tylko litery, to hacker korzystający z generatora haseł ma mniejszą liczbę kombinacji do przejścia, zanim odnajdzie tę właściwą. Dodając małe i duże litery oraz znaki interpunkcyjne, a także unikając popularnych słów, poszerzamy diametralnie liczbę możliwych kombinacji.

Odpowiedzialność za bezpieczeństwo nie leży jednak tylko po stronie klienta, ale również sklepu. Warto więc monitorować wycieki danych z różnych platform, np. z pomocą strony Have I Been Pwned, która poinformuje nas, gdy nasz e-mail znajdzie się w którejś z baz danych upublicznionych w sieci. Dzięki temu będziemy mogli sprawnie zareagować na zagrożenie.

Niektórzy obchodzą problemy z zapamiętaniem haseł poprzez logowanie SSO, czyli np. za pośrednictwem konta Google, Facebooka lub Apple. Chociaż te firmy technologiczne oferują najwyższą jakość zabezpieczeń, to warto pamiętać, że tego typu rozwiązania też się wiążą z ryzykiem. Złamanie hasła do poczty czy serwisu społecznościowego może skutkować uzyskaniem dostępu do szeregu innych usług.

Co jeszcze klienci mogą zrobić, aby zachować bezpieczeństwo? Jak sprzedawcy mogą im pomóc czy doradzić?

Jest jeszcze kilka kwestii, o których warto pamiętać. Przede wszystkim, każdorazowa weryfikacja adresu, pod który chcemy wejść. Incydenty phishingowe stały się tak powszechne, że coraz więcej osób ostrożnie podchodzi do linków w mailach czy SMS-ach, nie otwiera załączników w niezapowiedzianych wiadomościach e-mail, a nawet piszą czy dzwonią do działu obsługi klienta, aby upewnić się, że firma faktycznie jest nadawcą danej informacji. W przeglądarce na laptopie często wystarczy najechać na link w e-mailu, aby sprawdzić, dokąd rzeczywiście prowadzi, czy jest to apaczka.pl, czy może jakaś nietypowa wariacja tego adresu. Nawet jeśli znajdujemy się na stronie graficznie podobnej do apaczka.pl, warto sprawdzić, co się znajduje w pasku adresu, zanim podamy jakiekolwiek dane dostępowe.

Co jednak zrobić, jeśli sprzedawca rzeczywiście musi o czymś klienta poinformować i podać link? W Grupie Alsendo, której częścią jest Apaczka.pl, przede wszystkim zachęcamy do samodzielnej weryfikacji wiadomości. Jeśli informacja o konieczności uiszczenia opłaty zostanie wysłana SMS-em czy e-mailem, to pojawi się również w panelu klienta, do którego można samodzielnie się zalogować. Staramy się zatem przekazać tylko komunikat, bez proszenia klienta o wejście pod konkretny link. Ponadto, przedstawiciele działu obsługi klienta kontaktują się z użytkownikami wyłącznie telefonicznie.

To dla nas ważne, bo branża kurierska obok płatności czy energetyki jest jednym z tych sektorów, pod które najczęściej podszywają się cyberprzestępcy. Chyba każdemu zdarzyło się otrzymać SMS informujący o konieczności dokonania wpłaty za paczkę z podejrzanym linkiem. Zasadniczo każda wiadomość, która nas ponagla, informuje, że coś musimy zrobić „już teraz”, powinna wzbudzić nasze podejrzenie. Nawet jeżeli otrzymamy SMS o zaległej płatności, to wskazane jest zweryfikowanie naszego salda na koncie klienta przed podjęciem kolejnych działań.

Jeśli uwierzytelniamy się dwuskładnikowo w jakichś usługach, ważna jest ochrona metody, której do tego używamy, czyli e-maila czy telefonu. To zawsze dodatkowa trudność dla hackera, który próbuje się dostać do cennych dla nas informacji.

Serwis Apaczka.pl niedawno wdrożył 2FA. Klienci o to prosili?

To nasza własna inicjatywa. Obserwujemy na bieżąco, co się dzieje w sieci, wyciągamy wnioski i działamy proaktywnie. Było to dla nas szczególnie istotne również z tego względu, że naszym klientom udostępniamy w panelu linię kredytową, w ramach której mogą opłacać przesyłki. Wdrożenie uwierzytelniania dwuskładnikowego pomaga chronić konta naszych klientów przed niepożądanymi modyfikacjami czy płatnościami.

To zresztą nie jest jedyny sposób, w jaki zabezpieczamy klientów. Regularnie weryfikujemy, z jakiej lokalizacji loguje się klient czy jakiego urządzenia używa. Jeśli ktoś przebywający w Polsce nagle próbuje wejść do panelu klienta z odległego azjatyckiego kraju, to naturalnie wzbudza podejrzenia. Oprócz tego regularnie wykonujemy testy penetracyjne, które mają za zadanie wykryć ewentualne podatności i słabe strony infrastruktury informatycznej.

Czy 2FA to już standard, czy raczej dodatkowa funkcjonalność?

Trend, który staje się standardem. Banki już są zobowiązane przez dyrektywę unijną do stosowania silnego uwierzytelnienia co jakiś czas przy płaceniu, 2FA to również nieodłączna część procesu logowania do serwisu z płatnościami czy autoryzowania niektórych transakcji. Do wielu aplikacji zalogujemy się po prostu hasłem lub PIN-em, a dopiero przy wykonywaniu jakiegoś działania, np. zmiany hasła czy przelewu, zostaniemy poproszeni o autoryzację transakcji wybraną przez nas metodą 2FA.

Klienci najczęściej używają do tego SMS-a lub e-maila, co w sumie nie dziwi, bo to zasoby, które posiada każdy. Względnie popularną metodą są również tokeny autoryzacyjne firm trzecich.

Obserwuję również, że 2FA wprowadzane jest także przez serwisy spoza sfery finansowej. Często nie wymuszają one stosowania tej metody, mając świadomość, że to zawsze dodatkowy wysiłek dla użytkowników, ale zdecydowanie do niej zachęcają. Jeśli moderujemy grupę na Discordzie, nie będziemy mieli dostępu do pewnych ustawień, dopóki nie włączymy 2FA.

Czy przewidujecie jakieś wsparcie techniczne i edukacyjne dla użytkowników w trakcie implementacji 2FA?

Będziemy informować klientów o wdrożeniu za pośrednictwem mailingu i komunikacji na stronie. Planujemy również szerszą kampanię edukacyjną, która pokaże zalety tych rozwiązań. Chcemy tym samym dotrzeć także do grupy użytkowników, którzy pozostają obojętni na kwestie z zakresu cyberbezpieczeństwa, dopóki nie doświadczą sami jakiegoś naruszenia.