Jak zapewnić bezpieczeństwo sklepu – 7 zasad.

Jako właściciel sklepu jesteś odpowiedzialny za dane Twoich Klientów. Nie tylko grozi Ci utrata zaufania, ale nawet finansowa kara za niedopatrzenie obowiązków i utratę danych. Bezpieczeństwo sklepu i ogólnie  w IT składa się z wielu małych nawyków, które razem dają szansę stawić czoła hackerom i złodziejom. Zobacz, jak zapewnić bezpieczeństwo sklepu online.

Czerwona lampka

Wyobraź sobie, że wstajesz rano, myjesz zęby, jedziesz do biura, parzysz kawę i siadasz do komputera. Po zalogowaniu okazuje się, że nie możesz otworzyć swoich plików.

Próbujesz otworzyć system księgowy. Nie działa…

Próbujesz znaleźć faktury wystawione Klientom – plik jest zaszyfrowany…

Właśnie stałeś się ofiarą ransomware. Zapłać nam 1000 zł, to odblokujemy system. Zrobiłbyś to? A masz gwarancję, że nie zrobią tego jeszcze raz?

To tylko jedno z wielu zagrożeń, jakie na nas czekają. Wirusy, ataki hakerskie i wykradzenie danych personalnych, to tylko niektóre z nich. Zobacz, jak sobie z nimi radzić – jak zapewnić bezpieczeństwo sklepu.

Co nam grozi?

W dzisiejszym artykule skupimy się, na tym, jak można się przed nimi chronić. Musimy zaznaczyć, żę nie ma 100% zabezpieczenia. Jak komuś będzie zależało, to pewnie mu się uda. Możesz jedynie panować nad tym, do czego można się dostać i znacząco utrudnić życie osobie hakującej. Mało który sklep (poza dużymi graczami) będzie celem hakerów, którzy będą próbowali znaleźć lukę w systemie. Jest znacznie większe prawdopodobieństwo, że padniesz ofiarą semi-automatycznego ataku, który korzysta z ludzkich błędów i udokumentowanych luk technicznych. “Spray and Pray“. Zaatakuj 1000 serwisów i miej nadzieję, że do 10 z nich uda Ci się dostać. Zobacz, jak nie być jednym z nich.

Przypominamy też, że od czasu wejścia w życie RODO, jesteś odpowiedzialny za dane Twoich Klientów. Wykradzenie ich może być dla Ciebie ogromnym problemem. Warto więc zabezpieczyć się na każdy możliwy sposób.

Jeżeli masz taką możliwość, to wynajmij firmę, która wykona audyt Twojej firmy albo serwisu i wprowadzi odpowiednie zabezpieczenia. Zanim to jednak zrobisz, zadbaj o podstawy.

Aktualizacje systemu, a bezpieczeństwo sklepu

Bardzo często hakerzy próbują wykorzystać udokumentowane luki w systemach, tj. błędy w kodzie, które ktoś inny już rozpoznał i opisał. Jest to prosta metoda, bo nie wymaga praktycznie żadnej wiedzy – jest to w zasadzie instrukcja krok po kroku, jak dostać się do danego serwisu. (np. tutaj) Na szczęście duże platformy, takie jak WordPress, Magento czy Presta, mają cyklicznie wypuszczane aktualizacje, które łatają te dziury. Naszym obowiązkiem jest jednak je zainstalować. Tak, niektóre z nich będą kosztowne, ale jest to coś, co zdecydowanie warto robić. W tym wypadku użytkownicy SaaS’ów z automatycznymi aktualizacjami mają zdecydowanie lepiej.

Hasła

Ten punkt jest oczywisty, a jednak cały czas jest sporo osób, które stosują hasła typu “haslo123” albo “qwerty1”. Sporo osób też stosuje jedno hasło do wszystkich portali. Jeżeli jesteś jedną z nich – zmień to natychmiast.

Korzystając z jednego hasła wszędzie, wystarczy, że w jednym miejscu zostanie wykradzione, a złodziej będzie miał dostęp wszędzie. Jeżeli chcesz zobaczyć, czy np. Twój e-mail (i hasła) nie zostały wykradzione, wpisz go tutaj: https://haveibeenpwned.com/. Bardzo też polecamy stronę, która pokazuje, jak bezpieczne (jak długo zajęłoby komputerowi złamanie) jest nasze hasło: https://howsecureismypassword.net/. Z przyjemnością stwierdzam, że moje wymaga 5 tysięcy lat, żeby je złamać. Jednak niektóre używane przez użytkowników hasła, do złamania wymagają tylko kilku sekund.

Ciekawym systemem jest połączenie dużych liter, małych liter, znaków specjalnych, cyfr. Jest prosty trick, żeby takie hasła zapamiętać. Wystarczy stworzyć je z pełnych zdań. Np. możesz wziąć ulubiony tekst piosenki. Smashing Pumpkins, w utworze Ava Adore ma tekst “Lovely girl you’re the beauty in my world“. Możesz z tego zrobić hasło Lgytbimw. Dodasz do tego rok, w który utwór został wydany i masz Lgytbimw1998 – komputer będzie potrzebował 3000 lat, żeby je rozszyfrować. Możesz spać spokojnie.

Program do przechowywania haseł

Bardzo też polecamy trzymanie haseł w specjalnie do tego przeznaczonym programie. Jednym z moich ulubionych (i darmowych) jest KeePass. Jest jednak milion innych aplikacji, z których możesz korzystać. Na pewno warto wybrać system, który ma automatyczne wypełnianie haseł.

Rób kopie bezpieczeństwa

Zawsze może Ci się zdarzyć, że pomimo wszystkich zabezpieczeń, zostaniesz ofiarą ataku. Warto więc być gotowym na taką ewentualność i robić cykliczne backupy najważniejszych danych – zarówno Twojego sklepu, jak i komputera. Możesz to zrobić np. dzięki stronie https://www.backblaze.com. W przypadku utraty danych przynajmniej będziesz miał je z poprzedniego dnia. Jest to już znacznie mniejszy problem.

Jeżeli chodzi o Twój sklep, to musisz poprosić Twoją serwerownię albo agencję, która Cię obsługuje, żeby zapewniła Ci cykliczne kopie bezpieczeństwa. Znowu – jest to drobny koszt w porównaniu do ceny, jaką możesz zapłacić za utratę danych.

Systemy logujące aktywność

Biorąc pod uwagę, że wiele serwisów ma panel administracyjny, który można znaleźć pod adresem www.domena.pl/admin albo www.domena.pl/administrator, to nic dziwnego, że wyjątkowo popularne są ataki typu brute force. Jest to nic innego, jak wypróbowanie miliona haseł aż uda nam się dostać do panelu admina. Pamiętaj, że są tam dane Klientów, m.in. ich adresy.

Warto więc zapewnić sobie system, który będzie logował próby logowania i najlepiej automatycznie sam zablokuje podejrzane próby. (np. próby logowania z zagranicznych numerów IP, wielokrotne próby logowania, etc). Są też systemy two-factor authentication, czyli podwójnej weryfikacji. Wymagają one np. od Ciebie nie tylko podania hasła, ale też potwierdzenia na urządzeniu mobilnym. Bardzo fajne, bezpieczne rozwiązanie.

Skoro już jesteśmy przy próbach dostania się do Twojego panelu admina, to może czas zmienić adres na coś bardziej nieprzewidywalnego niż /admin? Jeżeli taki adres ma Twój sklep, postaw to za jeden z Twoich celów.

SSL

W dzisiejszych czasach praktycznie każda strona jest zabezpieczona, a jeżeli nie jest, to nasza przeglądarka będzie o tym krzyczeć na prawo i lewo. Nic dziwnego. SSL, to mechanizm, który dba o to, żeby nikt z zewnątrz nie był w stanie podejrzeć, ani zmodyfikować przesyłanych informacji. Po prostu nam zaufaj – Twój sklep powinien mieć certyfikat SSL. Jeżeli inne argumenty Ciebie nie przekonują, to niech przemówi fakt, że Google premiuje strony, które są szyfrowane, więc Twój sklep będzie bardziej widoczny.

Bezpieczeństwo sklepu w biurze

Zakładając, że nie jesteś tylko jednoosobową działalnością, ale firmą zatrudniającą kilka osób, na Twoich barkach spoczywa odpowiedzialność za bezpieczeństwo danych. Z doświadczenia wiem, że ciężko rekomendować stosowanie zasad bezpieczeństwa, jest tylko jedna metoda, żeby to wprowadzić. Trzeba je wymusić. Zorganizuj spotkanie. Przedstaw zagrożenia. Co Wam grozi, jeżeli stanie się najgorsze. Przedstaw, na co uważać oraz wymuś stosowanie środków bezpieczeństwa. Bez wyjątku.

Pracownicy muszą rozumieć, że to nie przelewki. Kary, zwolnienia za łamanie zasad są tutaj zasadne. Są firmy, gdzie, jeżeli zostawisz niezablokowany komputer bez opieki, to w zależności od stanowiska albo trafi on do działu IT, albo – w przypadku wyższej kadry komputer trafia bezpośrednio do szefa firmy i trzeba pójść na tzw. “dywanik”. Co więcej, żeby to zrobić, trzeba się zapisać na wizytę – potrafi to trwać 3 dni. 3 dni bez dostępu do komputera, to wystarczająco, żeby zrozumieć, że nie warto tego robić drugi raz.

Wytyczne dla pracowników

Niech wszyscy pracownicy korzystają z systemu do przetrzymywania haseł. Niech to będzie system narzucony przez firmę – dzięki temu będziesz miał kontrolę. Co więcej – część tych systemów pozwala Ci zdalnie włączać / wyłączać dostęp do systemu albo do konkretnych haseł. Bardzo istotne, jeżeli przyjdzie Ci kogoś zwolnić.

Niech każdy komputer w firmie będzie zabezpieczony hasłem. Jeżeli Twój pracownik pójdzie na spotkanie i ktoś mu ukradnie laptopa, to nie ma prawa dostać się do danych w środku (oraz maili, zapamiętanych haseł czy dostępów do Twoich systemów księgowych). Najlepszym zabezpieczeniem jest zaszyfrowanie też dysków w laptopach, ale wymaga to trochę pracy po stronie obsługi technicznej.

Musisz też przeszkolić pracowników z tego, jak powinni wysyłać hasła do innych. Nie powinni nawet wysyłać loginu i hasła w jednym mailu, albo na komunikatorze. Nie działa też pisanie haseł na karteczkach. Dobrym systemem jest np. wysyłanie loginu i hasła różnymi systemami (np. hasło wysyłamy smsem, a login mailem). Jeszcze lepsze jest wewnętrznie korzystanie z systemu PGP.

Wreszcie zmuś też pracowników do zainstalowania antywirusa na komputerze – niech zarówno sieć, jak i pliki będą skanowanie i blokowane, jeżeli nie są bezpieczne.

Obowiązki, jeżeli coś pójdzie nie tak

Pamiętajcie, że jesteście odpowiedzialni finansowo za bezpieczeństwo sklepu i  danych. Między innymi musicie:

  1. Poinformować odpowiedni organ o naruszeniu danych osobowych do 72 godzin od wystąpienia naruszenia (jeżeli takie wystąpi).
  2. Poinformować bezzwłocznie użytkowników, których dane zostały wykradzione
  3. Udokumentować zarówno zabezpieczenia, jak i ew. naruszenia i działania z nimi związanymi.

Jeżeli chcecie zrozumieć, co może grozić i trochę lepiej się do tego przygotować, to bardzo polecamy podcast Hackable. Jest to doskonale wykonane słuchowisko, gdzie eksperci opowiadają o tym, co można zrobić za pośrednictwem internetu, a także, jak temu przeciwdziałać.

[x]

Ta strona używa cookies

Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w plikach cookies (zarówno sesyjnych jak i trwałych) przez Orba sp. z o.o. z siedzibą w Warszawie, w celu dostosowania treści strony internetowej do moich preferencji, optymalizacji korzystania ze stron internetowych, tworzenia anonimowych statystyk, które umożliwiają zrozumienie sposobu korzystania użytkownika ze stron internetowych.

Akceptuję