Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Важливість кібербезпеки для е-Commerce

Майстер-клас: секрети випікання найсмачніших млинців!

14.12.2023
З часів пандемії COVID-19 для багатьох бізнесів канал електронних продажів (e-Commerce) є не лише “резервним”, а досить часто – основним. Закриття фізичних точок продажів під час тривог або відключень електроенергії також змушує багатьох підприємців приділити більше уваги до онлайн-продажів. За останні роки активно розвинулися віртуальні продажі: присутність магазину на маркетплейсі Rozetka або Prom генерує дохід, проте не потребує інвестицій у фізичні активи, пов’язані безпосередньо з продажами (торгові площі, вітрини, тестова продукція, продавці-консультанти тощо). Очевидно, що зміни в поведінці покупців у виборі продукту, прийнятті рішення, оформлення та оплаті замовлення призводять до змін в моделях загроз безпеці в e-commerce. Якщо в класичних “магазинних” продажах продавець повинен вміти відрізняти фальшиві купюри від справжніх, а охоронець не допустити виходу з товаром без його оплати, то віртуальні продажі породжують нові виклики. 
Ключовими проблемами кібербезпеки електронного рітейлу можна вважати: ● забезпечення працездатності електронного каналу продажів;● безпека оплат (покупець і продавець мають бути впевненими в безпеці грошової транзакції);● захищеність даних (покупцям доступна лише відкрита частина, актуальних та цілісних даних);● аутентифікація та авторизація користувачів (точна ідентифікація особи, яка використовує важливі дані, і чітке визначення перелік доступних цій особі дій. 
Проблемами з точки зору кібербезпеки слід вважати й репутаційні втрати та втрату довіри до бренду, якщо ваші комунікації будуть оцінені як спам або на вашому сайті підмінять інформацію на неправдиву (deface).
Важливо розуміти, що у світі електронної комерції, перераховані вище завдання та ризики існують незалежно від розміру вашого бізнесу. Тож і захист ви повинні будувати навіть якщо обсяги ваших продажів значно відрізняються від основних гравців вашого ринку. Однак, існує низка рішень для забезпечення кібербезпеки, які будуть доступні малому та середньому бізнесу.
Серед обов’язкових елементів захисту є файрвол вебзастосунку (WAF – Web-Application Firewall), який забезпечує захист вебсайтів та вебзастосунків від більшості онлайн-загроз. Якщо ризики припинення онлайн-продажів стають для вашого бізнесу достатньо відчутними, потрібно проходити регулярний аудит на відповідність основним стандартам безпеки поводження з інформацією про платіжні картки (PCI DSS - Payment Card Industry Data Security Standard). Це дозволить виявити невідповідності та ліквідувати їх до того, як вони будуть використані проти вашого бізнесу. Аби покращити результат слід здійснювати аудит всього ланцюга онлайн-покупки від систем замовлення у виробника до оплати у застосунку банку клієнтом.Окремо слід наголосити на важливості проведення регулярних тестувань на проникнення у ваші ІТ-системи (penetration testing). Це значно глибші та детальніші спроби отримати контроль над вашими системами чи даними, які використовують різні інструменти як технічного характеру, так і соціальної інженерії. На відміну від автоматичних сканерів, які перевіряють лише відомі (типові) вразливості, тестування на проникнення проводиться висококваліфікованими спеціалістами. Вони підбирають інструменти та методи проникнення індивідуально, максимально імітуючи діяльність справжніх зловмисників.Моніторинг доступності онлайн-сервісів (uptime monitoring) може давати багато додаткової інформації, тому цей аналіз можна використовувати для пошуку вразливостей вашого захисту. Якщо сервіс мав працювати планово, проте відбулися певні збої, ви маєте чітко зрозуміти, що було причиною таких збоїв та реагувати відповідно.
Крім інструментів захисту та регулярних аудитів, необхідною умовою для підвищення захисту каналів електронної комерції є правильна організація процесів підтримки ІТ та інформаційної безпеки. 
Серед основних “гігієнічних” правил:● надійна політика паролів: вони мають бути складними, регулярно оновлюватись, для різних систем мають використовуватись різні паролі, а для критичних систем та процесів - двофакторна аутентифікація;● регулярні оновлення: жодна реальна система не є ідеальною та готовою протистояти всім майбутнім викликам, відповідальні виробники систем регулярно випускають оновлення та патчі до своїх продуктів, які підвищують їх захист від нових вразливостей.● резервне копіювання та плани відновлення: навіть якщо зловмисники змінять інформацію на вашому сайті, ви можете швидко відновити все з резервної копії. Очевидно, що ваші втрати будуть значно більшими, якщо остання копія була зроблена місяць тому.● моніторинг та виявлення атак: найбільш болючі атаки на інформаційні активи відбуваються малопомітно, довго та тихо. Для зловмисника набагато цікавіше дістатись до вашої фінансової інформації чи платежів, ніж замінити логотип на стартовій сторінці вашого сайту. 
Аби забезпечити ефективність основних процесів вся система має будуватись, згідно з принципами захищеної ІТ-архітектури. Широке використання онлайн-сервісів передбачає додаткові вимоги, які відрізняються від класичних рекомендацій побудови ІТ-систем “для внутрішнього використання”. Наприклад, повна централізація деяких ІТ-сервісів (яка має велику кількість переваг з точки зору класичних архітектурних підходів) породжує додаткові ризики ІТ-безпеки. Можливо, система централізованого управління касовими апаратами буде коштувати дешевше, ніж децентралізована, проте уявіть собі ситуацію, коли тисячі касових апаратів у всіх ваших точках не можуть доступитись до центрального сервера. 
Окрему увагу слід приділяти інтерфейсам інтеграції з вашими партнерами. Зазвичай вони розглядаються окремо від фронт-систем спрямованих на кінцевого покупця, проте захищати партнерські інтерфейси потрібно не менш ретельно. Прикладом подібної партнерської інтеграції може бути перелік відділень та поштоматів Нової Пошти, в які ви можете зробити відправлення товару. Такий перелік ви будете “підтягати” безпосередньо від Нової Пошти, але така інтеграція зовнішніх даних з вашим вебзастосунком породжує додаткові ризики, які мають бути проконтрольовані.
Для кібербезпеки важливим є ще один момент. Якщо ви купуєте всі необхідні інструменти захисту, проте не побудуєте правильні механізми їх використання, вони будуть скоріше заважати, ніж приносити користь. Тримати у своєму штаті спеціалістів з кібербезпеки для багатьох бізнесів може бути занадто дорого. Проте, вже давно нікого не дивує те, що фізична охорона вашого магазину виконується працівниками окремої агенції з безпеки, інкасацію виконують працівники банків, пультова охорона надається спеціалізованими охоронними підрозділами. І навіть ІТ-послуги вже давно надаються на умовах аутсорсингу сторонніми організаціями. Тому для забезпечення надійної кібербезпеки електронної комерції, яка є надзвичайно важливою для вашого бізнесу, варто обирати надійних партнерів. Для продажів 24/7 забезпечте захист 25/8. 

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124