Петте стълба на сигурността в електронната търговия

През изминалия месец станахме свидетели на най-голямата атака срещу e-commerce индустрията и по-специално магазините, които все още използват Magento 1. Това е версия, която вече не се поддържа официално и за нея вече няма редовни ъпдейти и пачове. В резултат на атаката над 2000 онлайн магазина са били компроментирани в различна степен. Подобен проблем са ransomware и DoS-атаките, с които се сблъскват редица бизнеси дори и в България. Такива тенденции спешно изискват насочване на вниманието на собствениците на онлайн-магазини към нарастващата опасност от пробиви в сигурността им. И докато в обикновен магазин кражбите се ограничават до изчезнал артикул или липсата на оборота за деня, в онлайн бизнеса проблем със сигурността може да означава край на добрата репутация на магазина и сериозен отлив на клиенти. В случай, че сте инвестирали вече в развитието на марката си, това неминуемо води до сериозни загуби. И доколкото поддръжката на сигурността е сериозна тема и за нея е добре да отговаря специалист или още по-добре екип от специалисти, тук ще се опитаме да изложим няколко основни концепции, които са санитарния минимум, необходим на всеки занимаващ се с електронна търговия или онлайн бизнес човек.

В основата на разбирането за сигурност в Интернет са залегнали пет понятия, върху които се градят всички останали практики в областта. Разбирането какво означават те и как се отнасят към конкретните проект или организация дава отправна точка за изграждане на собствена стратегия за сигурност. Не се заблуждавайте, че такава не Ви е необходима в началото – по-добре да имате основата заложена навреме, вместо да изготвяте кръпки в движение при вече стартирал проект. По възможност отделете част за сигурност в бюджета още на ниво бизнес-план и помислете как ще подсигурите всяка една от тези пет необходимости.

Конфиденциалност – предотвратяване на всяка възможност данните на потребителите Ви да попаднат в ръцете на неоторизирана трета страна. Скандалът с изтеклите потребителски пароли от Линкдин преди няколко години е сериозен пример за пробив в конфиденциалността. За да избегнете подобна лоша реклама се уверете, че имате подходящо конфигуриран файъруол на сървъра, крайните станции са оборудвани с анти-вирусни програми и използвайте криптирана комуникация между сървъра и клиентите.

Цялостност – всички данни, които потребителите са качили в системата, трябва да останат непроменени. Ако Вие или трета страна променя данните в потребителските профили на клиентите Ви, с голяма вероятност ще загубите доверието им. В най-добрия случай осигурете криптиране на всички подадени от клиента данни, така че да нямате пряк достъп до тях. Когато това не е възможно, постарайте се да осигурите целостта чрез вътрешни процедури. Във всички случаи подсигурете данните с редовни бекъпи.

Автентификация – в областта на електронната търговия това понятие означава, че и купувачът и продавачът трябва да са тези, за които се представят. За да отговорят на това изискване редица бизнеси предлагат на клиентите си да ползват Identity Federation решения, като например вход с Facebook или Google профил. SSL сертификатите удостоверяват другата страна в комуникацията. При разплащанията е необходима допълнителна автентификация, тъй като там като страна се намесва и банката или друга финансова услуга.

Неотхвърляне – този принцип изисква страните да не отричат действията си в транзакцията. Действията на продавача и купувача трябва да са проследими и да могат да се удостоверят при нужда. Никоя от страните не трябва да има възможността да отрече веднъж генериран подпис, имейл или поръчка. Понякога, за да се подсигури допълнително тази опасност, се използват услугите на доверена трета страна - ескроу-агенция, която действа като посредник между страните. Ако сте стартиращ онлайн-магазин ще Ви е необходимо известно време докато докато спечелите доверието на клиентите си именно поради опасенията им, че ще вземете парите им без да видят стоката си.

Наличност – тази необходимост е съществена за оцеляването на всеки онлайн бизнес. Без наличност на услугите няма потребители, съответно няма приходи. Заплахите за наличността са както вътрешни – спирания на тока, прекъсване на Интернет, счупване на сървъра, така и външни – DoS атаки, лоши ботове или просто неочаквано голям трафик. Обикновено тези опасности могат да бъдат преодолени по-лесно и с по-малък бюджет с помощта на подходящ клауд доставчик. 

Сигурността на компанията Ви трябва да бъде част от цялостната Ви стратегия, а не само нещо, за което си спомняте веднъж годишно. С развитието на бизнеса Ви, вероятността да попадне в полезрението на криминалния контингент нараства заедно с ръста на новите потребители на услугите Ви. Не бива да се заблуждаваме, че България остава встрани от световните тенденции за растеж на киберпрестъпността. Всяко слабо място на световната карта ще бъде използвано безжалостно от заинтересуваните лица, стига да им осигури някакъв приход. Показателен за това е и бумът на таргетиран фишинг спам на български, който се усъвършенства с всеки изминал месец. За да бъдем готови за тези предизвикателства е необходимо да подготвим инфраструктурата си на всички нива – от крайните устройства на потребителите ни, чрез антивирусен софтуер до основната платформа на бизнеса – онлайн магазина, чрез палитра от решения за сигурност.

Павел Недялков

Павел Недялков

Павел е с над 15 годишен опит в телекомуникациите и е работил в редица международни технологични компании. Когато не подготвя оферти, пише статии, чете за нови технологии или кръстосва планинските пътеки.