Tie, čo už boli hacknuté, a tie, čo o tom nevedia

Bezpečnosť e-shopu má zvyčajne malú prioritu až do momentu, keď sa stane niečo závažné. Napríklad e-shop má výpadok počas sezóny, napr. cez Black Friday, kvôli DOS útoku. Alebo jedného dňa stratíte databázu všetkých vašich zákazníkov, prípadne sa táto databáza ocitne na verejnosti. Až po takejto udalosti sa zvyčajne začne e-shop venovať bezpečnosti. V skutočnosti je situácia ohľadom bezpečnosti vážna od začiatku fungovania. Ako vravia odborníci, sú len dva typy firiem – tie, čo už boli hacknuté, a tie, čo o tom nevedia.

Berte preto bezpečnosť vážne.


Úrovne technickej bezpečnosti

Bezpečnosť má zvyčajne veľa úrovní od zabezpečenia serverov a databáz, cez ochranu osobných údajov až po zabezpečenie prístupu k dôležitým údajom a dokumentom vrátane papierových, podľa pracovnej pozície. V tejto kapitole sa venujeme najmä bezpečnosti technického riešenia, t. j. hostingu a e-commerce CMS. Pri výbere ich dodávateľov si overte, že bezpečnosť je súčasťou ich ponuky a sú pripravení na riešenie prípadných incidentov.

Operačné systémy

Pre operačné systémy v hostingu aj pre e-commerce CMS, ako aj pre všetky používané IT systémy, platformy, pluginy a aplikácie je dôležité, aby boli rýchlo dostupné ich aktualizácie s opravami na elimináciu aktuálnych bezpečnostných rizík. Tieto aktualizácie musí dodávateľ obratom aplikovať.

Web aplikácie

Na úrovni webových aplikácií vrátane e-commerce CMS je dôležité, aby boli naprogramované tak, aby sa nedali zneužiť. Napríklad cez online SQL injection vedia útočníci získať prístup k celej vašej databáze, prípadne v nej zmeniť niektoré údaje. Alebo cez cross site scripting (XSS) sa útočníci môžu dostať ku cookies alebo iným citlivým údajom, ktoré uchováva internetový prehliadač.


Heslá

Ďalšia úroveň bezpečnosti sa týka hesiel. Požadujte, aby si používatelia vytvárali dostatočne bezpečné heslá. Pri ich ukladaní v aplikáciách používajte bezpečné algoritmy SHA1 alebo MD5. Používajte HTTPS všade, kde je to možné. Pripravte sa na prípadné výpadky a problémy a zálohujte svoje e-shopy a ďalšie dôležité aplikácie. Overte si niekedy, či zálohy fungujú, a koľko trvá, kým z nich obnovíte plne funkčný e-shop. Od dodávateľov požadujte monitorovanie dôležitých parametrov IT infraštruktúry a pravidelne ich kontrolujte.

DoS alebo DDoS útoky na weby vrátane e-shopov sú pomerne bežné a solídny hosting by mal byť na takéto hackerské útoky pripravený.

Bezpečnosti sa týka aj téma GDPR

Organizačné aspekty bezpečnosti

Aj pri zvládnutí a precíznom zabezpečení všetkých technických aspektov je jeden faktor, na ktorý nesmieme zabudnúť.

Ľudia. 

Veľká väčšina bezpečnostných incidentov na systém neprichádza zvonku, ale naopak práve zvnútra spoločnosti. Pri nastavovaní prístupových práv a  prístupov do IT systémov zamestnancom je potrebné myslieť aj na túto skutočnosť.  Nie, netreba hneď podozrievať každého zamestnanca a hľadať kostlivca v skrini, avšak ani netreba dávať ľuďom zbytočne prístup, kam ho na výkon svojej funkcie nepotrebujú.

Kľúčom k úspechu je správna organizácia. 

Rozdeľte svojim zamestnancom prístup do systémov na základe práce, ktorú vykonávajú. Nie je dôvod, aby mali všetci k dispozícií všetko. Každý zamestnanec dostane prístup len k určitým informáciám, ktoré potrebuje na svoj výkon práce a nesie za ne plnú zodpovednosť.  Pokiaľ má niekto na starosti odpovedanie na otázky o parametroch produktov, nepotrebuje prístup napríklad k interným finančným záznamom.

Navyše, akokoľvek dobre môžu byť systémy nastavené, pokiaľ ľudia s nimi nenarábajú náležite, vznikajú problémy. Takže okrem toho, že je nevyhnutné písomne zadefinovať postupy a povinnosti ľudí, je nutné ich o tom aj zaškoliť a overiť si, že tomu rozumejú a vedia ako postupy realizovať v praxi.                                                                                                                               

Najjednoduchší príklad bezpečnostného postupu je: "Zamykajte heslom svoj počítač, ak od neho odchádzate". Alebo jedno zo základných pravidiel je: "Každý človek musí používať na prihlasovanie do každého systému svoje osobné konto, nepoužívajte zdieľané kontá pre viac ľudí".

Týmto spôsobom vo veľkej miere znížite pravdepodobnosť interných únikov a personálne zabezpečíte svoj e-shop.