Jak zabezpieczyć swój biznes eCommerce przed zagrożeniami hakerskimi?
Opublikowany: 2017-10-31Biorąc pod uwagę całą dyskusję w branży o zagrożeniu hakerami, a Equifax doświadcza obecnie jednego z największych włamań do tej pory, warto zrobić krok wstecz, aby zdać sobie sprawę, jak niepewny może być Twój biznes eCommerce.
W przyszłości rynek stanie się bardziej wyrafinowany i zacznie bardziej ufać firmom, o których wiedzą, że będą chronić ich informacje.
Jako właściciel sklepu eCommerce masz dostęp do dużej ilości poufnych informacji, które zwykle są przechowywane na komputerze, co naraża Twoją firmę na ryzyko włamania. Nawet jeśli prowadzisz mniejszą firmę, nie możesz ignorować zagrożeń, które na co dzień stanowią dla Twojej firmy.
Wsadzenie głowy w piasek i założenie, że nie stoisz w obliczu zagrożeń, ponieważ prowadzisz mniejszą firmę, jest niewłaściwym podejściem i może wpędzić cię w poważne kłopoty, jeśli haker kiedykolwiek dowie się, że ignorujesz udowodnione Środki bezpieczeństwa.
Jeśli chcesz mieć pewność, że Twoja firma i klienci są nie tylko bezpieczni przed zagrożeniem ze strony hakerów, ale także zmusić hakerów do poddania się, zanim spróbują złamać Twoje zabezpieczenia, oto 15 różnych sposobów na zapewnienie bezpieczeństwa Twojej firmie eCommerce.
#1 - Korzystaj z bezpiecznej platformy handlu elektronicznego.
To największy czynnik, który wpłynie na bezpieczeństwo Twojego sklepu.
Jeśli na przykład korzystasz z WooCommerce, musisz upewnić się, że jest zawsze aktualizowany do najnowszej wersji, że aktualizujesz WordPress do najnowszej wersji i że wszystkie używane wtyczki są aktualizowane.
Większość popularnych platform handlu elektronicznego, takich jak Shopify, będzie mieć środki bezpieczeństwa, aby zapewnić bezpieczeństwo danych klientów.
Jeśli jednak korzystasz z nowej platformy eCommerce lub takiej, która nie kładzie dużego nacisku na bezpieczeństwo, będziesz chciał rozpocząć migrację do bardziej rozwiniętej platformy – takiej, która rozumie bezpieczeństwo i jak utrzymać wysoki poziom bezpieczeństwo.
Nieaktualne oprogramowanie jest jedną z największych przyczyn naruszeń bezpieczeństwa, a hakerzy mogą wykorzystywać „ślady”, które oprogramowanie pozostawia, aby znaleźć sklepy, które mogą być nieaktualne. Następnie mogą kierować reklamy do tych sklepów pojedynczo.
#2 - Upewnij się, że Twoja płatność jest bezpieczna.
Twój obszar kasowy jest jednym z największych celów w Twoim sklepie.
Niektórzy hakerzy będą próbować przejąć bazę danych, w której przechowywane są informacje o klientach, podczas gdy inni będą próbować przechwycić te dane, gdy są one wprowadzane do formularza płatności, a następnie przesyłane do serwera przetwarzania.
Odgrywa to, w dużej mierze, częściowo na platformie, na której hostujesz swój sklep eCommerce.
Możesz jednak również wdrożyć funkcje bezpieczeństwa, takie jak szyfrowany SSL i bezpieczne płatności, aby upewnić się, że hakerzy nie będą mogli przechwycić przesyłanych informacji.
Certyfikat SSL zaszyfruje informacje wprowadzone przez klienta, zanim zostaną przesłane, dzięki czemu nawet jeśli haker będzie w stanie je przechwycić, nie będzie mógł nic zrobić z zebranymi informacjami.
#3 - Nie przechowuj poufnych danych.
Jeśli Equifax jest jakimkolwiek dowodem, hakerzy polegają na firmach i firmach, które przechowują poufne informacje, a następnie pozwalają na wygaśnięcie protokołów bezpieczeństwa, aby mogli wykorzystać luki w celu uzyskania dostępu do tych informacji dla siebie.
Equifax zajmuje się zbieraniem i przechowywaniem poufnych informacji o ludziach, co uczyniło ich głównym celem hakerów. Łatwo powiedzieć, że to nie pierwszy raz, kiedy hakerzy próbują uzyskać dostęp do ich serwerów i baz danych. Prawdopodobnie nie po raz setny.
W większości przypadków, aby sprawnie prowadzić firmę, naprawdę nie musisz przechowywać żadnych informacji poza nazwą klienta, adresem e-mail, adresem domowym, numerem telefonu, loginem i hasłem.
Jeśli zbierasz i przechowujesz te informacje, musisz upewnić się, że są one przechowywane w bezpiecznej, zaszyfrowanej bazie danych. Musisz również upewnić się, że Twoi klienci wiedzą, że nie mogą używać tego samego hasła do Twojego sklepu, którego używają do innych poufnych kont, takich jak ich konta e-mail lub konta bankowe.
#4 - Użyj systemu weryfikacji CVV.
CVV lub wartość weryfikacji karty kredytowej pomaga ograniczyć liczbę nieuczciwych transakcji, wymagając od klienta posiadania karty kredytowej w celu odczytania numeru CVV z tyłu karty.
Chociaż ta strategia nie pomoże Ci całkowicie wyeliminować oszustw związanych z kartami kredytowymi w Twoim sklepie, możesz znacznie ograniczyć możliwości.
Wielu hakerów nie będzie miało przed sobą fizycznej karty, więc nie będą mogli wprowadzić prawidłowego CVV, aby kontynuować transakcję. Jeśli nie mają numeru CVV, nie będą mogli popełnić oszustwa związanego z kartą kredytową.
Ponownie, nie powstrzyma to wszystkich oszustw, ale może zmniejszyć prawdopodobieństwo wystąpienia obciążeń zwrotnych i fałszywych opłat w Twoim sklepie. Jeśli hakerowi uda się uzyskać CVV z karty kredytowej, której używa do dokonywania nieuczciwych zakupów, nadal może iść naprzód.
#5 - Wymagaj silnych haseł.
Czasami hakerzy nie muszą nawet łamać zabezpieczeń z powodu usterek oprogramowania, keyloggerów lub innych środków skoncentrowanych na oprogramowaniu.
Czasami wystarczy, że uzyskają dostęp do słabego hasła i użyją go do przejęcia wszelkich baz danych, w których przechowywane są poufne informacje.
Dlatego musisz wymagać, aby zarówno klienci, jak i pracownicy używali bezpiecznych haseł. Jest to szczególnie ważne, jeśli członkowie Twojego personelu mają dostęp do obszarów, w których przechowujesz poufne informacje, jeśli je przechowujesz.
Oprócz upewnienia się, że Twoi klienci nie używają tego samego hasła do logowania do sklepu, którego używają do swoich kont e-mail lub kont bankowych, chcesz również upewnić się, że wymagasz od nich używania bezpiecznego hasła.
Naprawdę bezpieczne hasło łączy w sobie kombinację wielkich i małych liter, cyfr i symboli. Są to prawie niemożliwe do ataku „brute force” i nie można ich odgadnąć.
#6 - Monitoruj podejrzaną aktywność.
Jeśli Twój sklep jest celem hakerów, możesz wykorzystać informacje, które Ci przekazują, aby upewnić się, że Twój sklep jest bezpieczny.
Najlepszym sposobem na upewnienie się, że wyprzedzisz hakerów, jest zorientowanie się, co robią teraz, i aktywna praca, aby upewnić się, że te części Twojego sklepu zostały zabezpieczone.
Jednak nadążanie za hakerami może wymagać zdobycia pozycji w „ciemnym podbrzuszu internetu”, gdzie odbywa się większość rozmów na temat najnowszych włamań i exploitów.
Możesz też zacząć monitorować podejrzaną aktywność w swoim sklepie.
Jeśli haker poświęcił energię na zaatakowanie jednej części Twojego sklepu, możesz bezpiecznie założyć, że doszło do włamania lub wykorzystania, które koncentrują się na tej części sklepów eCommerce. Na przykład, jeśli atakują Twój ekran logowania, wiesz, że nadszedł czas, aby upewnić się, że ekran logowania jest bezpieczny.
Aby jednak uzyskać ten poziom świadomości, musisz aktywnie monitorować, co dzieje się z Twoim sklepem, a następnie zrozumieć, co musisz zrobić, aby zwiększyć swoje bezpieczeństwo w tych obszarach.
#7 - Użyj zabezpieczeń warstwowych.
Bezpieczeństwo warstwowe odnosi się do różnych warstw, przez które hakerzy będą musieli przejść, zanim będą mogli uzyskać dostęp do poufnych informacji, jeśli je przechowujesz.
Aby zapewnić poziom bezpieczeństwa, najpierw upewnij się, że masz zaporę ogniową i używasz certyfikatu SSL do szyfrowania transakcji dokonywanych za pośrednictwem serwera.
Następnie będziesz chciał dodać do sklepu inne warstwy na podstawie używanych aplikacji. Na przykład zabezpieczenie formularza kontaktowego, formularzy logowania i zapytań wyszukiwania oraz oddzielenie tych informacji od informacji o klientach może sprawić, że ataki SQL będą bezcelowe.
Ataki SQL wprowadzą informacje do Twojej bazy danych, co pozwoli hakerom uzyskać do niej dostęp, a jeśli przechowujesz informacje o klientach w tej samej bazie danych, co informacje zebrane z formularzy w interfejsie Twojego sklepu, możesz stworzyć zagrożenie bezpieczeństwa .
#8 - Jeśli masz pracowników, przeszkol ich.
Pracownicy mogą być jednym z najsłabszych punktów Twojego bezpieczeństwa. Relaks i nie myślenie o częściach firmy, których nie ma w opisie stanowiska, leży w ludzkiej naturze.
Bezpieczeństwo w tym przypadku jest jednym z pierwszych aspektów, które należy zignorować, ponieważ Twoi pracownicy zakładają, że ktoś inny się tym zajął.
Na przykład Twoi pracownicy mogą zbierać poufne informacje od klientów podczas sesji czatu lub w dzienniku poczty e-mail i nie robić nic z tymi informacjami po zakończeniu sesji czatu.
Musisz upewnić się, że Twoi pracownicy są dobrze przeszkoleni (a ich szkolenie jest aktualne), aby upewnić się, że nie powodują luk w twoich zasadach bezpieczeństwa i nie narażają informacji klienta na ryzyko.
Powinny istnieć pisemne zasady i dokumentacja, a Twoi pracownicy powinni znać przepisy prawa i sposób, w jaki regulują one postępowanie z informacjami wrażliwymi.
#9 - Podaj numery śledzenia swoim klientom.
Bezpieczeństwo handlu elektronicznego powinno skupiać się nie tylko na utrzymywaniu hakerów z dala od informacji o klientach.
Musisz również upewnić się, że hakerzy nie mogą używać skradzionych kart kredytowych do składania zamówień w Twoim sklepie, a klienci nie mogą przesyłać fałszywych zakupów w przypadku zakupów, których faktycznie dokonali.
Roszczenia dotyczące obciążeń zwrotnych i oszustw zdarzają się znacznie częściej niż powinny. Za większość z nich odpowiada duża liczba hakerów, ale niektórzy pochodzą od klientów, którzy zdecydowali, że nie chcą już płacić za zakupione produkty.
Trzymając produkty, zgłoszą one obciążenie zwrotne w swoim banku lub instytucji finansowej lub stwierdzą, że na ich koncie miała miejsce nieuczciwa działalność, pozostawiając Cię w posiadaniu torby.
Aby rozwiązać ten problem, upewnij się, że używasz numerów śledzenia zamówienia i szczegółów wysyłki. Chcesz również upewnić się, że śledzisz adresy IP, lokalizacje, w których złożono zamówienia, oraz inne informacje, których możesz użyć do sprawdzenia, czy opłaty są uzasadnione.
#10 - Często monitoruj swój sklep i hosta.
Nawet jeśli korzystasz z popularnej platformy eCommerce, nie zawsze możesz usiąść wygodnie i zrelaksować się, zakładając, że zadbano o Twoje bezpieczeństwo.
Aby to zrobić, musisz upewnić się, że masz analizy w czasie rzeczywistym, dzięki czemu możesz określić, skąd pochodzi ruch i jak ten ruch wpływa na przepustowość.
Jeśli zauważysz, że masz duży ruch pochodzący z jednego miejsca, możesz spokojnie założyć, że to haker. Narzędzia takie jak Clicky i Woopra mogą wysyłać alerty za każdym razem, gdy wykryją podejrzaną aktywność, na podstawie tego, jak użytkownicy wchodzą w interakcję z Twoim sklepem.
Musisz również upewnić się, że osoba obsługująca Twój sklep eCommerce również monitoruje aktywność. Jeśli zauważą podejrzaną aktywność lub stwierdzą, że zostały zainstalowane trojany i złośliwe oprogramowanie, powinni zrobić wszystko, co konieczne, aby usunąć zagrożenia bez Twojej interwencji.
#11 - Wykonaj skanowanie PCI.
Wykonywanie skanów PCI w Twoim sklepie i serwerach co 3-4 miesiące może pomóc zmniejszyć ryzyko, że Twój sklep będzie narażony na ataki hakerów. Skany PCI pomogą Ci określić, które obszary są obecnie podatne na ataki, bez konieczności wyprzedzania branży hakerskiej.
Jest to szczególnie ważne, jeśli sam prowadzisz sklep, korzystając z oprogramowania takiego jak Prestashop, Drupal lub Magento. Platformy te wymagają samodzielnego dbania o bezpieczeństwo, ale zazwyczaj publikują aktualizacje oprogramowania, gdy identyfikują nowe zagrożenia.
Kilka godzin spędzonych na aktualizowaniu i zabezpieczaniu oprogramowania oraz kontrolowaniu tego, co pokazuje skan PCI, może na dłuższą metę zaoszczędzić. Pamiętaj, że najłatwiejszym celem są sklepy, które nie są na bieżąco z aktualizacjami oprogramowania i zabezpieczeń.
#12 - Aktualizuj swoje systemy.
To już zostało powiedziane, ale aktualizowanie systemów i aplikacji ma kluczowe znaczenie dla utrzymania bezpieczeństwa. Łatanie systemów, dosłownie w dniu, w którym zostanie wydana nowa poprawka, jest sposobem na zapewnienie bezpieczeństwa sklepu.
Cofnij się o krok i pomyśl o tym przez chwilę.
Jeśli prowadzisz swój sklep i korzystasz z Magento, a zespół programistów Magento publikuje powiadomienie, że załatał nową lukę w zabezpieczeniach, można śmiało powiedzieć, że przynajmniej kilku hakerów wiedziało o tej luce.
Jednak po tym, jak Magento ogłosi to światu? Znacznie więcej hakerów wie i może odpalić swoje boty i skrypty, aby rozpocząć śledzenie sklepów Magento, które nadal korzystają z wadliwej wersji oprogramowania.
Gdy programiści opublikują powiadomienie, że jest nowa aktualizacja, zwłaszcza ta usuwająca błędy bezpieczeństwa, poświęć trochę czasu na zaktualizowanie swoich systemów. Oficjalnie stajesz się celem, gdy wydadzą ogłoszenie.
#13 – Skorzystaj z usługi ochrony przed atakami DDoS.
Ataki typu DDoS, czyli rozproszona odmowa usługi, niekoniecznie są „hackiem” w ogólnym znaczeniu tego słowa, ale są metodą, którą hakerzy mogą wykorzystać do całkowitego wyłączenia Twojego sklepu i przeniesienia go w tryb offline.
Tego typu ataki zdarzają się znacznie częściej niż kiedyś, a poziom wyrafinowania, a także rodzaje atakowanych celów również wzrosły.
Najlepszym sposobem zwalczania tych ataków jest hostowanie sklepu w chmurze i korzystanie z usługi, która może przenieść Twój sklep na inny serwer, jeśli wykryją atak DDoS.
#14 - Pomyśl o usługach zarządzania oszustwami.
To niefortunne, ale zdarzają się oszustwa. Dla kupca najlepszą rzeczą, jaką możesz zrobić, jest upewnienie się, że nie zostaniesz z torbą, gdy w Twoim sklepie pojawią się nieuczciwe opłaty.
Coraz więcej firm obsługujących karty kredytowe oferuje nowe usługi, które pomogą Ci zmniejszyć ryzyko oszustwa i zapewnić, że masz więcej pieniędzy w kieszeni.
Mogą pomóc w wyeliminowaniu oszustw, zanim do nich dojdzie, i pokryć koniec, gdy będziesz musiał zweryfikować opłaty, które zostały legalnie dokonane przez konsumentów.
#15 - Przygotuj plan odzyskiwania po awarii.
Nie wystarczy po prostu wykonać kopię zapasową sklepu, bazy danych, wiadomości e-mail i plików klientów. Musisz także upewnić się, że masz przygotowaną strategię odzyskiwania na wypadek, gdyby coś się wydarzyło i stracisz to wszystko.
Mogą istnieć luki w strategii tworzenia kopii zapasowych, które trzeba będzie usunąć. Na przykład, jeśli przechowujesz kopie zapasowe na miejscu, możesz doświadczyć przerwy w zasilaniu, która spowoduje również wyłączenie serwerów kopii zapasowych.
Aby tego uniknąć, upewnij się, że Twoja witryna jest odpowiednio zabezpieczona i regularnie tworzysz kopie zapasowe plików. Następnie chcesz się upewnić, że te pliki są hostowane poza siedzibą firmy i że możesz łatwo przywrócić firmę, jeśli wydarzy się coś katastrofalnego.
Jak pokazał Equifax, żadna firma nie jest tak bezpieczna, aby nie była celem hakerów.
Jako właściciel sklepu eCommerce Twoja firma może być jeszcze większym celem, ponieważ większość hakerów zakłada, że właściciele małych i średnich firm nie poświęcają bezpieczeństwu uwagi, na którą naprawdę zasługują.
Oznacza to, że musisz uważać i zwracać uwagę na 15 różnych obszarów, które tutaj dla Ciebie podzieliliśmy. Upewnienie się, że Twój sklep eCommerce jest bezpieczny, może zająć trochę czasu, ale czas, który teraz poświęcisz, może zaoszczędzić mnóstwo czasu i pieniędzy.
Nie pozwól, aby Twoi klienci musieli zajmować się kradzieżą tożsamości, tak jak wielu klientów Equifax ma teraz do czynienia. Utrzymanie się z tej samej pozycji jest łatwe, gdy wiesz, które obszary w Twojej firmie wymagają rozwiązania.