Jak zadbać o bezpieczeństwo swojego e-sklepu? Oto kilka praktycznych rad
Posiadasz lub myślisz nad założeniem własnego sklepu internetowego? Zapoznaj się z podstawowymi radami dotyczącymi jego bezpieczeństwa.
Branża e-commerce rozwija się nader dynamicznie, co potwierdza wiele źródeł i trudno przypuszczać, by rozwój ten miał wyhamować. W związku z tym, możemy spodziewać się wzrostu liczby sklepów w internecie. Sklepów, które od samego rozpoczęcia swojej działalności narażone są na ataki cyberprzestępców. Kilku podstawowych porad dotyczących bezpieczeństwa udzielili w tym temacie eksperci Grey Wizard.
Zakupy w internecie robi już 54 proc. polskich internautów, a szacunkowa wartość rynku, jak podaje Gemius, może wynieść w tym roku nawet 27 mld złotych. Jak to jednak w życiu bywa, wraz ze wzrostem popularności e-sklepów, wzrasta zainteresowanie nimi ze strony wszelkiej maści cyberprzestępców. By nasz biznes nie padł ofiarą hakerów trzeba zastosować się do kilku elementarnych zasad bezpieczeństwa.
Przygotuj odpowiednio całą infrastrukturę sieciową
Zminimalizowanie możliwych skutków aktywności cyberprzestępców opiera się przede wszystkim na przygotowaniu odpowiedniej infrastruktury sieciowej, czyli na porządnych zaporach, serwerach oraz routerach. Odpowiednia infrastruktura to ta zorganizowana w taki sposób, by automatycznie wykrywała podejrzany ruch i natychmiast go blokowała. Jak to zrobić, by wykorzystanie łącza przez osoby niepowołane było niemożliwe?
Należy, w pierwszej kolejności, zamknąć niepotrzebne porty na publicznych interfejsach. Drugim krokiem jest ograniczenie usług widocznych poza siecią wewnętrzną i wprowadzenie list kontroli dostępu, czyli mechanizmu filtrowania pakietów przetwarzanych przez router. Po trzecie wreszcie, warto przeanalizować przychodzące i wychodzące dane, by wykryć ewentualne anomalie.
Zadbaj o właściwą konfigurację serwerów
Skutecznie sparaliżować możliwości firmowej infrastruktury może wyczerpanie mocy lub pamięci serwerów. Dlatego właśnie warto zwrócić uwagę na warstwę aplikacji oraz ataki, które są tam kierowane. By sobie z nimi poradzić, dobrze jest utwardzić serwery, czyli usunąć zbędne oprogramowanie, zlikwidować niepotrzebne nazwy użytkowników i niewykorzystywane loginy oraz wyłączyć niepotrzebne usługi. Pamiętajmy też o systematycznych aktualizacjach oprogramowania.
Przechowuj dane w kilku lokalizacjach
Ważna kwestia! Nawet najlepsza ochrona przed zagrożeniami w sieci nic nie da, jeśli wszystkie usługi sklepu internetowego będą działały na jednym serwerze. Wystarczy wówczas jeden atak na ów serwer, by nasz biznes znalazł się w opałach. Co zatem zrobić? Zadbać o rozproszenie usług, o ich decentralizację.
Decydując się na rozproszenie usług należy wykorzystać kilka serwerów aplikacyjnych, ustawionych za równoważącymi obciążenia loadbalancerami, równoważącymi obciążenia i dzielącymi ja na poszczególne procesory, komputery czy połączenia sieciowe. Warto skorzystać również z awaryjnego serwera poza użytkowaną infrastrukturą, który posłuży do komunikacji z klientami podczas cyberataku.
Pamiętaj: szyfrowanie danych to podstawa!
Jak informują badania przeprowadzone przez Kaspersky Lab i B2B International, oprócz ataków DDoS aż 74 proc. przedsiębiorstw doświadczyło incydentów związanych z naruszeniem bezpieczeństwa. Do najczęstszych zagrożeń należą: infekcje złośliwego oprogramowania (45 %), włamania do sieci korporacyjnych (32 %) i wycieki krytycznych danych (26 %). Wniosek? Współczesne cyberataki są ze sobą coraz bardziej powiązane.
- Oczywistym w tym przypadku staje się fakt, że obciążenie serwisów online, czyli pozorny cel cyberataku, ma na celu odwrócenie uwagi od prowadzonych w tym samym czasie działań na szeroką skalę. Aby temu zaradzić, należy zatroszczyć się o szyfrowanie gromadzonych na serwerze danych, co dotyczy zwłaszcza danych osobowych klientów – informuje Radosław Wesołowski z Grey Wizard.
Postaw na odpowiednich partnerów, czyli zdecyduj się na audyt bezpieczeństwa
Przed zaimplementowaniem podstawowych nawet zabezpieczeń, zaleca się przeprowadzenie całościowego audytu bezpieczeństwa. Dzięki temu będziemy mogli poznać potencjalne luki, przetestować firewall oraz wprowadzić odpowiednie i wymagane poprawki. Ponadto, należy pamiętać o odpowiednim przeszkoleniu administratorów pod kątem firmowej infrastruktury lub skorzystać z pomocy firm zewnętrznych zajmujących się cyberbezpieczeństwem.
Źródło: dot PR
Komentarze
2- właściwa usługa musi być schowana za serwerem webproxy z włączonym odpowiednim filtrowaniem zapytań.
- na serwerze musi być chociaż malutki kawałeczek VPN ze stacją roboczą
- stacja robocza do zarządzania sklepem powinna być tylko wirtualizatorem. a sam system do zarządzania jako wirtualka. to nie wymaga mega wydajności. powinno się to łączyć ze sklepem wyłącznie przez tego mini VPN
- panel zarządzania powinien być puszczony wyłącznie przez VPN
- hasła nie mogą być trywialne, nie można używać domyślnego usera. najlepiej go zablokować w sklepie, po wcześniejszym utworzeniu jego ekwiwalentu z jakąś dziwaczną nazwą usera
- rejestrować zapytania serera (ruch web) i co jakiś czas robić analizę w celu zrobienia białej listy typowego ruchu i czarnej z dziwactwami
- starać się ukryć o ile to możliwe, jakie oprogramowanie zostało użyte do konstrukcji sklepu
- oczywiście backup. nie dane w kilku miejscach, ale zwykły najzwyklejszy backup każdego dnia aby łatwo można było przywrócić ruch
- na wypadek niedostępności sklepu należy mieć awaryjną procedurę realizacji już zleconych zamówień. najlepiej aby to było coś kompletnie odrębnego od samego sklepu
- przydałby się jakiś zapasowy sklep pod innym adresem, z możliwością szybkiego napchania danymi. najlepiej offline aby roboty go nie zaindeksowały. w razie wtopy odzyskuje się dane w inne miejsce, i robi przekierowanie na nowy adres w dns. potrwa to co prawda kilka godzin, ale pozwoli stanąć z powrotem na nogi. dobrze by było aby taki zapas byl u innego dostawcy.
- nigdy ale to nigdy nie zamawiać domeny i sklepu u tego samego dostawcy. bo w razie padu tego dostawcy leżymy i kwiczymy, i nie mamy możliwości zmiany adresu
- należy dbać o certy https, i mieć je kupione od razu na adres główny i zapasowy (inny niż główny).
- audyt audytem, jednak jest mnóstwo narzędzi do przeprowadzenia testów penetracyjnych. sami sobie możemy to zrobić, jednak dotyczy to wyłącznie serwerów vps. nie dotyczy to wirtualizacji samych usług, bo wtedy będzie to potraktowane jako atak na infrastrukturę operatora a na to są już paragrafy.
aż się dziwię że komercyjna firma podaje tak mało rad, w dodatku są one bezwartościowe :(