Pandemia przesunęła handel w stronę internetu. Podczas lockdownu stacjonarne sklepy były zamknięte, a w internetowych trwały żniwa. O prosperity w e-commerce, z dopalaczem w postaci pandemii, najlepiej świadczy wzrost lidera polskiego rynku – Allegro – którego przychody zwiększyły się w 2020 r. o 54,2 proc. do 4 mld zł.
PMR szacuje, że w ubiegłym roku cały rynek urósł o ponad 45 proc. do 88,7 mld zł, czyli ok. 15 proc. całego handlu detalicznego. Według prognoz w 2023 r. udział e-commerce przekroczy 20 proc. To impuls do działania nie tylko dla przedsiębiorców, ale też... hakerów. Dlatego na znaczeniu zyskuje cyberbezpieczeństwo.
Cyberbezpieczeństwo na drugim planie
Hubert Rachwalski von Rejchwald, prezes Nethone – spółki walczącej z oszustwami płatniczymi w internecie – podkreśla, że hakerzy są bardzo pragmatyczni.
– Atakują tam, gdzie są w stanie uzyskać najwyższy zwrot z poniesionych nakładów, np. w postaci otrzymanego okupu. Przyciągają ich dynamicznie rosnące sektory rynku, w tym e-commerce, którego wzrost przyspieszyła pandemia – wyjaśnia Hubert Rachwalski von Rejchwald.
Dynamiczny wzrost oznacza, że w grze są coraz większe pieniądze, a jednocześnie - co podkreśla ekspert - operatorzy e-sklepów mają do rozwiązania mnóstwo problemów operacyjnych, związanych z marketingiem, ekspansją czy rozbudową oferty, i nie poświęcają zbyt wiele uwagi cyfrowym zagrożeniom. Hakerom w to graj.
– Inwestowanie w cyberbezpieczeństwo zazwyczaj nie jest więc priorytetem. Jednocześnie gdy nagle przybywa dużo nowych użytkowników, łatwiej wtopić się w tłum i pozostać niezauważonym aż do momentu ataku – tłumaczy szef Nethone.
Działająca od 2016 r. firma szacuje, że liczba ataków i wartość szkód rośnie szybciej niż rynek e-commerce.
– Zwiększa się też świadomość firm w zakresie potrzeby wdrażania zabezpieczeń. Coraz więcej nagłaśnianych ataków sprawia, że konsumenci wymuszają działania na właścicielach platform sprzedażowych – mówi Hubert Rachwalski von Rejchwald.
Niska świadomość - większe zagrożenie
Mniejszym optymistą jest Paweł Fornalski, prezes i współzałożyciel IAI – spółki oferującej IdoSell, platformę do tworzenia i prowadzenia e-sklepów w modelu SaaS (oprogramowanie w formie usługi). Podkreśla, że obsługuje branżę e-commerce od 21 lat, a sprzedawcy wciąż nie bardzo wiedzą, jak się chronić – choć coraz więcej się o tym mówi, m.in. w kontekście ochrony danych osobowych i kar grożących za zaniedbania.
– W przypadku mniejszych firm sytuacja może nawet się pogorszyła. Początkowo e-sklepy tworzyli głównie ludzie związani z IT, którzy byli świadomi zagrożeń, teraz jest inaczej – stwierdza Paweł Fornalski.
Podkreśla, że choć jest z wykształcenia informatykiem, dziś nie odważyłby się uruchomić e-sklepu bez sztabu specjalistów albo skorzystania z platformy działającej w modelu SaaS.
– W tym modelu dane są na bieżąco analizowane przez grupę specjalistów. Zapewnia to większe bezpieczeństwo niż model on premises, czyli oprogramowanie instalowane na serwerze przedsiębiorcy, dominujący np. w Niemczech – wyjaśnia prezes IAI.
– W dużych organizacjach jest zazwyczaj oficer bezpieczeństwa, definiujący i egzekwujący standardy. Mają one też sporo własnych zasobów IT. Młodsze firmy są natomiast otwarte na rozwiązania chmurowe, w tym postawienie e-sklepu na zewnętrznej platformie, np. w modelu SaaS, niepowiązanej bezpośrednio m.in. z firmowym systemem ERP – dodaje Ryszard Łach, szef biznesu chmurowego w Unity Group, firmie pomagającej w przeprowadzaniu cyfrowej transformacji.
Co zrobić, gdy haker żąda okupu
Zagrożenie jest jednak realne. Ofiarą hakerów został w lutym CD-Projekt, natomiast w sierpniu głośno było o ataku na Monnari, notowaną na GPW spółkę z branży handlowej. Ucierpiały jej systemy operacyjne, w tym sprzedażowe i finansowe.
Na początku października Monnari deklarowało, że wciąż zmaga się z konsekwencjami ataku, a odtwarzanie infrastruktury może przeciągnąć się nawet na przyszły rok. Paweł Fornalski twierdzi, że podobnych działań hakerów jest bardzo dużo, jednak firmy niechętnie je nagłaśniają, by nie zachęcać kolejnych przestępców.
– Najgłośniejsze i najgroźniejsze w skutkach ataki w branży e-commerce nie różnią się od tych z innych sektorów. Chodzi o ataki typu ransomware, blokujące systemy do czasu zapłacenia okupu. Hakerzy nie włamują się poprzez e-sklep, tylko poprzez źle zabezpieczone urządzenia pracowników firmy – mówi Ryszard Łach.
Paweł Fornalski zaznacza, że trudno już przechwycić pieniądze z transakcji między klientem a sklepem, przekierowanie dostawy nie jest szczególnie intratne, a dane, które można ukraść, mają wartość symboliczną. Dlatego w ostatnich latach w e-commerce szczególnie nasiliły się tzw. ataki DDOS (z wielu komputerów jednocześnie), paraliżujące działalność sklepów internetowych do czasu zapłacenia okupu, najczęściej w bitcoinach.
– Z dbaniem o cyberbezpieczeństwo jest jak z inwestowaniem w drzwi antywłamaniowe. Nie powstrzyma to zdeterminowanego włamywacza, ale utrudni i spowolni jego działania, a z czasem skłoni go do znalezienia innego, łatwiejszego celu. Dlatego też gdy już dojdzie do ataku DDOS, należy go przeczekać – utrzymanie blokady oznacza koszty dla hakerów. Jeśli staną się zbyt wysokie, odpuszczą i poszukają zysku gdzie indziej. Spełnienie żądania zachęca do jego ponowienia – tłumaczy prezes IAI.
Ważne jest inwestowanie np. w pasywną biometrię i inne technologie pozwalające rozpoznać użytkownika i zweryfikować, czy nie podszywa się pod niego ktoś inny lub bot próbujący wyłudzić dane. Jednocześnie nie może to wpływać na doświadczenie użytkownika w procesie przeprowadzenia transakcji, by nie zniechęcać do jej sfinalizowania.
Nie warto oszczędzać na polisie
Zdaniem Pawła Fornalskiego trudno ocenić, jak duże koszty ponoszą firmy z powodu ataków. W przypadku zablokowania e-sklepu na jeden dzień jest szansa, że część konsumentów wróci następnego dnia.
– Niedostępność serwisu przez kilka dni, może jednak wiązać się z utratą kilkudniowego utargu. Ma to również negatywny wpływ na wizerunek marki – mówi Paweł Fornalski.
Ryszard Łach uważa, że firmy nie palą się do wydatków na cyfrowe bezpieczeństwo, bo trudno im oszacować skalę ryzyka.
– Inwestycje w cyberbezpieczeństwo można porównać do polisy ubezpieczeniowej, którą opłacamy nie z myślą o szybkim zwrocie, ale w obawie przed następstwami niepożądanych zdarzeń. Im mniejszą mamy skłonność do ryzyka, tym większą składkę jesteśmy gotowi zapłacić. Tymczasem w skrajnym przypadku koszty ataku mogą być tak duże, że doprowadzą firmę do upadku – komentuje Ryszard Łach.
– Przekonanie, że firmowy programista może przygotować zabezpieczenia w międzyczasie albo poskleja się je z różnych rozwiązań, jest krótkowzroczne i ryzykowne. Dobrze zorganizowanego ataku to nie powstrzyma. Przekonujemy klientów, że warto zainwestować w system gromadzący dane w jednym miejscu. Łatwiej wówczas uzyskać pełen obraz zagrożenia, np. dzięki zastosowaniu sztucznej inteligencji, i odpowiednio wcześnie zareagować – przestrzega Hubert Rachwalski von Rejchwald.
Tylu z 28,8 mln polskich internautów, według Gemiusa, przynajmniej raz kupiło coś w internecie.
Hurtownicy doceniają ryzyko
Częściej mówi się o detalicznym segmencie e-commerce, ale rynek B2B jest kilkakrotnie większy. Santander Bank Polska szacuje, że jego wartość w 2021 wyniesie 637 mld zł (+42,5 proc. r/r). Pokusa dla hakerów jest większa, ale też wyżej zawieszona poprzeczka, bo firmy przywiązują większą wagę do cyberbezpieczeństwa, gdy handlują z innymi firmami.
– Wartość zamówień jest znacznie większa, a warunki ustalane są indywidualnie, więc wyciek informacji mógłby mieć katastrofalne skutki. Ponadto ponad 90 proc. przychodów firm jest pokrywane kredytem kupieckim. Gdyby z powodu ataku nie udało się odzyskać należności, konsekwencje byłyby bardzo groźne – tłumaczy Bartosz Pilch, członek Digital Experts Clubu oraz dyrektor ds. e-commerce i marketingu w SIG.
Ekspert podkreśla, że firmy z rynku B2B mają też więcej do stracenia, jeśli chodzi o wizerunek, bo zaufanie w handlu hurtowym buduje się latami, a utrata nawet pojedynczego klienta może być bolesna.
Prowadzenie sprzedaży przez internet ma wiele zalet — chodzi w szczególności o posiadanie rozbudowanej bazy klienckiej oraz możliwość dotarcia do klienta w czasach pandemii COVID-19. Obok zalet pojawiły się jednak niebezpieczeństwa. Codziennością wielu sklepów są ataki, mające na celu pozyskanie dostępu do bazy klientów lub choćby dostępu do ich kont, np. w formie prostego credential stuffing. Konsekwencje ataków są różne — utrata zaufania klientów, niemożność prowadzenia sprzedaży w kluczowych dla niej okresach.
Ataki mogą ponadto wywołać poważne problemy natury prawnej, m.in kary przewidywane przez RODO. Pierwszą kwestią jest oczywiście zgłoszenie w terminie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Istnieje jednak duże ryzyko, że organ ochrony danych uzna za stosowne bliższe przyjrzenie się całemu procesowi przetwarzania danych osobowych w spółce. Nie można też wykluczyć indywidualnych roszczeń klientów.
Z tych też względów podejście do używanych systemów oraz zbieranych danych jest bardzo istotne. Zapobieżenie, w miarę możliwości, atakom nie jest łatwe, zwłaszcza w starciu z argumentem o nieutrudnianiu klientom dostępu do sklepu, ale np. wysokie wymogi co do haseł, rezygnacja z adresu e-mail jako loginu czy też stosowanie dwustopniowej autoryzacji przez klientów jest bardzo celowe.Z punktu widzenia łagodzenia skutków ataku celowe jest też ograniczenie zakresu zbieranych danych — może to zapobiec zarówno niewygodnym pytaniom PUODO, jak również konieczności informowania o naruszeniu klientów, których zdarzenie dotyczyło. © Ⓟ
