Twój e-biznes na celowniku cyberprzestępców

  • Materiał partnera
opublikowano: 11-03-2021, 11:30
aktualizacja: 11-03-2021, 12:36

Wraz z przychodami biznesu online drastycznie wzrasta liczba ataków ukierunkowanych na tego typu działalność. Gdzie pojawiają się duże pieniądze, tam natychmiast nadciągają przestępcy

Okazja czyni złodzieja, a kto doprowadził do jej powstania, musi ponieść konsekwencje — uznał prezes Urzędu Ochrony Danych Osobowych (UODO), nakładając na sklep internetowy Morele.net

ponad 2,8 mln zł (660 tys. EUR) kary. Uzasadnienie decyzji? Popularny operator e-commerce nie zapobiegł cyberatakowi i wyciekowi informacji o klientach. Do incydentu doszło w październiku 2018 r., kiedy „osoba nieuprawniona” uzyskała dostęp do danych użytkowników głównego serwisu sprzedażowego firmy. Do sieci wyciekły dane osobowe 2,2 mln kont. Haker mógł swobodnie skopiować bazę imion, nazwisk, adresów e-mail, numerów telefonów i kont bankowych ich właścicieli. Przestępcy szybko wymienili dane na realne pieniądze.

W listopadzie klienci Morele.net zaczęli dostawać wiadomości SMS informujące o konieczności zrobienia dodatkowej opłaty w wysokości 1 zł i zawierające linki do fałszywych bramek płatności. W grudniu przestępca publicznie pochwalił się szczegółami wycieku, a w kwietniu ubiegłego roku opublikował wykradzione dane w sieci.

Mimo że Morele.net niezwłocznie poinformowały o zdarzeniu policję, zaczęły ostrzegać klientów, a po wewnętrznym śledztwie zgłosiły naruszenie do UODO. Urząd wymierzył przedsiębiorstwu srogą karę, tłumacząc, że nie dobrało ono „skutecznych środków technicznych i organizacyjnych na etapie kontroli dostępu i uwierzytelniania”.

Podobnych incydentów internet zna tysiące. W dynamicznie zmieniającym się cyberświecie mnożą się przykłady wycieku wrażliwych informacji, takich jak dane osobowe, numery PESEL, dane kart kredytowych, karty pacjentów z zapisem historii chorób, a nawet dane z polis ubezpieczeniowych czy zapisy rozmów pacjentów z lekarzami. Przestępcy nie wybrzydzają, celują zarówno w małe rodzinne firmy, jak i w korporacje oraz agencje rządowe.

Największe szkody czynią automatyczne boty, które odpowiadają za prawie trzy czwarte incydentów. Coraz częściej tego typu złośliwe oprogramowanie jest wykorzystywane przez konkurencję do porównywania cen, śledzenia stanów magazynowych czy monitorowania działań firm z branży. [fot. adobestock]

Na cyfrowym widelcu

Nikt do końca nie wie, czy pandemia zmieni przyzwyczajenia konsumentów na długo. Niemniej jeśli boom na zakupy online trwa od kilku lat, to w ostatnich kwartałach trend ten znacznie przybrał na sile. Tylko w 2020 r. Polacy wydali w e-sklepach ponad 15,3 mld EUR, co oznacza wzrost o 31,4 proc. rok do roku. To najlepszy wynik w całej Europie — wynika z analiz organizacji eCommerce Europe. Według raportu Gemiusa w zeszłym roku aż 73 proc. internautów robiło zakupy w internecie.

Przedstawiciele branży e-commerce zacierają ręce, ale ich entuzjazm studzą statystyki dotyczące ataków cybernetycznych. Przykładem jest międzynarodowy raport „Stan bezpieczeństwa w handlu elektronicznym” opublikowany przez firmę Imperva. Badacze zidentyfikowali zagrożenia w co najmniej kilku obszarach. Największe szkody czynią automatyczne boty, które odpowiadają za prawie trzy czwarte incydentów. Coraz częściej tego typu złośliwe oprogramowanie jest wykorzystywane przez konkurencję do porównywania cen, śledzenia stanów magazynowych czy monitorowania działań firm z branży. Warto przy tym zaznaczyć, że koszt zorganizowania takich ataków systematycznie spada, przez co stają się możliwe do przeprowadzenia praktycznie przez każdego, kto nie szanuje zasad uczciwej konkurencji. Kolejną bolączką sprzedawców online są ataki cybernetyczne skierowane na strony internetowe. W 2020 r. osiągnęły one rekordowy poziom, narażając właścicieli aplikacji i stron WWW na niekontrolowany wyciek danych i możliwe związane z tym straty finansowe. Następny powód do narzekań stanowią ataki na interfejsy komunikacyjne samych aplikacji, które bardzo często pozostawione są bez żadnej ochrony czy monitorowania, a przecież przez te właśnie interfejsy aplikacje komunikują się między sobą i wymieniają ogromną ilość danych. Analityków firmy Imperva niepokoi także wzrost liczby i wielkości ataków DDoS, które polegają na „zalewaniu” łączy internetowych i serwerów aplikacyjnych ogromną ilością sztucznie generowanego ruchu, co ostatecznie prowadzi do niedostępności biznesu w internecie. Dla firm, które żyją ze sprzedaży online, utrata dostępności ich serwisów nawet przez kilka minut może skutkować wymiernymi stratami i utratą zaufania klientów. Ze statystyk wynika, że szczyt takich zdarzeń nastąpił w kwietniu 2020 r. w związku z wiosennym lockdownem, gdy konsumenci przerzucali się tłumnie na zdalne zakupy kosztem stacjonarnych.

Biznes odpowiedział na tę transformację dość szybko. Od wybuchu pandemii e-sklepy pojawiają się jak grzyby po deszczu. Zachętą do rozpoczynania przygody z e-commerce jest też coraz bardziej dostępna technologia. Outsourcing, chmura obliczeniowa czy SaaS (oprogramowanie jako usługa) znacząco obniżyły barierę wejścia w ten biznes. Jak podkreślają analitycy biznesowi, nawet kiedy znikną obostrzenia sanitarne, a COVID-19 stanie się odległym wspomnieniem, moda na zakupy online będzie trwała, bo tak jest łatwiej, szybciej i taniej. Ten piękny obraz szpeci tylko jeden szczegół: rentowny biznes przyciąga również czarne charaktery. Wykorzystanie prostych i gotowych narzędzi sprawia, że nieświadomie kupujemy je w pakiecie z niedoskonałościami, które skutecznie wynajdują i wykorzystują cyberprzestępcy.

Pandemia to test wiarygodności dla całego e-biznesu. Jeśli menedżerowie nie zainwestują w cyberbezpieczeństwo swoich firm, staną się ofiarami ataków, stracą zaufanie konsumentów i niewykluczone, że podzielą los serwisu Morele.net, płacąc wielomilionowe kary i odszkodowania.

Jak wygrać cyberbitwę?

Jak zauważa Karol Gruszczyński, IT security expert z firmy Trafford IT, zarządzanie każdym zagrożeniem z osobna często przerasta siły zespołów bezpieczeństwa.

— Digitalizacja naszego życia sprawia, że skala zagrożeń rośnie, a specjalistów z odpowiednimi kompetencjami brakuje. Analiza ostatnich ataków pokazuje, że jedną ze skuteczniejszych dróg zapewnienia ochrony e-biznesu jest zastosowanie narzędzi odpowiedzialnych za automatyzację kluczowych procesów bezpieczeństwa. Mówiąc wprost: przy doborze środków powinno się korzystać z rozwiązań dostarczanych przez liderów rynku w danym obszarze, opisywanych w wielu niezależnych raportach i analizach — tłumaczy Karol Gruszczyński.

Do ochrony e-biznesu przedstawiciel spółki Trafford IT rekomenduje zintegrowane narzędzia bezpieczeństwa obejmujące m.in.:

– web application firewall, który rozpoznaje i blokuje ataki na aplikacje biznesowe udostępnione w internecie,

– bot protection, który rozpoznaje i blokuje niepożądany ruch botów (automatów),

– anty-DDoS, który blokuje sztucznie generowany ruch powodujący niedostępność aplikacji, z gwarancją reakcji i zablokowania ataku w jak najkrótszym czasie, maksymalnie kilku sekund,

– account takeover protection, który zapobiega przejęciom przez hakerów kont użytkowników w aplikacjach internetowych.

— Proponuję wybrać zestaw narzędzi, które łączą wszystkie wyżej wymienione funkcjonalności i dodatkowo są zarządzane centralnie z jednej konsoli. Dzięki automatyzacji procesów e-biznes może minimalizować nakłady finansowe ponoszone na budowanie zespołów specjalistów utrzymujących systemy bezpieczeństwa IT — wskazuje Karol Gruszczyński.

Inną opcją jest powierzenie usług z zakresu cyberbezpieczeństwa e-biznesu firmom, które od lat się w tym specjalizują.

Partnerem publikacji jest Trafford IT

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane