Zadziwia mała troska o firmowe e-bezpieczeństwo
Jak wykazują badania, 90 procent firm e-biznesowych doświadczyło już awarii, wykluczających możliwość przeprowadzania transakcji lub naruszających i tak bardzo kruche zaufanie klientów. Firmy z e-rynku muszą budować i często odbudowywać własny wizerunek z dużo większym wysiłkiem niż firmy tradycyjne.
Jedno potknięcie elektronicznego banku może go kosztować od 2 do 60 milionów USD. Jeśli mamy do czynienia z wyprowadzeniem pieniędzy, to jest to najmniejsza część kosztów. Resztę stanowią naprawy, utrata klientów wycofujących pieniądze, itp. Głównym czynnikiem powstrzymywania się od transakcji w Internecie (w tym wypadku — podania numeru karty kredytowej) dla 85 proc. badanych jest bezpieczeństwo. Nic dziwnego, skoro szacuje się, że do 20 proc. wszystkich transakcji z użyciem kart płatniczych jest nieautoryzowanych, czyli przestępczych.
Mówiąc o bezpieczeństwie e-biznesu często zapominamy o tak trywialnym jego aspekcie, jak ochrona przed wirusami i końmi trojańskimi. Są to najstarsze i ciągle najbardziej niebezpieczne formy agresji w Internecie. Przekonał się o tym w październiku Microsoft, który doświadczył ataku konia trojańskiego oraz kompromitacji kodu źródłowego nowego systemu operacyjnego. Trudno w tej chwili nawet oszacować straty, gdyż śledztwo trwa. Jedno jest pewne — jeśli mogło się to zdarzyć Microsoftowi, to może się zdarzyć każdemu.
Innym e-biznesowym ryzykiem jest „umajenie” witryny webowej przez przeciwników politycznych czy ideologicznych. Wiele firm zapłaciło już frycowe za zignorowanie bezpieczeństwa, często nawet witryn statycznych. Kolejnym sposobem komunikacji swoich, najczęściej politycznych, przekonań są „porwania” witryn i domen. Na początku roku 2000 e-biznesowi potentaci stali się zaś ofiarami zmasowanego ataku uniemożliwienia dostępu (Denial of Service Attack). Przez trzy dni witryny były niedostępne, a rachunek za straty z tego powodu wyniósł 1,2 mld USD.
Czym wytłumaczyć, że dostawcy e-biznesu ciągle nie robią wystarczająco dużo, by zabezpieczyć dane i pieniądze klientów? Latem 2000 r. rozmawialiśmy z 415 czołowymi firmami europejskimi o jednym tylko z aspektów e-biznesu: e-procurement (zamówieniach firmowych poprzez Internet). Badania wykazały, iż tylko 27 proc. ankietowanych używa certyfikatów cyfrowych do uwierzytelnienia dostawców, jedynie 44 proc. potwierdziło szyfrowanie komunikacji, a niecałe 10 proc. dysponowało certyfikatem niezależnej organizacji, potwierdzającej rzetelność ich działalności.
Co można zrobić, by zredukować ryzyko większych i mniejszych wpadek, które mogą wręcz zdecydować o losie firmy:
- Przede wszystkim zabezpieczyć klientów i partnerów biznesowych, nie zapominając o zabezpieczeniu się przed zagrożeniem z ich strony.
- Przestudiować posiadane mechanizmy obronne przeciwko atakom zewnętrznym i wewnętrznym.
- Uważnie wybierać technologie zabezpieczające transakcje (B2B i B2C).
- Zapoznać się z procesami zapewniającymi dostępność systemów. Jeśli ich nie mamy lub ciągle odkładamy ich stworzenie — zróbmy to teraz.
- Stworzyć procedury i grupę szybkiego reagowania na wypadek incydentu internetowego. Czy włączyliśmy do tego PR? Może warto, wzorem Yahoo!, przekuć klęskę w propagandowy sukces?
- Stworzyć ramy zarządzania ryzykiem i oceny stanu kluczowych projektów.
Bezpieczeństwo w Internecie jest ciągle bardziej kategorią teoretyczną niż rzeczywistością. Warto o tym pamiętać i nie wstydzić się pytać klientów, partnerów i firm, w których robimy wirtualne zakupy — co robią, by zapewnić bezpieczeństwo nam i sobie. Nie pozwólmy im wykręcić się tajemnicą służbową, bo często oznacza to fasadę, za którą kryje się nagi król.