Statistika nelinksma. Kasmet tūkstančiai mažų ir vidutinių e-parduotuvių tampa kibernetinių atakų aukomis. Dauguma jų net nesužino, kad buvo pažeistos – kol nepradeda skambinti pasipiktinę klientai arba bankas nepraneša apie įtartinas operacijas.
Kodėl taip nutinka? Nes dauguma verslininkų galvoja, kad jie per maži, kad kas nors jais domėtųsi. Kad programišiai taikosi tik į bankas ir korporacijas. Kad „mums tai nenutiks”.
Nutinka. Ir dažniau nei norėtume pripažinti.
Ką jie nori iš jūsų
Pirmiausia – klientų duomenis. Vardai, pavardės, adresai, el. paštai, telefonų numeriai. Jei saugote mokėjimo informaciją (ko, beje, neturėtumėte daryti be rimtos priežasties ir sertifikavimo) – kortelių duomenis.
Ši informacija turi vertę juodojoje rinkoje. Ji parduodama paketais, naudojama tapatybės vagystėms, sukčiavimo kampanijoms, tikslinėms atakoms. Vienas el. pašto adresas su slaptažodžiu gali kainuoti centus – bet jų turimi tūkstančiai.
Antra – prieiga prie jūsų serverio. Užgrobta svetainė tampa įrankiu: per ją platinamos kenkėjiškos programos, siunčiamas šlamštas, vykdomos atakos prieš kitas sistemas. Jūsų domenas patenka į juoduosius sąrašus, reputacija sugriaunama per valandas.
Trečia – tiesioginė finansinė nauda. Išpirkos reikalaujantys virusai užšifruoja duomenis, reikalauja mokėjimo. Arba tiesiog perimami mokėjimo srautai – pinigai pradeda tekėti ne į jūsų, o į nusikaltėlių sąskaitas.
Spragos, pro kurias jie ateina
Pasenę įskiepiai ir platformos. Tai numeris vienas. Kiekvienas WordPress ar WooCommerce įskiepis – potencialus įėjimo taškas. Kai saugumo tyrėjai aptinka spragą, ji paskelbiama viešai. Programišiai apie tai sužino tą pačią dieną ir pradeda masinį nuskaitymą – kurios svetainės dar neatsinaujino.
Jei neatnaujinate įskiepių reguliariai – esate taikinyje. Jei naudojate įskiepius, kurie nebeatnaujinami – dar didesniame.
Silpni prisijungimo duomenys. „Admin123″, „parduotuve2024″, įmonės pavadinimas – visa tai atspėjama per sekundes. Automatinės atakos bando tūkstančius populiariausių kombinacijų. Jei jūsų slaptažodis – vienas iš jų, klausimas ne ar įsilaužs, o kada.
Nesaugūs ryšiai. Administracinė panelė be SSL sertifikato, duomenys keliaujantys nešifruotu kanalu – tai kvietimas perimti jūsų prisijungimo informaciją.
Netvarkomi prieigas. Buvęs darbuotojas vis dar turi administratoriaus slaptažodį. Praktikantas, dirbęs prieš metus, gali prisijungti. Laisvas kūrėjas, padaręs vieną projektą, turi pilną prieigą. Niekas neseka, kas ką gali pasiekti.
Ką galite padaryti šiandien
Pirmas žingsnis nereikalauja jokių investicijų – tik laiko. Prisijunkite prie savo svetainės administravimo, patikrinkite visų įskiepių versijas. Ar visi atnaujinti? Ar nėra tokių, kurie rodo „neatnaujinta daugiau nei metus”? Atnaujinkite arba pašalinkite.
Antras žingsnis – slaptažodžiai. Visi, turintys administratoriaus prieigą, turi naudoti unikalius, sudėtingus slaptažodžius. Ne trumpesnius nei 16 simbolių, su raidėmis, skaičiais, specialiais ženklais. Ir būtinai įjunkite dviejų faktorių autentifikaciją – tai vienas efektyviausių apsaugos būdų.
Trečias žingsnis – atsarginės kopijos. Automatinės, kasdienės, saugomos atskirai nuo pagrindinės sistemos. Jei kas nutiks – turėsite iš ko atkurti. Be kopijų – pradėsite nuo nulio.
Ketvirtas žingsnis – stebėsena. Ar žinote, kas ir kada prisijungia prie jūsų svetainės? Ar gausite perspėjimą, jei kas nors bandys įsilaužti? Paprasčiausi stebėsenos įrankiai yra nemokami – tereikia juos įdiegti ir sukonfigūruoti.
Kai reikia profesionalios pagalbos
Bazines priemones galite įgyvendinti patys. Tačiau rimtas saugumo auditas – tai jau specialisto darbas. Jis patikrins ne tik akivaizdžius dalykus, bet ir tai, ko nematote: serverio konfigūraciją, kodo spragas, duomenų bazės apsaugą.
Normalus internetinės parduotuvės kūrimas apima saugumo architektūrą nuo pat pradžių. Tai ne papildomas sluoksnis, užklijuotas ant gatavo produkto, o sistemos pagrindas – nuo serverio lygio iki priekinės sąsajos.
Jei jūsų parduotuvė jau veikia ir nežinote, kokia jos saugumo būklė – auditas gali atskleisti spragas, apie kurias net neįtarėte. Geriau sužinoti iš specialisto už keliasdešimt eurų nei iš programišiaus, kuris jau peržvelgia jūsų duomenų bazę.
Teisinė atsakomybė: BDAR nėra tik popierius
Bendrasis duomenų apsaugos reglamentas nustato konkrečius įsipareigojimus. Jei nutekina klientų duomenys – privalote pranešti priežiūros institucijai per 72 valandas. Jei pažeidimas rimtas – ir patiems klientams.
Baudos teoriškai gali siekti iki 20 milijonų eurų arba 4 procentų metinės apyvartos. Praktikoje mažoms įmonėms jos mažesnės – bet ir kelių tūkstančių eurų bauda smulkiam verslui gali būti skausminga.
Tai ne teorinė grėsmė. Lietuvoje jau skirtos baudos už duomenų apsaugos pažeidimus, įskaitant atvejus, kai įmonės tiesiog neturėjo tinkamų saugumo priemonių.
Incidento kaina: daugiau nei pinigai
Tiesioginiai nuostoliai – svetainės prastova, prarasti pardavimai, sistemos atkūrimo kaštai. Juos galima suskaičiuoti.
Netiesioginiai – sunkiau. Sugadinta reputacija atkuriama ilgai, jei apskritai atkuriama. Klientų pasitikėjimas, prarastas per vieną dieną, atgaunamas metais. Dalis klientų tiesiog niekada negrįžta – jie jau perėjo pas konkurentą.
Pridėkite teisines konsultacijas, galimas bylas su nukentėjusiais klientais, audito kaštus, naujų sistemų diegimą – ir pamatysite, kad prevencija visada, visada pigesnė nei gydymas.
Nepaliekite rytdienai
Saugumas nėra projektas su pabaiga. Tai nuolatinis procesas – atnaujinimai, stebėsena, periodiniai patikrinimai. Grėsmės evoliucionuoja, ir apsauga turi evoliucionuoti kartu.
Blogiausia, ką galite padaryti – nuspręsti, kad „vėliau pasirūpinsiu”. Programišiai neskaičiuoja, ar jūs jau pasiruošęs. Jie tiesiog bando – ir kai suranda spragą, išnaudoja.
Pasiruoškite prieš tai nutinkant. Tai viena geriausių investicijų, kurią galite padaryti savo verslui.