W miarę jak rośnie popularność zakupów online, tak też wzrasta znaczenie bezpieczeństwa danych w e-commerce. Bezpieczeństwo danych stanowi kluczowy aspekt dla wszystkich firm działających w tym sektorze. W niniejszym artykule omówię, dlaczego ochrona danych jest tak ważna w e-commerce oraz na co zwracać uwagę, aby chronić cenne dane. Zależy mi, aby zapaliło to w Twojej głowie czerwoną lampkę, która sprawi, że poważnie przeanalizujesz potencjalne luki w zabezpieczeniach.
Gdzie kryją się potencjalne niebezpieczeństwa?
Wszyscy prowadzący biznes online powinni doskonale zdawać sobie sprawę, że każdy system gromadzący istotne dane może potencjalnie stać się obiektem ataku, włamania lub innej formy kradzieży informacji. Twoje bazy danych są źródłem niezwykle cennych informacji dla konkurencji a zaniedbanie kluczowych aspektów bezpieczeństwa to ryzyko katastrofy wizerunkowej, ogromnych strat finansowych i konsekwencji prawnych.
‼️
Zastanów się, ile dla Ciebie byłyby warte dane konkurencji. Jak cenne są listy klientów, stany magazynowe czy ceny zakupu nie muszę z pewnością przekonywać.
Ze względu na specyfikę potencjalnych zagrożeń, podzielę ten artykuł na cztery części i wskażę, na co należy zwrócić szczególną uwagę, robiąc samodzielny audyt bezpieczeństwa.
Zagrożenie 1: Oprogramowanie online
Ten aspekt bezpieczeństwa w e-commerce jest oczywisty — każdy program może zawierać błędy i powinien być systematycznie aktualizowany. Chodzi tu zarówno o system online, który odpowiada za interakcję z klientami (np. sklep internetowy czy strona firmowa), jak i oprogramowanie zainstalowane na komputerach wykorzystywanych do prowadzenia biznesu.
Jeśli korzystasz z popularnych i sprawdzonych rozwiązań abonamentowych zainstalowanych na serwerach renomowanego dostawcy usługi, z reguły obowiązek dbania o zabezpieczenia spoczywa na producencie platformy. W takim przypadku można założyć, że system jest na bieżąco testowany i aktualizowany zupełnie bez Twojego udziału.
😊
Aplikacje e-commerce w modelu SaaS zdejmują z Ciebie obowiązek dbania o aktualizacje systemu pod warunkiem, że dostawca usługi poważnie traktuje swoich klientów i na bieżąco dba o swój produkt.
Jeżeli jednak używasz oprogramowania instalowanego na wykupionym przez Ciebie hostingu, odpowiedzialność za uaktualnienia i zabezpieczenia spoczywa na Twoich barkach. Większość systemów ma funkcję samodzielnej aktualizacji, która działa lepiej lub gorzej i jest mniej lub bardziej ryzykowna do wykonania przez użytkownika.
Zintegrowane, gotowe i niezmodyfikowane oprogramowanie pochodzące od jednego profesjonalnego producenta najczęściej może być uaktualniane bez większego ryzyka uszkodzenia. Niestety bardzo popularne darmowe platformy typu WordPress/WooCommerce lub PrestaShop obudowane indywidualnymi szablonami graficznymi i niezliczonymi wtyczkami rozbudowującymi ich funkcjonalność, potrafią sprawić niemiłą niespodziankę i zakończyć aktualizację poważną awarią. Te problemy zwykle wynikają z niekompatybilności wtyczek albo szablonu co przy dużej ich ilości dodatkowo zwiększa ryzyko.
Właśnie te potencjalne komplikacje powodują często, że raz wdrożone sklepy internetowe oparte o darmowe oprogramowanie pozostają praktycznie bez opieki przez długie lata. Właściciele szybko rezygnują ze współpracy z deweloperami ze względu na pozorne oszczędności, a sami boją się jakichkolwiek zmian. Skutkuje to niezliczonymi przestarzałymi witrynami, które są pełne znanych luk w zabezpieczeniach.
‼️
Jeśli korzystasz z oprogramowania e-commerce zainstalowanego na własnym hostingu, musisz dbać o bieżące kopie zapasowe i aktualizacje. Gdy nie czujesz się na siłach samodzielnie je monitorować i wykonywać, musisz mieć od tego specjalistę.
Na koniec tego rozdziału, przypomnę jeszcze o kopiach zapasowych całego systemu, które są absolutnym obowiązkiem dla każdego odpowiedzialnego przedsiębiorcy. W przypadku biznesu e-commerce, w którym dane ulegają bardzo częstym zmianom, kopie muszą być wykonywane również często — jako minimum można przyjąć 24 godziny. Proponuję, aby były to kopie łatwe i szybkie do przywrócenia, z zachowaniem spójności danych, oczywiście wykonywane automatycznie. Zachęcam też do wykonania pełnej kopii przed każdą aktualizacją.
Zagrożenie 2: Twój komputer i ostrożność
Kolejnym aspektem bezpieczeństwa, na który musisz zwracać uwagę, jest system, na którym pracujesz oraz czujność i ostrożność. Twój komputer musi mieć legalne i aktualne oprogramowanie, pochodzące ze zweryfikowanych źródeł oraz nie powinien to być sprzęt dostępny dla całej rodziny czy współpracowników. Idealnie, gdyby był to komputer przeznaczony tylko do pracy, z bieżącym systemem operacyjnym i tylko niezbędnymi aplikacjami.
Musisz też z dużą ostrożnością podchodzić do instalowanych programów, odwiedzanych stron i klikanych linków, które potencjalnie mogą być oszustwem albo spowodować zainstalowanie tak zwanego złośliwego oprogramowania. Jeśli dojdzie do zainfekowania Twojego komputera, możesz nieświadomie dać dostęp do swoich kont internetowych, sklepu czy strony a tym samym stać się właśnie luką w bezpieczeństwie.
Zwracaj też baczną uwagę, co dzieje się z Twoim komputerem — nie jest niczym nadzwyczajnym oddawanie do serwisu laptopa i podawanie hasła pracownikowi. Teoretycznie powinna to być osoba, której możesz zaufać, ale...
💡
Jeśli nie czujesz się na siłach na bieżąco dbać o bezpieczeństwo swojego komputera, znajdź osobę, która cyklicznie się tym zajmie lub skorzystaj z usług zaufanego serwisu.
Pamiętaj też, że powyższe zasady nie dotyczą tylko Twojego komputera, ale też urządzeń używanych przez wszystkich współpracowników mających dostęp do ważnych danych.
Na koniec tego rozdziału przypominam też o hasłach — powinny być one trudne i systematycznie zmieniane, a jeśli to możliwe, warto korzystać z uwierzytelniania dwuetapowego (2FA). Nie muszę chyba mówić, że nie należy zapisywać haseł na karteczce i przypinać do monitora 🙈.
Zagrożenie 3: Inne osoby
Ten obszar luk w bezpieczeństwie jest najczęściej świadomie bagatelizowany lub właściciele biznesów e-commerce zupełnie nie zdają sobie z niego sprawy. Mimo że wymieniam go na trzecim miejscu, jest to bardzo poważne zagrożenie, którego nie wolno ignorować.
Chodzi o przydzielanie dostępów różnym mniej lub bardziej przypadkowym osobom i brak kontroli nad tymi dostępami. U moich klientów systematycznie spotykam się z wieloma kontami o uprawnieniach nawet administratora, które były założone przy rozmaitych okazjach i ciągle są aktywne, mimo że nie są od dawna używane i potrzebne. Mogłyby być wyłączone zaraz po wykonaniu usługi czy udzieleniu pomocy, ale nikt o tym nie pamiętał.
