כיצד לשמור על בטיחות באתרי מסחר אלקטרוני

ככל שיותר צרכנים עוברים באינטרנט כדי לבצע קניות, תעשיית המסחר האלקטרוני ממשיכה לפרוח. צרכנים אמריקאים מוציאים בסביבות 1,200 $ - 1,300 $ בשנה, ומספר זה צפויכמעט כפולעד 2016.

הגידול הזה מספק אפילו יותר הזדמנויות להאקרים. הדוח חקירות של פריצות מידעעל פי הערכות, 174 מיליון רשומות שנפגעו, 81% מהן השתמשו בסוג כלשהו של פריצה. זה 170 מיליון יותר מאשר בדוח של השנה שעברה.

אמצעי אבטחה צריכים להיות הגורם החשוב ביותר המודגש במסחר אלקטרוני. כדי שמותגים וצרכנים ימנעו התקפות, הם צריכים להבין מה עומד על כף המאזניים עבור המותג, הצרכן וההאקר.

מה עומד על כף המאזניים?

כאשר האקר גונב מידע של צרכן ממאגר מידע של החברה, מי משלם את המחיר הסופי: הצרכן או המותג?

המותג אחראי לאבטחת המידע של הלקוח. אם הפרטיות הזו נפגעת, הלקוח סובל מהשלכות כמו גניבת זהות, כרטיסי אשראי, חשבונות בנק ומידע אחר בעל ערך עבור ההאקר.

לאחר גניבת פרטי הלקוח, על הצרכן לדווח במהירות ולבטל את כל החשבונות. בדרך כלל, הבנק או החברה מחזירים כל פעילות שנפגעה - זה מציב את הצרכן באי נוחות גדולה, אבל מטיל אחריות כלכלית על המוכר.

סקוט טרבן הוא יועץ אבטחה (שנודע בעבר כ"האקר אתי") מאז 1996; הוא עבד עבור קבוצת שירותי האבטחה העולמית של IBM מאז שנת 2000.

לדברי טרבן, גם הצרכן וגם המותג נמצאים בסיכון, אם כי יש יותר חישובים לגבי זה האחרון.

"לצרכן יש סיכון להפסיד כסף על ידי גניבת שירות (שימוש בחשבונות שלו או בכרטיסי אשראי/חשבונות בנק וכו'), אך לעתים קרובות הוא מקבל החזר על ידי הבנק אם הכרטיס נפרץ בדרך כלשהי. כעת, אם אתר (חברה שמוכרת שירות) הוא מקור הפשרה -- וניתן להראות כעת שהם לא עשו את הצעדים הנכונים כדי להגן על נתוני הלקוחות שלהם -- אז הם עלולים בסופו של דבר לשלם את החשבון חלק מהמקרים, כמו גם צוברים עיתונות רעה על האירוע והשירותים שלהם", אומר טרבן.

ראה גם:

כאשר מותג נפרץ, לא רק נשאר לו נזק כספי לנקות, אלא גם המוניטין שלהם. לִיטוֹללינקדאין, למשל. החברה ספגה מכה קשה לאחר שיותר מ-6 מיליון מהסיסמאות של המשתמשים שלה היודלףבאינטרנט ביוני. לינקדאין במהירותאישר והתנצלבגין הפרת הסיסמה, אך נתבע על 5 מיליון דולר.

סטרטפורד, חברה מאוסטין שמתרכזת בנושאי אבטחה, נפרצה על ידיאֲנוֹנִימִיבשנת 2011, וכתוצאה מכך נגנבו מיילים ונתוני כרטיסי אשראי. חשבון הטוויטר לכאורה של הקבוצה @YourAnonNews,צייץ בטוויטרשהיא הצליחה לגנוב נתוני כרטיסי אשראי מכיוון שסטרטפור לא הצפנה את המידע - טעות מביכה עבור חברה המתמחה באבטחה.

גורם הסיכון בין החברה ללקוח תלוי גם במה שעומד על הפרק עבור ההאקרים עצמם. רובם מעדיפים את הסיכון הנמוך ביותר, אבל תמיד יש סיכוי להיתפס.

סטיב סנטורלי הוא בלש לשעבר בסקוטלנד יארד וחוקר במיקרוסופט. כיום הוא מנהל הסברה עולמית בחברת מחקר פשעי סייבר בשםצוות ויילס.

סנטורלי משווה את ההחלטה הראשונית של ההאקר לפרוץ למחשב או לרשת שלו להחזר ROI.

"כמה זמן ומאמץ צריך להשקיע השוטה כדי לקבל איזה גודל של פרס? מה הדרך הקלה יותר לערימה המקסימלית של מזומנים בסופו של דבר?" שואל סנטורלי.

"להשקיע חודשים בתכנון וביצוע של התקפה נועזת על מחלקת חובות חשבונות עשוי להיות הגיוני אם אתה יכול לחלץ שבע דמויות של תגמול", הוא אומר. "השווה את זה למתקפת הדיוג הממוצעת - שנמשכת כעת כמה שעות וגוררת פחות מקומץ קורבנות, ככל הנראה עם כספים מוגבלים אם הם בעלי חשבונות רגילים."

מה הצרכנים צריכים לעשות

הטעות הנפוצה ביותר של צרכנים היא להניח שמוצר שעליו לוגו "הוכחת האקרים" אכן ימנע מהאקר.

במקרה שהנתונים שלך נפרצו ממסד נתונים של מסחר אלקטרוני - תלוי באילו נתונים נמסרו לאתר - Terban מציע לצרכן לעשות את הפעולות הבאות:

1. אם יש לך מספר כרטיס אשראי שמור בפרופיל שלך, עליך להתריע בפני הבנק ושלח לך כרטיס אשראי חדש לאחר ביטול הנפרץ.

2. אם כתובת הדוא"ל שלך היא כתובת הדוא"ל העיקרית שבה אתה משתמש לכל דבר, שים לב שהיא עשויה כעת להיות מסד להתקפות "דיוג" עליך למידע נוסף. ודא שמסנני הספאם שלך פועלים ותמיד תחשוב לפני שאתה לוחץ על קישורים או פותחים קבצים שנשלחו אליך בחשבון זה.

3. אם האתר אוסף נתונים אישיים, כגון תאריך לידה או (וזה לא אמור לקרות) מספר תעודת זהות שלך, אז אתה צריך לקבל הגנה כלשהי על גניבת זהות שהחברה שאיבדה את הנתונים שלך צריכה לשלם עבורה. זה יתריע אם מישהו מנסה לפתוח חשבונות חדשים בזמן שאתה משיג את הנתונים שהוא גנב.

מה עסקים צריכים לעשות

עסקים בדרך כלל עושים את הטעות שהם מזניחים לנטר ולתחזק את האבטחה של האתר שלהם, ותוכנות וכלים אחרים מתפתחים כל הזמן. גם סנטורלי וגם טרבן מסכימים שאתרים מותקפים לעתים קרובות כשהם לא מצליחים לשמור על היגיינה טובה.

"מפתחי אפליקציות אינטרנט וסלולר לרוב אינם בקיאים בדרישות אבטחת תשלום ובשיטות תכנות מאובטחות, שיכולות ליצור חורי אבטחה שיכולים להיות מנוצלים על ידי האקרים שמחפשים יעדים בעלי ערך גבוה, כגון אתרי מסחר אלקטרוני", אומר גרג המרמאסטר, נשיאתשלומי מרווה.

ראה גם:

אבטחה צריכה להיות גם גורם חשוב בעת מיפוי מטרות העיצוב של אתר אינטרנט. רוב האתרים עושים זאת עם תעודת אבטחה SSL. אתה יכול לרכוש תעודה, או שיש כמה פלטפורמות מסחר אלקטרוני כמוShopifyיש ברירת מחדל SSL מובנה בעת התשלום.

אולי הדרך היעילה ביותר להגן על העסק שלך מפני האקרים היא לחשוב כמו האקר. Terban אומר שהדרך הטובה ביותר לעשות זאת היא לשכור אחד כדי להגן על הרשת והתשתית שלך.

"זה לא תמיד הדבר הכי קל לעשות כי אתה באמת צריך מישהו שאתה יכול לסמוך עליו ושיודע מה הוא עושה", אומר טרבן. "ההסמכה בעסקי אבטחת המידע משתפרת, אבל, באופן כללי, מצא מישהו שיכול להוכיח את ערכו הטכני, כמו גם בעל רקורד מוכח בהגנה על רשתות או בחדירה אליהן."

התמונה באדיבות iStockphoto,מקסקבקוב