Онлайн-торговля в России продолжает уверенно развиваться. По данным inSales, в 2013 г. суммарный оборот интернет-магазинов составил i470 млрд, увеличившись на 34%. По мнению экспертов, этот сегмент продолжит уверенный рост при одновременном замедлении традиционного ритейла.
Любая добросовестная администрация интернет-магазина стремится организовать для своих клиентов максимально безопасную среду для совершения покупок. Предъявляются повышенные требования к защите личных и платежных данных, поэтому разработчики торговых онлайн-площадок стараются максимально обезопасить пользователей при проведении транзакций и исключить компрометацию персональных сведений.
При создании коммерческого сайта существует ряд технологий и подходов, применение которых позволяет снизить риск взлома ресурса, перехвата или раскрытия конфиденциальных данных. Во-первых, это использование надежной платформы для реализации интернет-магазина. Сайт может быть реализован как на базе безопасной и производительной системы управления сайтом (которая в свою очередь должна быть развернута на надежном хостинге с защищенной сетевой инфраструктурой), так и на базе готовых SaaS-решений.
Во-вторых, это использование внешнего процессинга платежей. «Делегирование процедуры оплаты внешнему сервису, удовлетворяющему стандарту безопасности PCI DSS, защищает данные пользователей, так как сервис становится защитной «прослойкой» между интернет-магазином и платежной системой, – объясняет Григорий Земсков, директор компании «Ревизиум». – В частности, использование технологии 3D-Secure защищает от мошенничества, исключает несанкционированные операции по карте и добавляет еще один шаг аутентификации пользователя».
В-третьих, можно выделить использование SSL-сертификатов как на сайте самого интернет-магазина, так и всех сайтах, которые участвуют в обмене данными с покупателем. В этом случае между браузером клиента и сайтом магазина или процессингового центра устанавливается защищенное HTTPS соединение и все данные передаются по безопасному каналу.
В-четвертых, важно следовать грамотной политике безопасности, которая должна определять процессы внутри компании, обслуживающей интернет-магазин, регламентировать работу персонала и определять процедуры, которые буду поддерживать на должном уровне безопасность, защищать данные сайта и пользователей.
Проблемы и противоборство
Год от года меняется как инструментарий, так цели злоумышленников. Но также постоянно эволюционируют и средства борьбы с ними. Изначально злоумышленники находятся в более выигрышном положении, поскольку у них больше свободы в выборе методов, средств для выполнения атак, времени на поиск уязвимостей, проработки векторов атак и механизмов внедрения в защищенную систему. «Среди современных средств защиты появляется все больше тех, которые стараются не просто выполнять мониторинг активности, но и предугадывать угрозы, а если это по какой-то причине невозможно, то постараться максимально сократить время их обнаружения. Это так называемые технологии превентивной защиты от киберугроз и антифрод системы, предотвращающие мошенничество», – рассказал Григорий Земсков.
Основные проблемы безопасности, с которыми сталкивается покупатель интернет-магазина, относятся к процессу оплаты покупки. На этом этапе может возникнуть компрометация платежных данных (например, раскрытие или воровство данных кредитной карты) в результате перехвата трафика злоумышленником, атак с использованием фишинговых страниц или уязвимостей и ошибок в программном обеспечении. Полученные платежные данные хакеры используют для кражи средств с банковских карт или продажи данных ворованных карт на «черном» рынке. Есть несколько простых рекомендаций пользователям, совершающим покупки через интернет, которые значительно снизят риск компрометации платежных данных.
Спектр систем
Круг используемых интернет-магазином решений по безопасности напрямую зависит от величины этого магазина, говорят специалисты. Как правило, мелкие и средние магазины не работают сами с платежами своих клиентов, а передают эту функцию на аутсорсинг. Зачастую они и вовсе отказываются от проведения интернет-платежей, используя схему «наличные курьеру». Соответственно, ответственность за сохранность данных клиентов такие магазины не несут.
Для крупных интернет-магазинов, в которых приняты безналичные платежи, безопасность клиентов является одной из насущных забот. «Базовые методы, которые используются для ее обеспечения, это прием данных от клиента по защищенному каналу (HTTPS), регулярное обновление «движка» для устранения найденных специалистами уязвимостей, хранение платежных данных в зашифрованном виде, – говорит Алексей Дрозд, директор учебного центра SearchInform, руководитель направления по работе с вузами. – Впрочем, о том, насколько массово используются данные методы, судить сложно, поскольку масштабных исследований по всей России никто не проводил, но все интернет-магазины, которые «на слуху», используют их».
Как делать покупки в интернете безопасно
Источник: Microsoft, 2014
Более продвинутые методы – например, контроль защищенности клиентских данных при помощи DLP-системы, онлайн-ритейлерам обычно недоступны из-за большого количество удаленно работающего персонала и достаточно высокой стоимости организации такой защиты. Кроме того, низкие штрафы за утечки персональных данных делают внедрение таких систем в онлайн-торговле невыгодным. Но поскольку DLP-системы позволяют не только защищаться от утечек, но и выявлять другой вред, наносимый сотрудниками, то крупные интернет-магазины внедряют их у себя, объясняет Алексей Дрозд. Пример из жизни клиента компании SearchInform: заместитель начальника отдела снабжения онлайн-ритейлера бытовой техники отказалась от получения скидки у поставщика, потому что у нее были романтические отношения с представителем этой компании, что было выявлено в процессе анализа личной переписки через Skype после внедрения DLP-системы «Контур информационной безопасности». Потеря этой скидки в месяц обходилась в $140–150 тыс.
Величина доверия и экономия
Средства защиты интернет-торговли сегодня в целом адекватны уровню угроз. Каждый владелец онлайн-магазина может обратиться к компании, которая обеспечит безопасность его сайта: начиная с полного ИБ-аудита и заканчивая построением полноценной системы безопасности. По словам Алексея Дрозда, к сожалению, небольшие интернет-магазины, зачастую стараются максимизировать прибыль путем отказа от многих «лишних» издержек, в том числе и от расходов на обеспечение ИБ.
Самой серьезной проблемой для больших магазинов остается фишинг – это маскирующиеся под них сайты мошенников, собирающие персональные данные доверчивых пользователей. Также распространены мошеннические рассылки от имени крупных и известных онлайн-ритейлеров. Лучшее оружие для продавца в таком случае – это частое предупреждение своих клиентов и просьбы быть максимально внимательными и осторожными.
На безопасность торговых площадок влияют и чисто технические моменты. Здесь самой массовой проблемой можно назвать использование старых версий CMS, в которых содержатся много уязвимостей. Следом по уровню угроз находится хранение платежных сведений в базе данных в незашифрованном виде – как следствие, любой несанкционированный доступ к базе оказывается катастрофой. Все это происходит по причине экономии онлайн-ритейлеров на технических специалистах.
Есть несколько простых рекомендаций пользователям, совершающим покупки через интернет: использовать при оплате временные (виртуальные) карты или электронные платежные системы вместо своих банковских карт; обращать внимание на адреса сайтов: страница с формой должна быть открыта по защищенному HTTPS-протоколу, тогда введенные в форму данные будут отправлены на сайт по защищенному каналу; не совершать покупки в интернет-магазинах, не вызывающих доверия; не использовать публичные WI-FI сети в кафе, метро, парках при совершении платежей, так как данные могут быть перехвачены даже в случае использования защищенного протокола HTTPS.
Поделиться
