Problem właściwych zabezpieczeń strony internetowej dotyczy branży e-commerce (z racji bezpieczeństwa transakcji) bardziej, niż innych sektorów działających online. Jedynie strony bankowości elektronicznej obwarowane są większymi zabezpieczeniami, które i tak czasem bywają zawodne. Jak zatem zabezpieczyć klientów przed stratami finansowymi i infekcją komputera, a nas przed problemami wizerunkowymi?
Zabezpieczenia połączenia i danych osobowych
Mimo, że certyfikaty SSL są obecnie niemalże standardem, zdarzają się sklepy, które ich nie stosują. To poważny błąd umożliwiający “podsłuchanie” danych wysyłanych przez użytkownika do sklepu (np. poprzez koszyk lub formularz kontaktowy). Szyfrowanie takiej transmisji za pomocą technologii SSL to w obecnych czasach właściwie obowiązek i pokusa oszczędności nie powinna być żadnym argumentem w dyskusji o korzystaniu z SSL. Musimy także pamiętać, że baza klientów sklepu stanowi zbiór danych osobowych, więc konieczne jest jego odpowiednie zabezpieczenie oraz przestrzeganie procedur zalecanych przez GIODO.
Zabezpieczenia serwera
Kwestia zabezpieczeń samej strony WWW, niezależnie od tego, czy jest to serwis informacyjny, czy sklep internetowy, wygląda podobnie. Korzystanie z rozwiązań open source bez ich regularnej aktualizacji czy dodawanie niesprawdzonych rozszerzeń to główne przyczyny udanych prób włamań, kończących się podmianą treści strony lub kradzieżą danych klientów.
Drugim ważnym ogniwem w łańcuchu bezpieczeństwa jest odpowiednie ustawienie uprawnień na poziomie serwera. Przy odpowiedniej konfiguracji uprawnień do zapisu i wykonywania plików na serwerze potrafi często zapobiec skutkom znalezienia przez włamywaczy dziurawej wtyczki. Jednak nadal najważniejszym czynnikiem zagrażającym bezpieczeństwu sklepu jest czynnik ludzki – to słabe hasła lub nadawanie uprawnień nieodpowiednim osobom stoi za kłopotami sieciowymi większości sklepów. Dobrym nawykiem jest także zmiana domyślnych nazw kont i plików w danych systemach obsługi strony. Boty dokonujące włamań w pierwszej kolejności szukają na serwerze folderów, skryptów i użytkowników o nazwie “admin”. W przypadku większości serwisów hostingowych można zabezpieczyć się dodatkowo zezwalając na połączenie z panelem administracyjnym tylko z określonych adresów IP. Ponieważ sposoby przełamywania zabezpieczeń ewoluują równie szybko, co same zabezpieczenia, niezmiernie ważne jest tworzenie automatycznych kopii zapasowych serwisu w co najmniej raz na dobę. Taka kopia, po diagnozie pod kątem istnienia śladów działalności włamywaczy, może posłużyć do szybkiego przywrócenia funkcjonalności sklepu.
CSIM
Wbrew pozorom, największym problemem e-commerce jest obecnie infekcja komputera po stronie klienta, a nie sklepu. I nie chodzi wcale o trojany podsłuchujące ruch internetowy (choć i one są poważnym problemem, zwłaszcza przy płatnościach online). Client Side Injected Malware (CSIM) o charakterze szkodliwych dodatków do przeglądarki to obecnie prawdziwa plaga. Oprogramowanie to nie zawsze jest prostym wirusem nasłuchującym ruch, oraz najczęściej instalowane jest niemalże świadomie przez użytkownika. Niemalże świadomie, ponieważ CSIM z reguły dodawane są do instalacji przydatnego oprogramowania, którego twórcy postanowili spieniężyć aplikację w moralnie wątpliwy sposób. Pliki instalacyjne zmodyfikowane w ten sposób to najczęściej kodeki wideo, programy do obsługi napisów do filmów czy, o zgrozo, darmowe oprogramowanie antywirusowe.
Dodatkowe, szkodliwe oprogramowanie funkcjonuje jako dodatek do przeglądarki monitorujący i modyfikujący informacje, jakie otrzymujemy. Model biznesowy twórców takich aplikacji opiera się na członkostwie w programach afiliacyjnych dużych marek. Dodatek, kiedy spostrzeże, że wchodzimy na stronę sklepu internetowego z podzespołami komputerowymi, emituje niejako “wewnątrz” strony reklamy sprzętu łudząco podobne do elementów strony, na której się uruchomił. Reklamy te, ponieważ pochodzą z “dobrowolnie” zainstalowanego dodatku do przeglądarki, nie są blokowane przez używane przez sporą część internautów programy blokujące. Po kliknięciu w reklamę trafiamy na stronę produktu u konkurencji danego sklepu. Drugą niepowetowaną stratą wynikającą z umieszczenia obcych bannerów na stronie sklepu jest potencjalna strata wizerunkowa (nie do każdego sklepu da się dopasować odpowiednie produkty z programów afiliacyjnych, a w takich przypadkach CSIM umieszcza na stronie losowe bannery reklamowe). Według raportów firm związanych z cyberbezpieczeństwem, ok. 15-30% internautów jest zainfekowanych CSIM. Niestety, jedyną pewną drogą do walki z CSIM jest edukowanie użytkowników sieci oraz właścicieli sklepów, którzy po nagłym spadku transakcji w stosunku do odwiedzin serwisu mogą podejrzewać “przejęcie” części ruchu przez szkodliwe dodatki u klientów.
Z powodu modyfikacji strony sklepu przez niechciane dodatki na komputerach klientów oraz niewłaściwych zabezpieczeń sklepów internetowych cierpi cała branża e-zakupowa. Tylko edukacja rynku i najwyższa staranność przy przygotowywaniu własnego sklepu mogą wyrównać szanse w walce w zadowolonego klienta.