Kibernetinis saugumas el. komercijoje: didžiausios grėsmės ir kaip nuo jų apsisaugoti

2021 m. pradžia Lietuvoje buvo pažymėta įvairiais asmens duomenų nutekinimo skandalais – viena po kitos įmonės privalėjo skelbti apie prarastus klientų duomenis. Pirmiausia nukentėjo City Bee, vėliau – Orakulas, domenai.lt ir kt. Nors po šių įvykių pradėta kaltinti lengvai apeinamas duomenų bazių ugniasienes ir sudėtingų apsaugos sistemų stygių, nūdienos naujienos rodo, jog nuo panašių problemų kenčia net didžiausios pasaulio įmonės, o ir įsilaužimų būna įvairių.

Vasario 17 d. Cybernews paskelbė, jog populiariame programišių forume pasirodė siūlymas įsigyti daugiau nei 14 mln. Amazon ir eBay klientų duomenų paketų. Duomenų bazėje informacija buvo suskirstyta pagal platformų vartotojų gyvenamąją šalį ir tekainavo 800 JAV dolerių. Tiesa, abiejų įmonių atstovai teigė, jog sistemose įsilaužimų nepastebėta, tad manoma, jog nežinomas vartotojas asmens duomenis galėjo surinkti pasitelkdamas slaptažodžių „purškimo“ (ang. password spraying) metodą, kai keliais dažniausiai vartojamais slaptažodžiais bandoma pasiekti didelius kiekius paskyrų.

Daug daugiau nerimo sukėlė kovo pradžioje pasaulį supurčiusi kibernetinė ataka prieš JAV programinės įrangos gigantę Microsoft. Įmonės žiniomis, už atakas prieš verslo el. pašto programinę įrangą atsakinga Kinijos valstybės remiama programišių grupuotė Hafnium. Bloomberg skelbia, jog šios atakos metu galėjo nukentėti daugiau nei 60 tūkst. programine įranga besinaudojančių įvairių verslo subjektų.

Visi šie pavyzdžiai rodo, jog kibernetinio saugumo grėsmių internete tikrai gausu ir nuo jų kenčia ne tik smulkios įmonės, tačiau ir itin didelius duomenų masyvus valdančios kompanijos. VMWare Carbon Black duomenimis,  77 % apklaustųjų verslų pasaulyje 2020-aisiais investavo į naujas apsaugos technologijas. Tačiau tobulinant sistemas, savo įgūdžius kasdien gerina ir programišiai, bandantys apeiti kiekvieną įdiegtą atnaujinimą, tad vienintelis būdas jaustis ramiau – išmanyti, kokios grėsmės kyla jūsų el. sistemai ir ieškoti gerųjų pavyzdžių, kaip stiprinti saugumą
 

Didžiausi pavojai

• Finansinis sukčiavimas (ang. financial fraud). Teigiama, jog tai viena seniausių el. komercijoje kylančių problemų, kai bandoma pasinaudoti pavogtais pinigais arba kreditinių kortelių duomenimis. Pavykus padaryti pastarąjį veiksmą, pinigai dažnai iššvaistomi įvairiose parduotuvėse arba kortelės duomenys parduodami kitiems suinteresuotiems asmenims. Tiesa, finansinių sukčiavimų kategorijai priskiriamos ir su prekių grąžinimu susijusios apgavystės (ang. return fraud) – situacijos, kuomet pavogtos arba sugadintos prekės grąžinamos pardavėjui, siekiant atgauti visus pinigus.

• DoS ir DDoS atvejai. Paslaugos trikdymo ataka (ang. Denial of Service) arba paskirstyta paslaugos trikdymo ataka (ang. Distributed Denial of Service) –  tai vienos pigiausių atakų prieš kompiuterines sistemas. Tokių išpuolių tikslas – sukelti sunkumus svetainėje apsilankantiems klientams (lėtas tinklalapio užkrovimas arba panaikinta galimybė jį pasiekti). Įsilaužėliams tai padaryti nėra sudėtinga – iš šimtų serverių išsiunčiamas didelis kiekis užklausų, kurių svetainė nespėja apdoroti ir užstringa.

• Duomenų vagystė (ang. phising nuo žodžių password fishing). Tai toks sukčiavimo būdas, kai programišiai apsimeta įmonės atstovais (arba įmonėmis padirbdami el. laiškus ar SMS pranešimus), siekdami išvilioti iš vartotojų jų asmens duomenis – prisijungimo vardus, slaptažodžius. Lietuvoje toks sukčiavimo būdas gana dažnas – 2020 m. apie galimus phising atvejus pranešė Swedbank, VMI.

• Brukalai (ang. spam). Šiuo terminu apibūdinamos nepageidaujamos žinutės, kuriose būna patalpintos virusais užkrėstos nuorodos. Dažniausiai brukalai sutinkami el. laiškuose, taip pat įvairių socialinių tinklų asmeninėse žinutėse, įrašų komentaruose. Specialistai pažymi, jog tokių atakų tikslas – pažeisti kompiuterio (arba paskyros) apsaugą bei sulėtinti įrenginio darbą.

• Žinomų pažeidžiamumų išnaudojimas (ang. exploitation of known vulnerabilities). Užpuolikai kasdien ieško pažeidžiamų svetainių vietų, kurias galėtų išnaudoti. Dažniausiai šiai atakų rūšiai priskiriamos dvi – SQL bei XSS atakos. Pastarasis būdas leidžia įsilaužėliams į svetainę įterpti turinius iš kitų svetainių. Taip vartotojams parodomos reklamos, skelbimai, nuorodos į kenksmingus tinklapius. SQL atakos vartotojų tiesiogiai neliečia – jų tikslas yra kompromituoti duomenų bazes specialiais įvesties kodais ir taip pasiekti norimą informaciją.
 

El. komercijos sprendimai saugesnėms vartotojų patirtims

• Stiprūs slaptažodžiai. Pirmasis patarimas svarbus tiek svetainių kūrėjams, tiek klientams. Verizon 2020 m. atliktas tyrimas apie kibernetinius įsilaužimus atskleidė, jog 37 % įsilaužimų priežastimi tapo silpni, pasikartojantys arba pavogti slaptažodžiai. Specialistai pažymi, jog saugų slaptažodį turėtų sudaryti bet 8 simboliai, tarp kurių – didžiosios raidės, skaičiai, skyrybos ženklai bei kiti galimi simboliai. Taip pat rekomenduojama nenaudoti savo vardo, pavardės, gimimo datos, nereikėtų naudoti to paties slaptažodžio skirtingose svetainėse.

• HTTPS protokolas bei SSL sertifikatas. Vienas iš būdų, kaip atpažinti nepatikimą svetainę – pažiūrėti į jos internetinį adresą. Jeigu šio pradžia HTTP, reikėtų atidžiai įvertinti, ar tikrai norite naudotis paslaugomis bei pateikti savo asmens duomenis. Tiesa, svetaines, kurios parašytos naudojant HTTPS protokolą, palankiau vertina ir paieškos sistemos. Šis protokolas užtikrina, jog visa perduodama informacija tarp lankytojo ir serverio yra šifruojama. Svarbu pažymėti, jog SSL (Secure sockets layer) taip pat šifruoja informaciją  ir patvirtina svetainės tapatybę (norėdami gauti sertifikatą, svetainės kūrėjai privalo įrodyti teisę naudotis konkrečiu domenu). Šį sertifikatą turinčios svetainės internetinėse naršyklėse dažniausiai žymimos spynos simboliu adreso juostoje.

• Apmokėjimo apsaugojimas. Specialistai rekomenduoja vengti klientų kreditinių kortelių duomenų saugojimo įmonės duomenų bazėje. Patariama šią svarbią sandorio dalį perduoti trečiosioms šalims – įmonėms, dirbančioms tiesiogiai su pavedimais ir jų valdymu (pvz. Paysera, Paypal). Taip geriau apsaugosite klientų asmeninius bei finansinius duomenis – net ir įsilaužę į jūsų sistemą, programišiai negalės jų pasiekti.

• Antivirusinės programos, ugniasienės. Įsilaužėliai gali naudoti pavogtų kreditinių kortelių informaciją pateikdami užsakymus iš bet kurios pasaulio vietos. Antivirusinė arba kovos su sukčiavimu programinė įranga gali padėti jums išspręsti šią rimtą el. prekybos problemą – naudodama pažangius algoritmus bei pažymėdama bet kokias kenkėjiškas operacijas, tokia įranga jus informuoja apie būtinybę atidžiai peržiūrėti užsakymą. Taip pat naudingas programų dažnai pateikiamas sukčiavimo rizikos balas, galintis padėti nustatyti, ar tam tikras sandoris yra teisėtas. Žinoma, tokios sistemos gali net neprireikti deramai suveikus svetainės ugniasienei, blokuojančiai bet kokias kenkėjiškas programas (itin efektyvu prieš SQL bei XXS atakas) ir įtartinus prisijungimus.

• Papildomos apsaugos bei atnaujinimų svarba. Rekomenduojama nepamiršti ir ganėtinai elementarių apsaugos būdų – pastovaus tikrinimo, siekiant įsitikinti, ar į sistemas nebuvo įsilaužta, svetainės atsarginių kopijų (ang. back up) kūrimo (taip išvengiama duomenų sugadinimo), investavimo į kibernetinio saugumo specialistus. Šie turėtų įsijausti į programišių vaidmenį ir ieškoti net ir menkiausių apsaugos spragų jūsų svetainėje. Potencialūs įsilaužėliai būdų, kaip patekti į jūsų sistemą, ieško kiekvieną dieną, tad svarbu reguliariai atnaujinti svetainės apsaugos priemones.