Tehno
StoryEditor

Sigurnost kupnje: Neoprezni klik-dva i evo hakera

14. Srpanj 2024.
Uvođenje složenih sigurnosnih mjera kao što su enkripcija podataka, dvofaktorska autentifikacija, sigurnosne revizije i kontinuirano praćenje mrežnih aktivnosti danas su standardna praksa u e-trgovini. Iako takva ulaganja znatno povećavaju sigurnost i povjerenje kupaca, također su velik trošak za kompanije

Kako li je lijepo kupovati iz sigurnosti svoga doma pomičući miš po ekranu i birajući bilo koji proizvod koji vam padne na pamet! Potrošači diljem svijeta sve češće, a posebno nakon pandemijskih godina, biraju taj način kupnje jer im olakšava pregled, usporedbe i nudi veće mogućnosti od staromodnog vrludanja po trgovinama. Stopa rasta vglobalnog tržišta e-trgovine dosegnula je vrhunac 2021. i predviđa se da će zadržati stopu rasta od najmanje osam posto u sljedećih nekoliko godina.

Da je tako, pokazuju i statistički podaci. U 2023. e-trgovina ostaje dominantna sila s 47 posto rasta maloprodaje do 2027., prema Euromonitor Internationalu. U EU-u ju je potaknula lanjska potražnja dviju dobnih skupina: od 25 do 34 godine i od 35 do 44 godine. Čak 87 posto pojedinaca iz tih skupina prošle je godine kupilo ili naručilo robu ili usluge internetom.

Vrlo ozbiljna prijetnja

Toliko novčanih transakcija internetskih trgovina i korisnika koji na njih klikaju otvara vrata i prijetnjama u obliku kibernetičkih napada koji ciljaju takve e-platforme i njihove kupce. Takvi napadi ozbiljna su prijetnja ne samo za financijske podatke kupaca već i za ugled kompanija koje posluju u digitalnom okružju. Zbog toga je zaštita podataka kupaca postala prioritet za svaku ozbiljnu e-trgovinu. Kompanije sad ulažu velik novac u napredne sigurnosne tehnologije i protokole kako bi se zaštitile od sve sofisticiranijih prijetnji. Uvođenje složenih sigurnosnih mjera kao što su enkripcija podataka, dvofaktorska autentifikacija, sigurnosne revizije i kontinuirano praćenje mrežnih aktivnosti danas su standardna praksa u industriji. Iako ta ulaganja znatno povećavaju sigurnost i povjerenje kupaca, velik su trošak za kompanije, posebno one koje su tek u fazi pokretanja poslovanja.

Balansiranje između pružanja vrhunskoga korisničkog iskustva i održavanja visokih sigurnosnih standarda može biti izazovno, ali nužno je za dugoročan uspjeh i održivost e-trgovinskih platformi. Kakva je situacija na domaćem terenu kad se govori o sigurnosti, provjerili smo s predsjednikom udruge eCommerce Hrvatska Marcelom Majsanom, koji kaže da je jedan od ključnih ciljeva te udruge povećati povjerenje u online kupnju, zbog čega se velika pozornost posvećuje izobrazbi tržišta, pravnim analizama i certifikaciji webshopova. Kako kaže Majsan, udruga je predstavila i servis koji služi za provjeru lažnih web-stranica koji je razvijen isključivo za kupce.

Pomoć e-trgovcima

– Aktivno radimo na edukaciji tržišta o kibernetičkoj sigurnosti jer je u veljači stupio na snagu novi Zakon o kibernetičkoj sigurnosti, koji je dio direktive NIS2. Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti ključan je pravni okvir EU-a usmjeren na poboljšanje kibernetičke sigurnosti u državama članicama. Zbog brzoga tehnološkog razvoja i sve veće digitalizacije NIS2 donosi strože zahtjeve i širi opseg primjene, zato smo ove godine već održali nekoliko predavanja na tu temu za svoje članove. Uskoro pokrećemo i suradnju s vodećim sigurnosnim tvrtkama kako bismo članovima omogućili pristup vrhunskim alatima i tehnologijama te unutar svoje udruge planiramo ponuditi i smjernice i preporuke za uvođenje sigurnosnih mjera – kaže Majsan.

Što se ulaganja u sigurnost tiče, Majsan kaže kako procjene ulaganja u sigurnosne mjere i tehnologije variraju ovisno o veličini i specifičnostima pojedine e-trgovine. Međutim, globalni trendovi pokazuju da tvrtke u ulažu između 10 i 15 posto svog IT proračuna u kibernetičku sigurnost.

– U Hrvatskoj konkretni podaci nisu uvijek javno dostupni, ali procjenjujemo da veće e-trgovine ulažu velike iznose u sigurnosne mjere kako bi zaštitile svoje korisnike i podatke – dodaje.

Najveći su izazovi nedostatak svijesti o važnosti kibernetičke sigurnosti, manjak specijaliziranih stručnjaka te financijska ograničenja za provedbu naprednih sigurnosnih mjera. Osim toga, brzo mijenjanje tehnologije i taktika kibernetičkih napada zahtijeva stalno ažuriranje i prilagodbu sigurnosnih strategija, što može biti izazovno za manje tvrtke. Ipak, edukacija zaposlenika prvi je i najvažniji korak koji svi moraju napraviti, što nije toliko skupo, a ni vremenski zahtjevno, jer problem sigurnosti najčešće kreće od pojedinca.

Najčešći phishing

Potvrda je toga i podatak da je jedna od najčešćih prijetnji phishing, koji se upotrebljava za krađu podataka kupaca. Napadači se pretvaraju da su legitimne organizacije kako bi prevarili korisnike i dobili njihove osobne podatke. Rješenje tog problema uključuje izobrazbu korisnika o prepoznavanju pokušaja phishinga i korištenje alata protiv njega. Druga je velika prijetnja malware, koji može zaraziti korisničke uređaje ili poslužitelje e-trgovine. Može ukrasti podatke, oštetiti sustav ili prouzročiti druge oblike štete. Sprkečavanje malwarea uključuje korištenje antivirusnog softvera, redovito ažuriranje sustava i primjenu mjera za sprječavanje ulaska malicioznog softvera. Tu su i distribuirani napadi uskraćivanja usluge (DDoS), koji su također ozbiljna prijetnja. Cilj je​ DDoS napada preopteretiti poslužitelje e-trgovine tako da budu nedostupni korisnicima. Rješenje za tu vrstu napada uključuje uvođenje DDoS zaštite i korištenje usluga distribuirane mreže za isporuku sadržaja (CDN) kako bi se smanjio utjecaj napada. Ni to nije sve. Napadi SQL injection ​također su česta prijetnja e-trgovinama. U njima se zlonamjernim SQL upitima ciljaju baze podataka, koje se tako mogu oštetiti ili se ukradu podaci. Rješenje za tu vrstu napada uključuje korištenje pripremljenih upita i redovito testiranje ranjivosti kako bi se otkrile i otklonile sigurnosne rupe.

– Uz te softverske prijetnje e-trgovine suočavaju se i s fizičkima. Na primjer, nedavno smo imali ispad u električnoj mreži koji je, da je bio dulji, mogao znatno ograničiti poslovanje. Osim kibernetičkim prijetnjama, e-trgovine mogu biti pogođene vremenskim nepogodama, kvarovima na električnoj mreži, požarima u serverskim sobama ili čak prijetnjama nezadovoljnih bivših ili sadašnjih zaposlenika. Rješenja za te prijetnje uključuju planove za neprekidno poslovanje, sigurnosne kopije podataka i fizičku sigurnost objekata – kaže nam kibernetički stručnjak Matko Antun Bekavac iz tvrtke CyberArrange Security Solutions.

Međutim, nisu samo trgovine mete napada. Kupci su također izloženi raznim prijetnjama kao što su phishing, krađa identiteta, lažne mrežne stranice za e-trgovinu i malware. U phishing-napadima korisnike se lažnim e-porukama ili mrežnim stranicama koje se pretvaraju da su legitimne​ pokušava prevariti tako da otkriju osobne ili financijske podatke. Krađa identiteta uključuje ilegalno korištenje osobnih podataka kupaca radi financijskih prijevara ili krađe identiteta. Lažne mrežne stranice za e-trgovinu napravljene su kako bi izgledale kao poznate trgovine, a zapravo služe za prikupljanje osjetljivih podataka ili prijevare. Iako je prijevara i prijetnji sve više, Majsan tvrdi da je stanje u kibernetičkoj sigurnosti u hrvatskom e-trgovinskom sektoru sve bolje, ali i da još ima prostora za poboljšanja.

– U usporedbi s nekim zapadnoeuropskim zemljama Hrvatska zaostaje u pojedinim područjima, posebno u uvođenju naprednih sigurnosnih tehnologija i izobrazbi kadrova. Ipak, sve viša svijest o važnosti kibernetičke sigurnosti i ulaganja u to područje pozitivan su trend – kaže Majsan.

Što učiniti

Ako se napad dogodi, postoje koraci i postupci koje svaka e-trgovina mora napraviti kako bi zaštitila sebe i kupce. Bekavac kaže da je najvažnije upotrebljavati SSL/TLS enkripciju, što je ključna mjera za osiguranje komunikacije između preglednika kupaca i poslužitelja e-trgovine. To je osnovna zaštita koju mora uvesti svaka e-trgovina.

– Presudni su također redovito ažuriranje softvera i edukacija zaposlenika. Ažuriranje operativnih sustava, aplikacija i sigurnosnih zakrpa uz kontinuiranu edukaciju zaposlenika mogu najviše poboljšati sigurnosno stanje u odnosu na sve druge mjere. Jake zaporke i autentifikacija sljedeći su korak. Dakle, važno je poticati korisnike da upotrebljavaju jake zaporke i uvesti dvofaktorsku autentifikaciju (2FA) za dodatnu sigurnost – kaže i dodaje da su enkripcija baza podataka i ograničavanje pristupa također iznimno bitni.

Ipak, navodi, često se čuje o slučajevima curenja zaporki jer nisu bile hashirane i bile su zapisane kao čisti tekst koji svatko može pročitati i razumjeti. Enkripcija podataka i pravilno upravljanje pristupom mogu znatno smanjiti rizik od takvih incidenata. Važno je i korištenje mrežnih aplikacijskih vatrozida (WAF) i antivirusnih skenera. Ti alati pomažu u zaštiti od različitih vrsta napada i zlonamjernog softvera.

– Na kraju, poželjne su i redovite sigurnosne provjere i testiranja. To bi trebala obavljati vanjska tvrtka kako bi se osigurale objektivnost i stručnost u procjeni sigurnosnih mjera i otkrivanju potencijalnih ranjivosti – zaključuje kibernetički stručnjak. 

22. studeni 2024 01:55