Sigurnost i zaštita u skladu sa PCI DSS standardom

Složenost internetskih trgovina u posljednje vrijeme neprestano raste, a s time i izazovi obrane od napada.

Same tehnike napada neprestano se nadopunjuju i nadograđuju, dok su ciljevi najčešće krađa osobnih i povjerljivih podataka, vjerodajnice, pronevjera sredstava, izvršenje napada iznude, rudarenje kriptovaluta ili oštećenje ugleda. Primjerice, u slučajevima krađe financijskih podataka (Magecart).

Napadači obično instaliraju zlonamjerni kod na web stranicu i na taj način presreću unesene podatke o kreditnoj kartici, koji se kasnije zloupotrebljavaju na drugim mjestima ili prodaju na tzv. - Dark web (Tamna mreža).

 

Cyber napadi

Teško je govoriti o trendovima sve većih napada, jer je to složen fenomen. Neki stručnjaci navode da se učestalost cyber napada mjeri u sekundama. Naravno, napade se ne može izjednačiti s uspješnim upadima u web aplikacije. Dodatni problem u prikupljanju podataka također su uspješni upadi koji se ne otkrivaju ili nisu javno objavljeni.

Prema nekim izvješćima, broj napada povećao se za 67% u posljednjih nekoliko godina. Također uočavamo da se s pojavom COVID-a povećala uporaba interneta i, shodno tome, ukupan broj otkrivenih ranjivosti i s njima povezanih napada.

 

Najčešće ranjivosti

Povezane su s nepravilnim filtriranjem korisničkih unosa, održavanjem korisničke sesije i izvršavanjem autorizacije. Prema našem iskustvu, svaka deseta aplikacija sadrži i dobro poznatu SQL injekciju. Posljedice napada kupci često osjećaju kao krađu podataka o platnim karticama (posljedično novcu), lozinki i osobnih podataka. Ako osoba koristi iste lozinke na drugim internetskim uslugama, to također može dovesti do daljnjih napada i zlouporabe osobnih podataka. S druge strane, takvi napadi ili upadi u internetske trgovine predstavljaju gubitak reputacije, loše korisničko iskustvo i, na kraju, ali ne manje važno, nepovjerenje u internetske usluge, a time i poslovnu štetu.

Upravitelji internetskih trgovina na razini procesa mogu postaviti siguran ciklus razvoja softvera, koji obično uključuje obuku o tehnikama sigurnog programiranja i dobru praksu, izvođenje analize arhitektonskog rizika prije programiranja, korištenje alata za statičku i dinamičku analizu izvora i na kraju izvođenje sveobuhvatnih ispitivanje penetracije prije puštanja u rad stranice. Istodobno, potrebno je biti svjestan da se osiguravanjem sigurnosti internetskih trgovina treba baviti sveobuhvatno. Web aplikacija ili internetska trgovina mogu se hostirati na poslužitelju koji ima najnapredniji vatrozid, što se naravno preporučuje.

Iznad svega, željeli bismo naglasiti da se zaštitom internetskih trgovina treba baviti sveobuhvatno. Savjetujemo da redovito ažurirate poslužiteljsku infrastrukturu, ažuriraju sve komponente internetske trgovine i provode polugodišnje sigurnosne provjere ili izvršavaju ove velike promjene s vanjskom neovisnom i nepristranom organizacijom.