„

Cześć, witam Cię w kolejnym odcinku podcastu Więcej niż e-commerce. To podcast, w którym opowiadam o tym, jak dzięki połączeniu technologii, wiedzy i procesów rozwijać swój biznes. Jeżeli prowadzisz swój sklep internetowy, albo dopiero zamierzasz zacząć, to jest to miejsce właśnie dla Ciebie. Zapraszam Cię do wysłuchania dzisiejszego odcinka. A temat dzisiejszego odcinka brzmi, jak chronić swój sklep internetowy przed cyberzagrożeniami. Zapraszam Cię do dalszej części tego odcinka. No dobra, no to zaczynamy. Dzisiejszy odcinek, z góry uprzedzam, będzie nudny, techniczny. Może być bardzo taki, wydawałoby się, trywialny i banalny. Nie powiem tutaj raczej nic odkrywczego, tak mi się wydaje. No więc, jeżeli nie masz problemu z tym, jak wyglądają u Ciebie procedury z cyberbezpieczeństwem i nie obawiasz się tego, że kiedykolwiek Twoje dane mogą wyciec i otrzymasz karę rzędu 20 milionów, albo 2-4% Twojego całego przychodu z zeszłego roku, jeżeli to więcej niż 20 milionów, euro oczywiście, no to nie jest to odcinek dla Ciebie. Dlatego, że w dzisiejszym odcinku będę opowiadał o tym, jak zmniejszyć ryzyko tego, że do takiej sytuacji dojdzie, czyli że pewnego dnia albo dostaniemy informację o tym, że musimy gdzieś wpłacić przykład jakieś bitcoiny, albo inne kryptowaluty, albo w przeciwnym razie dane z naszego sklepu zostaną upublicznione, a my narazimy się właśnie na kary, które nałoży na nas prezes Urzędu Ochrony Danych Osobowych, bo naruszyliśmy ustawę o RODO, no i niestety nasze dane zostały dane, naszych klientów zostały upublicznione, a co za tym idziemy jako ich administratorzy, będziemy musieli po prostu wyskoczyć z kasy. No, więc jeżeli ten temat jakkolwiek Cię interesuje, to zapraszam Cię, żebyś posłuchał dalej tego odcinka, bo opowiem o tym, na jakiego typu zagrożenia się przygotować, jak się przed nimi bronić, no i co zrobić w razie, jeżeli już do takiej sytuacji dojdzie. Pomysł na ten odcinek nie wziął się znikąd. To, jak większość tematów tego podcastu, przyniosło go samo życie. Pewnego wieczoru dostałem wiadomość mailową, że moje dane osobowe w wyniku ataku hakerskiego na sklep internetowy, którego byłem klientem, zostały wykradzione. Pomyślałem sobie, jak to możliwe. I na początku bardzo zdenerwowany, próbowałem dojść do tego, jak w ogóle do takiej sytuacji doszło, no przecież to jak? Dane wyciekły, moje, imię, nazwisko, adres, numer karty, kod CVC, oczywiście pierwsze co, to musiałem tą kartę zastrzec, następnie pofatygowałem się po wyjaśnienia mailowe do sklepu internetowego. Okazało się, że jak zwykle zawiódł czynnik ludzki, to znaczy jedna z osób po prostu w niewłaściwy sposób, mówiąc wprost, po prostu wykradła te dane i udostępniła je publicznie. Zastanawiając się dłużej nad tą sytuacją, pomyślałem sobie, no dobra, a jak to jest w przypadku mojego sklepu internetowego? Jak to jest w przypadku sklepu internetowego moich klientów? Ilu z nich tak naprawdę ma jakiekolwiek procedury związane z cyberbezpieczeństwem, jakkolwiek na taką sytuację jest przygotowanych, jakkolwiek przed taką sytuacją zabezpieczają się, żeby do niej nie doszło? No i powiem szczerze, że ten audyt był druzgocący, no ale to każdy z nas, jako nawet niewłaściciel sklepu internetowego, czy jakiejkolwiek innej platformy, nie administrator danych osobowych, powinien teraz uderzyć się w pierś i policzyć sobie, jak wiele na przykład haseł do różnych kont brzmi i wygląda dokładnie tak samo. No właśnie, dane pokazują, że ponad 70% wycieków danych wynika z błędów ludzkich. To znaczy z błędów, z działań, o może tak powiem, dlatego, że wiele tych błędów popełnianych jest nieświadomie. No i między innymi właśnie po to ten dzisiejszy odcinek, żeby pokazać w jaki sposób do takich ataków dochodzi i jak się przed nimi bronić, jak w ogóle sprawiać, żeby do nich nie dopuszczać. Mamy wiele typów zagrożeń, natomiast takie dwa najbardziej popularne to tzw. phishing i DDoS. Ten pierwszy polega na tym, że zapuszcza się po prostu wędkę i czeka się, aż rybka złapie haczyk. Jeżeli jesteś administratorem konta biznesowego, albo nawet prywatnego, na Facebooku, na Instagramie, to na pewno nieraz dostałeś taką wiadomość, że jeżeli nie skontaktujesz się tutaj z supportem Facebooka i nie klikniesz w ten link, to twoje konto za 24, 72, 48 godzin zostanie skasowane. Ja tego typu maile dostaję średnio 3 w tygodniu, czasami dostaję takie maile 3 razy dziennie. Natomiast ja jestem świadomy tego, co się pod tym kryje. Potrafię mniej więcej zweryfikować z jakiego maila te maile przychodzą, że to są jakieś maile, które nie są wcale z supportu Facebooka. One bardzo często są napisane oczywiście po angielsku, one są wysyłane z takich maili, które mogą sugerować, że mają coś wspólnego z Facebookiem, oczywiście nie mają. Nigdy nie należy tego typu maili, linków, podejrzanych, klikać, tylko zadaj sobie pytanie, czy na pewno cały twój zespół o tym wie, dlatego, że tego typu mail może trafić nie do ciebie, ale do kogoś z członków twojego zespołu. No właśnie, no i wtedy mamy już problem. Innego rodzaju zagrożeniem są zagrożenia typu DDoS. To jest taki typ zagrożenia, kiedy nasza platforma jest unieruchamiana przez bardzo duży ruch, tak zwany zewnętrzny, czyli tak zwana rozproszona sieć właśnie tych botów, które atakują naszą stronę, które w jednym momencie próbują wysyłać zapytania do naszej strony internetowej. Bardzo mocno obciąża nasze serwery, nasze zasoby i nasza strona pada. To są ataki, które występują raczej bardziej w przypadku większych sklepów, no bo celem takich ataków nie jest może do końca wyłudzenie danych, ale jest właśnie bardziej spowodowanie jakichś strat danego sklepu. No, można przed tym się zabezpieczać. Można stosować tak zwanego CloudFlare’a. Tylko trzeba też robić to z głową, dlatego, że bardzo często zła implementacja tego typu narzędzi, które właśnie mają ograniczać wzmożony ruch i go odcinać, powoduje, że w sytuacji, kiedy na naszej stronie internetowej jest jakaś promocja, jakaś akcja rabatowa, nie wiem, mamy Black Friday, czy jakąkolwiek inną okazję, kiedy na naszą stronę wchodzi bardzo dużo potencjalnych klientów, tego typu system potrafi też to wykryć jako atak i naszych klientów odcina. No więc mądra konfiguracja też tego typu narzędzi jest tutaj bardzo ważna. Natomiast, tak jak wspominałem, bardzo często do różnego rodzaju ataków dochodzi po prostu z winy użytkowników danej platformy. Dlatego bardzo ważne jest, abyśmy upewnili się, że na naszej platformie sprzedażowej mamy wymuszone tak zwane silne hasła, abyśmy regularnie weryfikowali to, czy na przykład nie mamy jakichś przestarzałych kont użytkowników, czyli takie konta typu duch, osób, które na przykład kiedyś pracowały u nas z nami, osoby, które już dawno dostępu do platformy nie powinny mieć, albo na przykład nie powinny mieć dostępu w formie pełnej. Bardzo często systemy sprzedażowe dają możliwość ustawiania ról użytkowników, czy ktoś jest na przykład administratorem, edytorem, subskrybentem, klientem i tak dalej, i tak dalej. I bardzo ważne, żeby te role były przypisane w odpowiedni sposób, żeby nie rozdawać też tych uprawnień administratora na prawo i lewo, bo można naprawdę narobić sobie biedę. Jeżeli nasza platforma daje możliwość tak zwanego dwuskładnikowego uwierzytelniania, to też powinniśmy to włączyć. Czy będzie to, nie wiem, potwierdzenie na przykład dodatkowo jeszcze w formie telefonicznej, sms-em, jakimś kodem, to bez dwóch zdań powinniśmy to zrobić. To znaczy, to bardzo mocno też zwiększy bezpieczeństwo naszej platformy, w razie gdyby nasze dane zostały w jakiś sposób wykradzione. Jeżeli nasza platforma jest customowa, jesteśmy jej właścicielem, nasz sklep jest zbudowany, nie wiem, na komersie, Magento, PrestaShop i tak dalej, to pamiętajmy o tym, że to my jesteśmy administratorem danych osobowych, które są w tym sklepie przetwarzane. W związku z czym na nas, jako na właścicielach, spoczywa odpowiedzialność za ich bezpieczeństwo. Dlatego tak ważne jest, żebyśmy o te platformy dbali, żeby one były na bieżąco aktualizowane, żeby to oprogramowanie było cały czas w najnowszej wersji, bo niestety często jest tak, że gdzieś takie oprogramowania, no, zawierają jakieś luki, które są na bieżąco poprawiane przez ich autorów, no ale niestety, jeżeli my tej aktualizacji nie prowadzimy, no to wtedy hakerzy, no, korzystają z tego, że gdzieś ta furtka jest otwarta i próbują się do naszego sklepu dostać. Dlatego jako właściciele sklepów internetowych powinniśmy przygotować sobie taką wewnętrzną procedurę tego, w jaki sposób w naszej organizacji zarządzamy cyberbezpieczeństwem. Jeżeli nasza organizacja ma kilku, kilkunastu użytkowników, no, ale nawet jeżeli jesteśmy one man army, to warto zastosować sobie chociażby menadżera haseł, czyli takie miejsce, w którym nasze hasła są zapisywane i mogą one być przydzielane odpowiednim osobom. I wtedy takie osoby, po pierwsze, mogą logować się do konkretnych paneli, nie widząc w ogóle haseł, które wpisują, dlatego że robi to za nie ten system. Po drugie, jeżeli na przykład kończymy współpracę z jakąś osobą, to jesteśmy w stanie bardzo dokładnie sprawdzić, do jakich haseł ta osoba miała dostęp i je zmienić. Kolejną rzeczą, która jest bardzo ważna, no to tak jak mówiłem wcześniej, nie stosujmy takiego samego hasła do wszystkich możliwych paneli, ale przede wszystkim kontrolujmy to, jakie osoby w naszej organizacji do jakich zasobów mają dostęp. Na naszej stronie internetowej może wydarzyć się tak, że ktoś uzyska do niej dostęp i nie wykradnie danych, ale na przykład wstrzyknie jakiś kod, zainstaluje jakiś fragment oprogramowania, który będzie odpowiadał za to, że na przykład dane wprowadzane przez klientów na naszej stronie w koszyku będą wysyłane gdzieś na jakiś zewnętrzny serwer. Jeżeli nikt naszym sklepem nie administruje od strony technicznej, a nawet jeżeli macie jakąś firmę, która się tym zajmuje, to sprawdźcie, dopytajcie, upewnijcie się, czy aby na pewno wykonywane są testy bezpieczeństwa i te strony są regularnie, powiedzmy raz w tygodniu skanowane i sprawdzane pod tym kątem, czy gdzieś na stronie nie ma jakichś fragmentów kodu, które gdzieś coś wysyłają na zewnątrz bez waszej wiedzy. To, co jako właściciel, menadżer, osoba zarządzająca możesz zrobić, to możesz wprowadzić też takie cykliczne testy manualne, które sprawdzają, czy od tej strony wizualnej na stronie się nic nie zmienia. Dlatego, że żeby chociażby wydobywać numery kart klientów, to trzeba gdzieś osadzić formularz na stronie internetowej, dlatego że numer karty, który jest już wprowadzony po stronie bramki płatności, operatora płatności, jest praktycznie nie do wydobycia. Te miejsca są tak dobrze zabezpieczone, że tam hakerzy nawet nie próbują się udawać i bardzo często te ataki polegają na tym, że gdzieś dodawane jest w koszyku jakieś dodatkowe pola związane z płatnością kartą, sugerujące użytkownikowi, że to jest metoda płatności, a tak naprawdę wcale nie jest. Ma to na celu tylko właśnie zdobycie tych danych i spowodowanie, żeby użytkownik te pola wypełnił. Więc stosując takie testy manualne, sprawdzając naszą stronę raz w tygodniu, mówiłem już o tym w jednym z odcinków, że to ogólnie jest bardzo ważne, dlatego że to daje nam też takie stałą kontrolę nad tym, co na naszej stronie się dzieje. No i z punktu widzenia bezpieczeństwa jest to też bardzo ważne. Jeżeli decydujemy się na platformę w modelu abonamentowym, na platformę, która jest dostarczana przez zewnętrznego usługodawcę, to sprawdźmy w regulaminie, w polityce, w umowie, czy ta odpowiedzialność za to, w jaki sposób te dane są administrowane, spoczywa na firmie, która nam tą usługę dostarcza. Oczywiście logiczne jest to, że tak powinno być, ale często te regulaminy zawierają różnego rodzaju zapisy. Jeżeli nie jesteśmy tego pewni, skonsultujmy się z prawnikiem, żebyśmy mogli spać spokojnie i nie przejmowali się tym, że w razie, kiedy nastąpi do jakiegoś wycieku po stronie naszego usługodawcy, my będziemy współodpowiedzialni za to, że do takiego wycieku doszło, no bo często jest tak, że tego typu firmy nie chcą brać za to jakby pełnej odpowiedzialności i próbują tą odpowiedzialność gdzieś rozłożyć i przerzucić ją na nas. No dobrze, no to co zrobić, kiedy do takiego wycieku już dojdzie? Jeżeli go namierzymy, ustalimy, co było jego przyczyną, to oczywiście w pierwszej kolejności musimy wdrożyć plan naprawczy. Musimy wprowadzić procedury, które doprowadzą do tego, żeby wyeliminować możliwie wszystkie negatywne skutki tego, co się wydarzyło. Musimy poinformować prezesa Urzędu Ochrony Danych Osobowych i musimy poinformować osoby, których ten wyciek dotyczył. Najprawdopodobniej będą to klienci, którzy dokonali zamówienia w twoim sklepie. Żeby chociażby ustalić, w jakim okresie doszło do tego wycieku, które dane zostały wykradzione, to warto jest posiadać w swoim systemie system logujący, tak zwane logi, które odkładają informacje o tym wszystkim, co dzieje się w naszym sklepie od tej strony takiej technicznej. No bez tego będzie ciężko dojść do tego, co się wydarzyło w naszym sklepie internetowym, kiedy tam działały jakieś właśnie szpiegowskie oprogramowania czy jakiegoś rodzaju kod, który miał właśnie za zadanie gdzieś te dane z naszego sklepu pozyskiwać. Generalnie co do tego, jakie mamy rodzaje naruszeń, jakie są dokładne procedury, jak w różnego rodzaju przypadkach postępować, to jest tak naprawdę temat na zupełnie osobny odcinek. Jeżeli jesteś zainteresowany tym, jak to wygląda od strony prawnej, jakie obowiązki spoczywają na tobie jako administratorze danych osobowych, w jaki sposób się do tego przygotować, zabezpieczyć od tej strony właśnie takiej prawnej, zgodnej z literą prawa, to daj znać np. w komentarzu do tego odcinka albo do mnie w wiadomości prywatnej. Postaram się wtedy może zaprosić tutaj do naszego podcastu gościa, który się w tym specjalizuje, który jest prawnikiem i który podpowie, w jaki sposób właśnie te wszystkie elementy w naszej organizacji zaopiekować. Ale to, co na pewno każdy może zrobić w swojej firmie, no to zbudować taką kulturę po prostu bezpieczeństwa, czyli przede wszystkim przeszkolić ludzi, przeszkolić zespół. Na bieżąco te formy tych ataków są coraz bardziej wysublimowane. Jeżeli widzimy, że gdzieś pojawiła się jakaś nowa wiadomość, dostaliśmy jakiś to, nie wiem, dziwny SMS, maila, to na bieżąco informujmy o tym wszystkich, że takie sytuacje mają miejsce. Nauczmy też naszych współpracowników, że jeżeli w jakiejkolwiek sytuacji zauważą, że dojdzie do takiego incydentu, kiedy gdzieś dane zostały lub mogły zostać wykradzione, to żeby nie bały się o tym powiedzieć, bo jakby im szybciej dostaniemy taką informację, tym szybciej będziemy mogli zareagować. Przykład oczywiście idzie z góry, więc bardzo ważne jest, żebyśmy my jako osoby zarządzające nie stosowali właśnie tego typu metod. Żebyśmy nie wysyłali sobie haseł otwartymi wiadomościami, żebyśmy sobie haseł gdzieś nie zapisywali, nie wiem, na karteczkach przyklejali ich do monitora. Generalnie, żeby nasze hasła nie były skonstruowane 1, 2, 3, 4 i tak dalej, i tak dalej. No, to wydaje się banalne i trywialne, dopóki nie dojdzie właśnie do momentu, w którym nasze dane wyciekną. No bo oprócz tego, że ucierpi reputacja naszej firmy, to musimy pamiętać o tym, że będziemy odpowiadać cywilnie przed sądem jako administrator danych osobowych, osoba odpowiedzialna za bezpieczeństwo tych danych. A tak jak wspominałem wcześniej, te kary finansowe potrafią być naprawdę wysokie. Chociaż zadania domowe nie są teraz w modzie, no ale my nie jesteśmy w szkole, więc postanowiłem, że na koniec tego odcinka dam tobie, drogi słuchaczu, drogi widzu, widzko, takie właśnie zadanie, które będzie polegało na tym, żeby zrobić sobie taki wstępny mini audyt cyberbezpieczeństwa w twojej firmie, żeby sprawdzić w jaki sposób współpracownicy wymieniają się hasłami, w jaki sposób te hasła są przetrzymywane, ile haseł jest takich samych do różnych miejsc, do różnych portali, narzędzi i tak dalej. Czy na pewno twoje hasła są silne i jest to wymagane przez system? Czy nie masz jakichś właśnie martwych kont typu duch, takie, które kiedyś były dla kogoś założone, a dzisiaj nie są już potrzebne? Czy masz dwuskładnikowe uwierzytelnianie włączone na swoim sklepie? Czy regularnie wykonujesz audyty związane właśnie z bezpieczeństwem, z tym jak twoja platforma funkcjonuje? Czy firma, która obsługuje twój sklep internetowy od tej strony właśnie takiego wsparcia technicznego to robi? Generalnie to, co wymieniłem tutaj dzisiaj, to takie absolutne minimum, które należy zrobić, bo oczywiście możliwości zabezpieczenia strony internetowej jest dużo, dużo, dużo więcej, bo możemy tutaj zabezpieczyć jeszcze naszą domenę, maile, które są wysyłane z naszej domeny. Możemy wdrożyć cały szereg takich zabezpieczeń technicznych, informatycznych, które sprawią, że nasza domena będzie jeszcze bezpieczniejsza, nasz sklep będzie jeszcze bezpieczniejszy, ale to są już takie zagadnienia bardzo niskopoziomowe, techniczne, w które nie chciałbym wchodzić, bo ten podcast nie jest skierowany do programistów informatyków i tak dalej, no tylko jest skierowany właśnie do osób, które w e-commerce pracują, które mają do czynienia z platformą, a te wszystkie rzeczy, które wymieniłem są tak naprawdę do wdrożenia na teraz przez każdego i myślę, że każdy sobie z tym poradzi. Dobrze jest sobie taką procedurę stworzyć, spisać, żeby każda osoba nowa, która też dołącza do organizacji, miała do niej wgląd, mogła się z tym zaznajomić. Dobrze jest wytworzyć właśnie taką kulturę cyberbezpieczeństwa w naszej organizacji, która będzie powodowała to, że hasła do konta administratora nie będą gdzieś tam fruwały po firmie, a nie daj Boże nie będzie tak, że będziemy mieli jedno konto administratora, na które będzie logowało się kilka osób w firmie i tak naprawdę nie będzie wiadomo, nawet mając zainstalowane logowanie w takim sklepie, co, kto, kiedy zrobił, no bo tak naprawdę wszystko odbywa się z jednego konta. Założenie nowego konta na większości platform, to jest chwila moment, to jest kilka kliknięć, więc nic naprawdę nie stoi na przeszkodzie, żeby każdy używał swojego konta. Tak jak mówiłem, odcinek banalny, nic nowego tutaj się nie wydarzyło, jeżeli wszystkie te rzeczy, które przed chwilą wymieniłem w Twoim sklepie, funkcjonują, są wdrożone i działa to wszystko super, no to super, to bardzo Ci gratuluję, jednocześnie bardzo Cię przepraszam, że zmarnowałem Twój czas, a jeżeli coś z tej listy jest jeszcze do poprawy, no to nie czekaj, do dzieła. Do zobaczenia w kolejnym odcinku już za tydzień. Cześć!”