Zagadnienia bezpieczeństwa w świecie informatyki zawsze były jednymi z najważniejszych, ale często uważaliśmy, że dotyczą tzw. dużej informatyki, banków, firmy, itp. Rozwój e-commerce i powszechność nośników informacji cyfrowej w postaci urządzeń osobistych powoduje, że każdy z nas powinien śledzić informacje odnoszące się do bezpieczeństwa IT. Zadbaj o cyberbezpieczeństwo e-commerce. Gościem portalu ecommerceportal.pl jest Ireneusz Wiśniewski, Dyrektor Zarządzający firmą F5 w Polsce.
Podziel się z nami Waszym doświadczaniem na temat świata cyberprzestępczości i na czym polega jego model działania, żeby nie powiedzieć biznes?
Cyberprzestępcy biznes kieruje się takimi samymi zasadami, jak biznes legalny. Przestępcy chcą osiągać z nielegalnej działalności możliwie najwyższe zyski w stosunku do zasobów, które zainwestowali. Paliwem takiej działalności przestępczej są wszelkiego rodzaju dane cyfrowe. Mowa tu o wyszukiwaniu luk, dzięki którym można złamać zabezpieczenia czy dostać się do oprogramowania stosowanego przez firmy, jak i o danych uwierzytelniających np. pracowników i klientów, ale także szeregu innych danych, takich jak aktualne promocje i ceny produktów w witrynie firmy.
Takie organizacje zatrudniają hakerów i nawet legalnie działające podmioty jako podwykonawców, oferując zarówno platformy szkoleniowe jak i operacyjne. Przykładem mogą być tzw. ludzkie farmy rozwiązywania CAPTCHA („wskaż na obrazku”) – technika mająca weryfikować, czy użytkownikiem jest człowiek, czy też bot. Dysponują też platformami handlowymi, na których można kupić ich usługi i dane, które zostały wykradzione, a mogą posłużyć do dalszych przestępczych działań oszustw i wyłudzeń. To wszystko nie odbywa się jednak w widocznej dla szerokiej publiczności części Internetu nazywanej Clearnetem, w którym strony i usługi są dostępne z każdej przeglądarki i są przez nią możliwe do przeszukiwania (indeksowania).
Część Internetu, w której operują przestępcy, nazywamy Dark Webem lub Darknetem. To pojęcie odnosi się do witryn, które wymagają dostępu do specjalnej przeglądarki z protokołem TOR. Witryny darkwebowe, włącznie z forami i platformami handlowymi mają najwyższy poziom szyfrowania (tzw. „onion” – warstwy), pozwalają więc zachować podobnie wysoki poziom anonimowości, która jest tak istotna dla grup przestępczych.
Jak wybierane są ofiary – na podstawie jakiego klucza?
Ofiary ataków – firmy i ludzie – są wybierani pod kątem możliwie najłatwiejszego ataku oraz najwyższych zysków. Dlatego przestępcy skupiają się na sektorach gospodarki, w których widzą pieniądze – od finansowego przez produkcyjny, po handlowy. Przy czym ten pierwszy, ze względu na bezpośredni obrót środkami finansowymi, jest najlepiej chronioną branżą. Pod tym względem gorzej wypada rozwijający się e-commerce. Szczególnie narażone są firmy, u których można łatwo zauważyć stosowanie przestarzałych techniki obrony, jak wspomniana wyżej CAPTCHA oraz takie, które nie aktualizują i nie łatają w porę wykorzystywanego oprogramowania.
Gwałtowny postęp transformacji i coraz większa liczba aplikacji oraz API wykorzystywanych do prowadzenia biznesu powodują, że takich podatności czy luk, które umożliwiają przestępcom dostęp, również jest coraz więcej. Do „obserwacji”, które wspierają weryfikację, kogo warto zaatakować oraz do samych ataków wykorzystywana jest już sztuczna inteligencja i boty. Działalność przestępców jest niezwykle mocno zautomatyzowana, a ich metody coraz trudniejsze do wykrycia przez przestarzałe technologie ochrony.
Jakie są najpopularniejsze ataki na e-commerce?
– Do najpopularniejszych ataków[1] na e-commerce możemy zaliczyć oszustwa związane z kartami płatniczymi i kredytowymi, gromadzenie zapasów, czyli blokowanie zasobów sprzedażowych sklepów, skrobanie treści witryn celem odsprzedaży ich danych (np. aktualnych cen produktów), łamanie kart podarunkowych oraz przejmowanie kont.
Warto w przypadku e-commerce zwrócić uwagę także na specyficzny rodzaj ataku, jakim jest formjacking[2]. Polega on na wprowadzaniu złośliwego kodu do infrastruktury powiązanej z witryną umożliwiającą płatność z podawaniem numerów kart płatniczych. Mechanizm ten pozwala następnie przechwytywać i wyodrębniać informacje o kartach płatniczych podczas procesu płatności. Jest to wyjątkowo tania dla przestępców metoda, ponieważ jednorazowe wstrzykniecie złośliwego kodu, pozwala na dotarcie do wszystkich klientów i pozyskanie ich danych uwierzytelniających.
Należy podkreślić, że nowoczesne ataki są zautomatyzowane i wielowektorowe – wykradzenie danych (ogłaszane często „wycieki”) przez przestępców w wielu przypadkach nie jest wykrywane od razu. Daje kryminalistom możliwość odsprzedaży tych danych (szybki zysk) lub pracy z nimi (sprawdzanie poprawności, dopasowywanie do innych witryn, wykorzystywanie w innych witrynach) dla potrzeb zdobywania kolejnych danych umożliwiających osiągnięcie celów przychodowych.
– Jakie są metody nowoczesnej obrony? Jak zadbać o cyberbezpieczeństwo e-commerce?
– Ochrona musi być przede wszystkim skuteczna i dopasowana do wielowektorowych ataków. Organizacje powinny wiedzieć dokładnie, z jakiej infrastruktury de facto korzystają, aby ją odpowiednio chronić. Niestety poziom wiedzy o posiadanych i wykorzystywanych w organizacjach aplikacjach oraz Interfejsach Programowania Aplikacji (API) wypierających aplikacje jest niezwykle niski. Chodzi o pełną świadomość, włącznie z tym, jakie oprogramowanie jest wykorzystywane na sprzęcie przez pracowników, często instalujących rozwiązania niesprawdzone, do prywatnego użytku.
Dopiero znając swoje zasoby możemy rozpocząć batalię o cyberbezpieczeństwo marki, witryny oraz pracowników i klientów poprzez odpowiednią ochronę posiadanych zasobów. I jeśli przestępcy sięgają po cele możliwie łatwe i szybkie do osiągnięcia, naturalną strategią organizacji powinno być utrudnianie kryminalistom drogi do danych na każdym możliwym kroku. Takie utrudnienia można jednak wprowadzić po analizie tego, co mamy, dobierając odpowiednie dla potrzeb danej organizacji narzędzia, których jest spory wybór na rynku.
Ponadto, żeby zapewnić firmie bezpieczeństwo i utrudniać życie przestępcom trzeba mieć dokładny wgląd – pełną transparentność ruchu, możliwość rozróżnienia ruchu złośliwego od legalnego (w tym rozróżnienie bot-człowiek) oraz możliwości szyfrowania i deszyfrowania na zaawansowanym poziomie. Jednak ze względu na wysokie tempo transformacji i równie szybki rozwój cyberprzestępczości, wszystkie dostępne narzędzia ochrony muszą być niezwykle często aktualizowane i dopasowywane do zmieniających się wektorów ataków. Dlatego najskuteczniejszą na dzisiejsze czasy strategią dla e-commerce, podobnie jak dla innych sektorów, widzimy w modelach cyberochrony oferowanych w SaaS. Gwarantuje to po stronie dostawców nieustanne dopasowywanie narzędzi ochrony do zmiennych i unowocześnianych metod ataków, bez dodatkowych nakładów po stronie obsługi IT w zasobach firm.
Warto też przyjąć model patrzenia na biznes pod kątem security-by-design, traktowania cyberochrony jako kluczowego elementu biznesu, wbudowanego w strategię biznesową, który uwzględnia również konieczność edukowania i nieustannych szkoleń pracowników oraz wspierania w tym aspekcie klientów. Specjaliści IT odpowiedzialni za cyberbezpieczeństwo zyskują szczególne miejsce w e-commerce – podnoszenie ich kwalifikacji oraz ich ścisła współpraca z zarządzającymi biznesami jest dla sektora kluczowa. Dziś obowiązek ochrony cyberzasobów i odpowiedzialność za nie, muszą być wyraźnie opisane w strategii firm.
Dziękujemy za rozmowę.
[2] W 2020 roku ponad połowa naruszeń danych detalicznych w Stanach Zjednoczonych Ameryki była związana z atakami formjacking.
