безпека інтернет-магазину

Як зробити інтернет-магазин безпечним для клієнтів

Інтернет-магазинами сьогодні не користується хіба що той, хто живе в землянці в глухому лісі, де немає навіть мобільного інтернету. Тому і з’являються нові учасники ринку Інтернет-торгівлі, як гриби після дощу. На жаль, вони не завжди можуть похвалитися не тільки хорошим сервісом, але і безпекою для кінцевого покупця. Чому це так і як вирішити цю проблему?

Що таке безпека у випадку інтернет-магазину?

Безпека клієнтів онлайнового магазина – насамперед, це безпека персональних даних і платежів покупців. Необхідно відразу обмовитися, що спектр рішень, застосовуваних в інтернет-магазинах, прямо пропорційний величині самого магазину. Зазвичай невеликі і середніх розмірів магазини воліють самі не працювати з платежами клієнтів, передаючи ці дані на аутсорсинг. Або ж зовсім відмовляються від платежів через інтернет, в цьому випадку оплата доставки проводиться готівкою кур’єру магазину. При цьому відповідальності за збереження конфіденційних даних їхніх клієнтів таким магазинам нести не доводиться.

Для великих же інтернет-магазинів заходи щодо забезпечення безпеки клієнтів можна назвати однією з найбільш насущних турбот. Базові методи, що застосовуються для забезпечення такої безпеки – прийом інформації від клієнта через захищений канал (HTTPS), а також постійне оновлення “движка” для того, щоб усунути знайдені співробітниками компанії уразливості, також зберігати платіжні дані необхідно в зашифрованому вигляді. Правда, наскільки масово застосовуються ці методи, поки судити важко, адже великих досліджень з даного питання не проводилося. Проте в цілому все онлайнові магазини, які зараз знаходяться “на слуху”, використовують дані заходи безпеки для захисту конфіденційної інформації своїх клієнтів.
Більш “просунутими” методами можна назвати контроль за захищеністю клієнтських даних за допомогою DLP-систем, які сьогодні часто використовують інші компанії. Такі методи часто недоступні онлайн-рітейлерам, бо в Інтернет-магазинах зазвичай велика кількість персоналу працює віддалено, а сам захист за допомогою таких систем часто коштує досить дорого. Низькі штрафи, які сьогодні видають за витік персональної інформації клієнтів, роблять використання таких дорогих систем в Інтернет-торгівлі невигідним. Але, оскільки DLP-системи можуть дозволити не тільки не боятися витоків, але і знаходити іншу шкоду, яка може наноситися співробітниками магазину, то іноді великі інтернет-магазини все ж впроваджують їх.

Чому магазини небезпечні?

Головна причина проблем у сфері безпеки Інтернет-торгівлі – економічна. Компанії зазвичай не хочуть вкладати гроші в захист конфіденційної інформації покупців, тому що, на відміну від реклами або від розширення асортименту, захист інформації не призводить до помітного зростання продажів і зростання прибутку онлайнового магазина. Наслідки витоку даних для магазину “середнього рівня” зазвичай не дуже великі, адже штрафи невеликі, при цьому репутація у таких компаній не знаходиться на першому місці в списку їх пріоритетів.

Якщо ж говорити саме про технічні моменти, тоді масовою проблемою можна називати застосування старих версій CMS, в них спостерігається велика кількість вразливостей, добре знайомих зловмисникам. На другому ж місці розмістилося зберігання платіжної інформації в базі даних, причому зберігання в незашифрованому вигляді – і в підсумку будь-який несанкціонований доступ до неї може обернутися катастрофою. Все це трапляється завдяки бажанню онлайн-ритейлерів заощадити на технічному персоналі, а також завдяки не надто глибоким технічним знанням адміністраторів і власників таких Інтернет-ресурсів.

Загрози і захист

Для того, хто хоче захистити своїх покупців, є хороша новина. Засоби захисту в даний час повністю відповідають рівню загроз. Кожен власник Інтернет-магазину сьогодні легко може звернутися до компанії-фахівця, яка зможе забезпечити безпеку його Інтернет-ресурсу – починаючи з повного ІБ-аудиту, закінчуючи створенням надійної системи безпеки. Однак маленькі інтернет-магазини, яких сьогодні більшість, зазвичай намагаються максимізувати прибуток за допомогою відмови від більшості “зайвих” витрат, куди входять і витрати на забезпечення ІБ. Це один із серйозних аргументів на користь того, щоб купувати товари у великих і відомих онлайнових магазинах, які дорожать своєю репутацією.

Дуже серйозною проблемою навіть для великих інтернет-магазинів можна назвати фішинг – мова йде про маскованих під такі магазини сайтах шахраїв, які збирають персональну інформацію користувачів. Також дуже поширені сьогодні і шахрайські розсилки від імені найбільших і відомих онлайн-магазинів. Краща зброя магазину в даному випадку – інформація. Треба якомога частіше попереджати клієнтів, просити їх бути як можна більш уважними та обережними в інтернеті зі своїми особистими даними.

З життя магазинів

За прикладами, причому з життя саме українських інтернет-магазинів, далеко ходити не потрібно. Правда, навряд чи це можна вважати хорошим знаком – але, у всякому разі, з їх допомогою можна спробувати навчитися на чужих помилках. Усі ситуації нижче взяті з досвіду клієнтів компанії SearchInform.

Один з київських інтернет-магазинів виявив, що у нього помітно знизилося число повторних покупок від клієнтів, яким щомісяця висилалися листи з пропозиціями знижок. Після декількох спроб поміняти дизайн і наповнення розсилки, керівництво вирішило провести більш глибоку перевірку. Буквально відразу ж з’ясувалося, що маркетолог, що відповідав за цей захід, міняв в листах посилання на аналогічні товари в магазині свого знайомого, за що отримував “відкат”. Загальна сума збитку від дій працівника оцінена в кілька тисяч доларів, не рахуючи шкоди для репутації магазину.

Інша компанія, що здійснює продаж торгового обладнання через свій сайт, неодноразово стикалася з різними неприємностями, починаючи від впровадження на нього зловредів, і закінчуючи перевищенням трафіку на сайт, передбаченого тарифним планом, в кілька десятків разів (з відповідним збільшенням його оплати). В ході перевірки з’ясувалося, що технічний фахівець, відповідальний за розробку та підтримку сайту, передав всю роботу фрілансерам, причому платив їм за неї майже в три рази менше, ніж отримував сам. У зовсім сторонніх людей були всі доступи до бази персональних даних клієнтів, інформації про замовлення, складські залишки і т.д. Немає сумнівів, що через якийсь час це обернулося б великими неприємностями.

У ще одній ситуації заступник начальника відділу постачання інтернет-магазину, що спеціалізується на побутовій техніці, відмовилася отримувати знижку у постачальника. Причина була досить пікантна: справа в тому, що ця заступник складалася в романтичних стосунках з представником даної компанії. Цей факт був встановлений завдяки аналізу особистого листування в Скайпі, після впровадження в магазині DLP-системи “Контур інформаційної безпеки”. Втрата даної знижки в місяць обходилася компанії приблизно в 40 000 доларів.

Що можна зробити самому?

На щастя, навіть якщо ви поки не маєте можливості звернутися до професіоналів для захисту свого інтернет-магазину, можна підвищити його безпеку самому. Для цього потрібно дотримуватися кількох простих рекомендацій:

  1. Не використовуйте зламані версії платних “движків” сайтів, краще заплатити кілька десятків доларів за ліцензію, ніж підставлятися під впроваджувані в такі “движки” шкідливі програми
  2. Придумайте надійний пароль від панелі адміністратора сайту, і не показуйте його нікому
  3. Якщо у вас немає навичок самостійної установки і настройки таких “движків”, краще скористатися одним з хмарних сервісів для розміщення свого магазину
  4. Не замовляйте розробку і наповнення магазину фрілансерам без відповідного досвіду роботи: тут, на відміну від сайту-візитки, безпека відіграє дуже велику роль
  5. Вчасно оновлюйте “движок” свого магазину, коли отримаєте повідомлення про появу оновлень

Звичайно, це тільки ази, але вони допоможуть вам підняти безпеку своєї торгової точки на помітно більш високий рівень.

Ніхто не підраховував, скільки українська Інтернет-торгівля втрачає через халатне та недбале ставлення до безпеки своїх покупців. Показані вище приклади говорять про те, що масштаби подібних втрат можуть бути вельми і вельми вражаючими, особливо для великих операторів Інтернет-торгівлі. Втім, звичайно, остаточний вибір – завжди за самим магазином.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *