Susikūrėte el. parduotuvę, investavote į reklamą, optimizavote svetainę paieškos sistemoms ir džiaugiatės augančiais klientų srautais. Ir štai vieną dieną, įvykus kibernetinei atakai, ne tik nuteka jūsų klientų duomenys, bet parduotuvė pašalinama ir iš „Google“ paieškos rezultatų.
Asociatyvi „Pixabay“ nuotr.
Tai – ne išgalvotas scenarijus, o jau ir Lietuvos el. parduotuvių realybė. Kokios saugumo spragos dažniausiai lemia kibernetinius išpuolius, ką daryti, kad taip nenutiktų ir ko galime pasimokyti iš kitų užsienio šalių?
Neapsisaugojai? Marš iš „Google“!
2024 m. duomenimis, kibernetinių išpuolių skaičius per pastaruosius penkerius metus pasaulyje išaugo 75 procentais. Baltijos šalyse, Nacionalinio kibernetinio saugumo centro duomenimis, per pirmą praėjusių metų pusmetį, trečdaliu padaugėjo DDos atakų ir dvigubai išaugo incidentų, kurių metu įsibrovėliai pakeitė svetainės turinį, gavo nuotolinę prieigą prie sistemų ir prisijungė prie administratoriaus teises turinčių vartotojų paskyrų.
El. komercijos ekspertas Ričardas Šmaižys pasakoja, kad šiuo metu kas mėnesį sulaukia bent vienos užklausos dėl bandymų įsilaužti į el. parduotuves, jų duomenų nutekinimo arba veiklos sutrikdymo.
„Ir, deja, tai baigiasi vis skaudžiau. Pavyzdžiui, neseniai per seną, ilgai nenaudotą administratoriaus paskyrą, buvo įsilaužta į vieną vaikiškų žaislų el. parduotuvę, sutrikdyta jos veikla ir, įterpus žalingą kodą, ji buvo pašalinta iš „Google“ paieškos. Kelerių metų įdirbis buvo prarastas per vieną dieną. Anksčiau tai būdavo pavieniai atvejai, o dabar įsilaužimai į el. parduotuves tampa kasdienybe – kas trečia mūsų valdoma el. komercijos platforma patiria mėginimų įsilaužti. Paviešintų duomenų kiekis šiuo metu išaugęs iki tokio masto, kad vien bandymų atspėti administratorių slaptažodžius pasitaiko kas dieną ir po kelis šimtus kartų vienai paskyrai“, – sako bendrovės „PrestaRock“ vadovas.
Jo teigimu, panašių pavyzdžių Lietuvoje netrūksta: dėl nesaugaus administratoriaus slaptažodžio neseniai buvo prisijungta prie vienos sporto drabužių el. parduotuvės ir įdiegtas žalingas kreditinių kortelių duomenis nuskaitantis programinis kodas. Rezultatas – bandymas pavogti klientų pinigus.
Kitas atvejis – pavogta ir paviešinta darbo drabužių įmonės, kuri laiku ir tinkamai neatliko sistemos atnaujinimų, duomenų bazė, įskaitant klientų vardus, pavardes, el. pašto adresus, tad bendrovei teko aiškintis su Valstybine duomenų inspekcija bei rizikuoti baudomis dėl BDAR įstatymo pažeidimo.
Lietuvoje dar trūksta patirties
Ir nors apie kibernetinį saugumą, rizikas ir grėsmes Lietuvoje daug kalbama, el. komercijos verslai vis dar daugiau dėmesio skiria verslo auginimui, o ne apsaugai.
„Mažesnėse įmonėse vis dar vadovaujamasi taisykle, kai kils gaisras, tada ir gesinsime, arba kai pamatysime, kad kaimyno stogas dega. Nors pastebime, kad el. parduotuvės kibernetiniu saugumu rūpinasi labiau, nes jų sutrikimai dažnai tiesiogiai lemia pajamų praradimą, visgi daugiau dėmesio tam skiria didesnės įmonės. Jos įprastai turi didesnį žinomumą, o tai traukia įsilaužėlius, be to, jos yra daugiau priklausomos nuo IT, tad suvokia tokių incidentų riziką tiek el. parduotuvės veiklai, tiek reputacijai“, – sako Lietuvos IT vadovų klubo narys, bendrovės „Altic IT“ vadovas Marijus Strončikas.
Seitumer Curlu, kelerius metus dirbęs IT vadovu didžiosiose Lietuvos įmonėse, o dabar – vieno iš Dubajaus holdingų IT vadovas, paklaustas, kaip skiriasi kibernetinio saugumo situacija Lietuvoje ir Dubajuje, pasakoja, kad ryškiausias skirtumas – patirties stoka.
„Didžiausias iššūkis Lietuvoje – ribota patirtis tiek užkertant kelią, tiek valdant kibernetines atakas. Dubajuje tokios atakos jau senokai tapo kasdienybe, tad čia įmonės tiesiog priverstos diegti kibernetinio saugumo mechanizmus, kad galėtų vykdyti savo veiklą. Sakyčiau, kad tai lemia ir vadovų požiūris – kadangi dauguma supranta, jog tokios atakos neišvengiamos, skiria lėšų kurti procesus, diegti įrankius, apmokyti personalą“, – sako S. Curlu.
Jo teigimu, nors pastaraisiais metais kibernetinio saugumo situacija Lietuvoje gerėja, dar nepriartėjome prie pasaulinių gerųjų praktikų.
„Pavyzdžiui, Dubajuje kibernetinių incidentų prevencija yra kasdienių IT operacijų dalis: reguliariai atliekami sistemų atnaujinimai, stebima infrastruktūra ir operatyviai reaguojama į saugumo incidentus. Vidutinės ir didžiosios įmonės kibernetinį saugumą vertina kaip neatsiejamą veiklos dalį, o mažesnės įprastai samdo išorės ekspertus“, – teigia S. Curlu.
Rekomenduoja nelaikyti pravirų durų
R. Šmaižys rekomenduoja el. komercijos verslams kibernetiniu saugumu pradėti rūpintis dar prieš kuriant el. parduotuvę.
„Kuriant el. parduotuvę, rekomenduojama naudoti kuo mažiau trečiųjų šalių modulių, arba juos pasitikrinti. Rekomenduojame būtinai įdiegti ir papildomų apsaugų – dvigubą autentifikaciją, IP adreso blokavimą, tinkamai sukonfigūruoti ir prižiūrėti serverius, kuriuose saugomi duomenys“, – sako jis.
El. komercijos eksperto teigimu, jau sukūrus el. parduotuvę, taip pat itin svarbu reguliariai atnaujinti naudojamas sistemas bei užkardyti paviešintas klaidas.
„Jeigu laikysime pravertas duris, tik laiko klausimas, kada pro jas pateks piktavaliai. Tad verta nuolat peržiūrėti su saugumu susijusius klausimus, taip pat edukuoti darbuotojus nenaudoti tų pačių slaptažodžių, nesijungti iš nesaugių tinklų, nespausti neaiškių nuorodų. Taip pat – šalinti nenaudojamas administratorių paskyras. Laiku neįgyvendinus šių priemonių ar nesutvarkius esamų saugumo skylių, pasekmės gali būti skaudžios – pavyzdžiui, el. parduotuvės pašalinimas iš organinių „Google“ paieškos rezultatų“, – sako jis.
M. Strončikas priduria, kad kuriant el. parduotuvę, rekomenduojama aiškiai apsibrėžti, kas rūpinsis jos saugumu.
„Svarbu atskirti, ar veikla bus vykdoma per nuosavą el. parduotuvę, sukurtą naudojant savo IT infrastruktūrą, ar el. parduotuvė yra nuomojama. Pirmu atveju atsakomybė tenka pačiam el. parduotuvės savininkui, antru – nuomos platformai. Visgi, abiem atvejais kritiškai svarbu žinoti, kaip kibernetinis saugumas bus užtikrinamas“, – sako IT vadovų klubo narys.
Pasak jo, mėgstantiems riziką ir nebijantiems neprognozuojamo masto veiklos sutrikimo, apie kibernetinį saugumą galima negalvoti, o visiems kitiems verta būti pasirengus.
Paieška archyve
