Cyberataki chlebem powszednim dla e-biznesów. Jak się przed nimi chronić?

33 tysiące – tyle kolejnych złośliwych domen trafiło w ubiegłym roku na listę CERT Polska, dotyczącą ostrzeżeń przed niebezpiecznymi stronami. To blisko o 270 proc. więcej niż jeszcze dwa lata temu, gdy ich liczba oscylowała w okolicach 9 tys. Dobre przygotowanie do odpierania cyberataków to dziś konieczność. Dlaczego firmy powinny opanować tę sztukę?

Rzeczywistość pokazuje, że cyberataki to problem, z którym zmaga się nie tylko branża IT – może on dotknąć każdy biznes. Jak się jednak okazuje, 55 proc. dużych firm[1] nie powstrzymuje ich skutecznie, a także nie potrafi ograniczyć ich negatywnych skutków. Jak to zmienić?

Przedsiębiorca niedostatecznie przygotowany

Metody działania cyberprzestępców stają się coraz bardziej wyszukane. Dziś to już nie tylko wirusy, ale także incydenty bezpieczeństwa m.in. z zastosowaniem socjotechniki, jak np. ataki i kampanie phisingowe, które mają na celu wyłudzenie poufnych informacji. Jak podaje CERT, w ostatnim roku najczęściej obserwowanymi phishingami były te wyłudzające dane logowania do Facebooka (7785 domen), co oznacza ponad trzykrotny wzrost rdr.

- Zwiększenie skali działalności cyberprzestępców ma dwojakie przyczyny. Po pierwsze, sprzyja im przeniesienie wielu naszych aktywności do sieci, panująca pandemia oraz praca zdalna. Po drugie, rozwój technologii i digitalizacja. W internecie można po prostu okraść znacznie większą liczbę osób. Mimo że na co dzień korzystamy z innowacji i załatwiamy większość spraw przez internet, to świadomość na temat wiążących się z tym zagrożeń, wciąż jest relatywnie mała. Wśród nowych narzędzi cyberprzestępczości, które dotyka szczególnie firmy, jest np. złośliwe oprogramowanie ransomware. Tego typu atak polega na zaszyfrowaniu danych w celu otrzymania okupu za ich ponowne odzyskanie – komentuje Maciej Pawlak, Head of Risk & Security u operatora płatności Tpay.

Wśród prezesów największych światowych organizacji aż 80 proc.[2] zdaje sobie sprawę z tego, iż cyberataki są jednym z największych zagrożeń dla rozwoju ich biznesu. Jak się jednak okazuje, firmy deklarują, że na cyberbezpieczeństwo przeznaczają średnio zaledwie 3 proc. swojego całkowitego budżetu IT[3]. Nie należy się łudzić, że w najbliższym czasie działania cyberprzestępcze zmaleją lub całkowicie ustaną, dlatego tak kluczowe jest odpowiednie zabezpieczenie przedsiębiorców.

Jak powinien się bronić e-handel?

Przygotowanie odpowiedniej strategii bezpieczeństwa i dostosowanie jej do zmieniających się warunków, tj. ewolucji metod działań cyberprzestępców, to z perspektywy właściciela biznesu kluczowe działanie, pozwalające zmaksymalizować bezpieczeństwo. Niestety, wzrost popularności transakcji bezgotówkowych przyciąga cyberprzestępców – tylko w kilku pierwszych miesiącach 2021 r. straty spowodowane przez oszustwa w e-handlu zostały oszacowane na 20 miliardów dolarów, a co rok te koszty rosną o 18 proc. w ujęciu całościowym[4]. Z kolei w 2020 roku, na całym świecie aż 6 na 10 sprzedawców zgłosiło rosnące wskaźniki oszustw w handlu elektronicznym i zmaga się z rosnącymi oszustwami płatniczymi, które wpływają na przychody firmy[5].

W przypadku właścicieli e-sklepów, poza zwiększeniem wydatków na cyberbezpieczeństwo, bardzo istotna jest edukacja – zarówno wśród nich samych, jak i płatników.

– Tym, co musi zrobić e-sprzedawca, jest umieszczenie regulaminu sklepu w widocznym miejscu – zobowiązuje go do tego Ustawa o prawach konsumenta. Zwiększone zaufanie wzbudza także informacja o dostępnych metodach płatności oraz współpracy z operatorem płatności. Warto więc umieścić logo, link i nazwę operatora, z którego usług korzysta sklep. Przydatne są również wszelkie instrukcje i poradniki dotyczące procesu zakupowego, które ułatwią konsumentowi zakupy i zwiększą jego zaufanie do sklepu – dodaje Maciej Pawlak. 

W rozwoju platformy e-commerce i zapewnianiu bezpieczeństwa, prawdziwym „must have” dla właściciela e-sklepu jest zapewnienie klientom wygodnej i bezpiecznej opłaty za zakupy. Tu z pomocą i wsparciem przychodzi zaufany operator płatności.

– Operatorzy płatności odpowiedni poziom ochrony zapewniają poprzez certyfikaty, jak chociażby PCI DSS (Payment Card Industry Data Security Standard), który jest potwierdzeniem spełniania norm wymaganych przez instytucje płatnicze VISA i MasterCard do dostarczania płatności kartami. Ponadto w przypadku operatora niezbędne jest uzyskanie licencji płatniczej Komisji Nadzoru Finansowego –  posiadanie jej oznacza przestrzeganie rygorystycznych przepisów i podleganie stałemu nadzorowi – mówi Maciej Pawlak.

[1] Raport Accenture, State of Cyber Resilience 2021

[2] PwC, 21th CEO Survey

[3] PwC, Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście

[4] Juniper Research, Online Payment Fraud: emerging threats, segment analysis & market Forecasts 2021-2025

[5] Fidelity National Information Services report