Mindenki a webáruházak marketingjéről beszél, arról, hogy hogyan legyünk sikeresek, hogyan adjunk el még többet, hogyan konvertáljunk minél több látogatót vevővé, stb. Ezek mind nagyon nagyon fontos dolgok, de egy valami mellett szinte mindenki mindig elsiklik. Ez pedig a BIZTONSÁG!
Amennyiben valaki normál áruházat nyit, szinte egyértelmű a biztonság. A legtöbb áruházban van kamera, vagy éppen lopásérzékelő kapuk, tehát sokszor nem is egy biztonságtechnikai berendezés védi az eladót a rosszindulatú vásárlóktól! Miért gondolnánk, hogy a neten ez másképp van? Sőt sajnos a neten talán még jobban ki vagyunk téve veszélynek.
Mert ameddig egy hagyományos boltban 1-1 árucikk tűnik el, addig a neten eltűnhet a teljes boltunk is! Természetesen fizikailag az áruk meglesznek, de elképzelhető, hogy eltűnik a felhasználói adatbázisunk, vagy éppen illetéktelenek kezébe kerül akár anélkül is, hogy mi tudnánk róla! De ha nem is adatlopásról beszélünk, akkor is van lehetőség bőven kárt okozni egy webáruházban!
Ki lehet potenciális veszélyforrás? Tulajdonképpen bárki, képtelenség megkülönböztetni azt a felhasználót aki nem csak rendelés miatt jelentkezik be a webáruházba, attól aki rombolni szeretne.
Mire kell figyelnünk pl.:
- Az ügyfélbizalom megszerzése és megtartása
- Adatkiszivárgás, adatvesztés megakadályozása (közvetett anyagi kár)
- Szolgáltatás fennakadás (közvetlen anyagi kár)
Kinek a felelőssége? Kiindulhatunk abból, hogy hibátlan munka nincsen, még a legjobb szoftverek forráskódjában is átlagosan 1000 soronként van egy hiba, egy webshop szoftver pedig ennél jóval komplikáltabb rendszer, vagyis legalább 10-20 hibával kell számolnunk. Ezen hibák egy része természetesen nem olyan helyen van amelyik biztonsági kockázatot jelent, de lehetnek közte olyanok is, ami igen! Így az ilyen hibákért nem feltétlenül az adott fejlesztők hibáztathatóak.
Sok esetben például a kódot nem is egy ember fejleszti, így lehet hogy emiatt kerül bele hiba, sok webáruház úgy készül el, hogy a fejlesztők open source vagy idegen kódot is felhasználnak benne, emiatt lehet hogy nem az adott fejlesztő hibázott, hanem az open source kódot előállító személy.
Annyiben viszont a fejlesztő cég felelőssége, hogy erről általában nem tájékoztatja a megrendelőt, vagyis arról nem, hogy az elkészült áruházat célszerű biztonsági elemzésnek is alávetni, de ez sajnos a köztudatban sem nagyon van benne.
Manapság már szerencsére automatikus, hogy webáruház fejlesztése után a cégek keresőoptimalizálással és keresőhirdetéssel próbálják meg felfuttatni az áruházat. Nagyon remélem, hogy hamarosan ugyanennyire automatikus lesz a biztonsági elemzés készítése is.
Miért egyre fontosabb a biztonsági elemzés?
A webshop egyre inkább egy komplett informatikia rendszer, nagyon sokszor nem önmagában álló egység, hanem a hatékonyság növelésének érdekében egyre inkább integráltá válik a cég belső rendszereivel, tehát egy hacker szempontjából potenciális bejutási felület lehet a cég belső informatikai rendszerébe!
Mi a célja a támadásoknak?
Sok esetben a támadás nem is kifejezetten az adott oldalra irányul és az adott oldal tulajdonosai ellen szól, sokszor a támadás hobbiból történik és célja az, hogy az oldal egy kártékony kódot terjesszen tovább. Sokszor csak azért kerül hackerek hatalmába egy szerver, hogy minél nagyobb általuk uralt (un. zombi hálózat) hálózatot hozzanak létre, amellyel más weboldalt támadnak. Az okok sokfélék lehetnek, ugyanakkor a kellemetlenség a mienk.
Elég egyszer?
Sajnos nem! A biztonsági elemzés folyamtos tevékenység, hiszen az oldal is folyamatosan változik. Minden egyes új modul egy potenciális veszélyforrás lehet, tehát a biztonságra is folyamatosan célszerű odafigyelni.
Konklúzió
Figyeljünk folyamtosan a biztonságra és a webshop minden komponensére, hiába védjük a tárhelyet a legmodernebb eszközökkel, ha az oldal kódja tele van hibával és hiába van jól megírva az oldal kódja, ha a szervert pár órás előképzettséggel már fel lehet törni.
Vegyük figyelmbe, hogy az alacsony biztonsági szint (nem feltétlenül olcsó rendszert jelent), az mindig magas üzleti kockázattal jár! Kiemelten fontos, hogy a változások is követve legyenek.
Fontos még, hogy nem kell különösebb ok, hogy valaki a támadások célpontjává válljon, nem kell senkinek sem keresztbe tenni ahhoz, hogy egy elégedetlen alkalmazott kárt okozzon, mert a neten nagyon sok önjelölt hacker tartózkodik, akik csak pusztán a hatalomvágy miatt képesek kárt okozni bárkinek.
Mindig jusson eszünkbe, hogy a biztonság nem felesleges költség!
Köszönet a szemlélet formáló előadás és anyagok miatt a Silent Signal Kft.-nek!
