Интернет-магазинами сегодня не пользуется разве что тот, кто живет в землянке в глухом лесу, где нет даже мобильного интернета. Поэтому и появляются новые участники рынка Интернет-торговли, как грибы после дождя. К сожалению, они не всегда могут похвастаться не только хорошим сервисом, но и безопасностью для конечного покупателя. Почему это так и как решить эту проблему?
Что такое безопасность в случае интернет-магазина?
Безопасность клиентов онлайнового магазина – прежде всего, это безопасность персональных данных и платежей покупателей. Необходимо сразу оговориться, что спектр решений, применяемых в интернет-магазинах, прямо пропорционален величине самого магазина. Обычно небольшие и средних размеров магазины предпочитают сами не работать с платежами клиентов, передавая эти данные на аутсорсинг. Или же вовсе отказываются от платежей через интернет, в этом случае оплата доставки производится наличными курьеру магазина. При этом ответственности за сохранение конфиденциальных данных их клиентов таким магазинам нести не приходится.
Для больших же интернет-магазинов меры по обеспечению безопасности клиентов можно назвать одной из самых насущных забот. Базовые методы, применяемые для обеспечения такой безопасности – прием информации от клиента через защищенный канал (HTTPS), а также постоянное обновление "движка" для того, чтобы устранить найденные сотрудниками компании уязвимости, также хранить платежные данные необходимо в зашифрованном виде. Правда, насколько массово применяются эти методы, пока судить тяжело, ведь больших исследований по данному вопросу не проводилось. Однако в целом все онлайновые магазины, которые сейчас находятся "на слуху", используют данные меры безопасности для защиты конфиденциальной информации своих клиентов.
Более "продвинутыми" методами можно назвать контроль за защищенностью клиентских данных с помощью DLP-систем, которые сегодня часто используют другие компании. Такие методы часто недоступны онлайн-ритейлерам, потому что в Интернет-магазинах обычно большое количество персонала работает удаленно, а сама защита при помощи таких систем зачастую стоит довольно дорого. Низкие штрафы, которые сегодня выдают за утечки персональной информации клиентов, делают использование столь дорогостоящих систем в Интернет-торговле невыгодным. Но, поскольку DLP-системы могут позволить не только не бояться утечек, но и находить другой вред, который может наноситься сотрудниками магазина, то иногда большие интернет-магазины все же внедряют их.
Почему магазины небезопасны?
Главная причина проблем в сфере безопасности Интернет-торговли – экономическая. Компании обычно не хотят вкладывать деньги в защиту конфиденциальной информации покупателей, потому что, в отличие от рекламы или от расширения ассортимента, защита информации не приводит к заметному росту продаж и росту прибыли онлайнового магазина. Последствия утечки данных для магазина "среднего уровня" обычно не очень велики, ведь штрафы небольшие, при этом репутация у таких компаний не находится на первом месте в списке их приоритетов.
Если же говорить именно о технических моментах, тогда массовой проблемой можно называть применение старых версий CMS, в них наблюдается большое количество уязвимостей, хорошо знакомых злоумышленникам. На втором же месте разместилось хранение платежной информации в базе данных, причем хранение в незашифрованном виде – и в итоге любой несанкционированный доступ к ней может обернуться катастрофой. Всё это случается благодаря желанию онлайн-ритейлеров сэкономить на техническом персонале, а также благодаря не очень глубоким техническим познаниям администраторов и обладателей таких Интернет-ресурсов.
Угрозы и защита
Для того, кто хочет защитить своих покупателей, есть хорошая новость. Средства защиты в настоящее время полностью соответствуют уровню угроз. Каждый владелец Интернет-магазина сегодня легко может обратиться к компании-специалисту, которая сможет обеспечить безопасность его Интернет-ресурса – начиная с полного ИБ-аудита, заканчивая созданием надежной системы безопасности. Однако маленькие интернет-магазины, коих сегодня большинство, обычно стараются максимизировать прибыль с помощью отказа от большинства "лишних" издержек, куда входят и расходы на обеспечение ИБ. Это один из серьезных аргументов в пользу того, чтобы приобретать товары в больших и известных онлайновых магазинах, дорожащих своей репутацией.
Очень серьезной проблемой даже для больших интернет-магазинов можно назвать фишинг – речь идет о маскирующихся под такие магазины сайтах мошенников, собирающих персональную информацию пользователей. Также очень распространены сегодня и мошеннические рассылки от имени самых больших и известных онлайн-магазинов. Лучшее оружие магазина в данном случае – информация. Нужно как можно чаще предупреждать клиентов, просить их быть как можно более внимательными и осторожными в интернете со своими личными данными.
Из жизни магазинов
За примерами, причем из жизни именно украинских интернет-магазинов, далеко ходить не нужно. Правда, вряд ли это можно считать хорошим знаком – но, во всяком случае, с их помощью можно попробовать научиться на чужих ошибках. Все ситуации ниже взяты из опыта клиентов компании SearchInform.
Один из киевских интернет-магазинов обнаружил, что у него заметно снизилось число повторных покупок от клиентов, которым ежемесячно высылались письма с предложениями скидок. После нескольких попыток поменять дизайн и наполнение рассылки, руководство решило провести более глубокую проверку. Буквально сразу же выяснилось, что маркетолог, отвечавший за это мероприятие, менял в письмах ссылки на аналогичные товары в магазине своего знакомого, за что получал "откат". Общая сумма ущерба от действий работника оценена в несколько тысяч долларов, не считая ущерба для репутации магазина.
Другая компания, осуществляющая продажу торгового оборудования через свой сайт, неоднократно сталкивалась с различными неприятностями, начиная от внедрения на него зловредов, и заканчивая превышением трафика на сайт, предусмотренного тарифным планом, в несколько десятков раз (с соответствующим увеличением его оплаты). В ходе проверки выяснилось, что технический специалист, ответственный за разработку и поддержку сайта, передал всю работу фрилансерам, причем платил им за неё почти в три раза меньше, чем получал сам. У совершенно посторонних людей были все доступы к базе персональных данных клиентов, информации о заказах, складских остатках и т.д. Нет сомнений, что через какое-то время это обернулось бы крупными неприятностями.
В еще одной ситуации заместитель начальника отдела снабжения интернет-магазина, специализирующегося на бытовой технике, отказалась получать скидку у поставщика. Причина была довольно пикантна: дело в том, что эта заместитель состояла в романтических отношениях с представителем данной компании. Этот факт был установлен благодаря анализу личной переписки в Скайпе, после внедрения в магазине DLP-системы "Контур информационной безопасности". Потеря данной скидки в месяц обходилась компании примерно в 40 тысяч долларов.
Что можно сделать самому?
К счастью, даже если вы пока не имеете возможности обратиться к профессионалам для защиты своего интернет-магазина, можно повысить его безопасность самому. Для этого нужно придерживаться нескольких простых рекомендаций:
1. Не используйте взломанные версии платных "движков" сайтов, лучше заплатить несколько десятков долларов за лицензию, чем подставляться под внедряемые в такие "движки" вредоносные программы
2. Придумайте надежный пароль от панели администратора сайта, и не показывайте его никому
3. Если у вас нет навыков самостоятельной установки и настройки таких "движков", лучше воспользоваться одним из облачных сервисов для размещения своего магазина
4. Не заказывайте разработку и наполнение магазина фрилансерам без соответствующего опыта работы: здесь, в отличие от сайта-визитки, безопасность играет очень большую роль
5. Вовремя обновляйте "движок" своего магазина, когда получите уведомление о появлении обновлений
Конечно, это только азы, но они помогут вам поднять безопасность своей торговой точки на заметно более высокий уровень.
Никто не подсчитывал, сколько украинская Интернет-торговля теряет из-за халатного и небрежного отношения к безопасности своих покупателей. Показанные выше примеры говорят о том, что масштабы подобных потерь могут быть весьма и весьма впечатляющими, особенно для крупных операторов Интернет-торговли. Впрочем, конечно, окончательный выбор – всегда за самим магазином.