Cyber Risk, czyli o bezpieczeństwie w e-sklepie
- Dlaczego nie mając powierzchni wystawienniczej i showroom’ów możemy być okradzeni?
- Co, oprócz bezpieczeństwa transakcji, powinniśmy chronić, żeby nie ponieść szkód w biznesie?
- Przed czym chronią ubezpieczenia Cyber Risk?
Wartość światowego handlu w sieci w 2019 r. ciągle rośnie. Według danych z Digital Market Outlook Statista rynek e-commerce wzrósł w ciągu 2018 r. o 16%. W Polsce przekroczenie wolumenu 60 mld PLN estymowane jest na 2020 r., a tylko 9% internautów robi zakupy w sieci (w Wielkiej Brytanii 20%). To bez wątpienia powód do zadowolenia dla uczestników rynku, dane wręcz zachęcają do większej ekspansji. Tylko czy wszystko idzie po naszej myśli? Czy ryzyko działalności związane jest tylko z koniunkturą na rynku, a więc e-commerce skazany jest na sukces? Czy coś może zaburzyć dynamiczny rozwój naszego e-biznesu?
Czy prowadząc sklep internetowy można czuć się bezpiecznie?
W internecie możemy zaoferować i sprzedać prawie wszystko. Wiele towarów może nawet nigdy nie przeszło przez ręce sprzedawcy, tylko od razu znalazło się u kupującego. Początkujący sprzedawca może uznać, że praktycznie niczym nie ryzykuje. Jeśli ograniczy stany magazynowe do minimum, a na początek będzie sprzedawał tylko towar wcześniej zamówiony przez kupującego i nie będzie przyjmował gotówki, to co złego może go spotkać? Gdzie zatem ryzyko?
Pomimo że ryzyka nie widać „gołym okiem” jest ono wokół nas. Weszliśmy w przestrzeń cybernetyczną, w której wartością nie muszą być przedmioty, którymi handlujemy. Może się też okazać, że zostaniemy zaatakowani niejako przy okazji, ponieważ złośliwe oprogramowanie paraliżuje wszystko jak leci, bez znaczenia, jaką funkcję pełni dany komputer.
W przypadku zagrożeń cybernetycznych pojęcie ryzyka ma znaczenie globalne, ponieważ zakres terytorialny działania jest trudny do przewidzenia, a samo ryzyko szkody oceniamy w kategoriach – nie czy szkoda wystąpi – tylko kiedy.
O „globalnym” ryzyku przekonaliśmy się także w Polsce. W czerwcu 2017 r. oprogramowanie szantażujące (ransomware) znane jako Petya, zatrzymało działalność spółki Inter Cars SA na prawie 4 dni (po tym czasie przywrócono podstawową sprawność systemów). W liście do rynku zarząd spółki napisał: „To, co się wydarzyło, na długo pozostanie dla nas lekcją, z której będziemy wyciągali wnioski na przyszłość”.
Miesiąc wcześniej ransomware o nazwie WannaCry zainfekował ponad 300 tys. komputerów w prawie 100 krajach. Szkody wynikające głównie z przerwy w działalności i naprawy sprzętu wyniosły 8 mld dolarów. Wśród ofiar znalazły się m.in.: ministerstwa w Chinach i w Rosji, uczelnie, spółki telekomunikacyjne (rosyjski Megafon, hiszpańska Telefonica, Portugal Telecom), producenci samochodów (Renault, Nissan), przewoźnicy i kurierzy (Frankfurt Sbahn, Deutsche Bahn, Fedex). Okazało się, że do zablokowania komputera wystarczyło otwarcie zainfekowanego załącznika, np. faktury. Zadam teraz dwa pytania: Czy zdarza się nam nie sprawdzić dokładnie, z jakiego adresu otrzymaliśmy e-mail? Czy otwieramy wszystkie załączniki? Jeśli choć raz odpowiedź brzmi „tak”, to mamy wielkie szczęście, że żaden ransomware nie miał nas po drodze.
Tylko duże sklepy internetowe narażone są na zagrożenie atakiem hackerskim?
Istnieje powszechne przekonanie, że celem hackerów są tylko duże firmy. Po co komu włamywać się do sklepu XYZ, jeśli na klawiaturze można w tym samym czasie wybrać jakiś bank? W przypadku dużych, globalnych ataków ransomware bardzo szybko roznoszą się informacje o skali ataku i poszkodowanych dużych spółkach, ponieważ o małych nie trzeba się martwić. Gdy ofiarami są firmy znane, to kto napisze o zablokowanym komputerze w małej firmie. O tym, że nie tylko duże spółki mogą być atakowane przez hackerów, przekonała się drukarnia z Międzychodu (woj. wielkopolskie). W 2016 r. pracownik drukarni kliknął link do faktury zawarty w fałszywym e-mailu od „sieci komórkowej”. Cryptolocker wykradł i zablokował 20-letnie archiwum, a właściciele zastanawiali się nad zamknięciem firmy. Na szczęście informatykom udało się opanować sytuację.
Zupełnie inny cel ataku mieli hackerzy, którzy przejęli dane klientów internetowego sklepu jubilerskiego z Lublina. W 2017 r. klienci sklepu otrzymywali mail następującej treści:
„Dzien dobry. Kontakt do klientow dostalismy od serwisu savicki.pl .Przesledziliśmy wasze konta facebook, jak i dane dostępne w internecie. Wiekszosc przedmiotow to kolczyki, pierscionki zareczynowe lub inne rzeczy które nie zawsze maja trafic do zony a np kochanki. Rowniez pierscionki zareczynowe to efekt zaskoczenia. My ten efekt zepsujemy jesli nam nie zaplacicie. Mamy pelne informacje zamowienia, godzine,date,email, numer telefonu, adres. Te dane pomogly nam zebrac informacje które umozliwia poinformowanie bliskich osob. Jesli nie chcesz zeby ktos z rodziny dowiedzial sie o zakupie przeslij nam 1/5 wartosci przedmiotu na ponizszy adres bitcoin. (…) Jesli zaplaciles, odpisz na tego maila i nas poinformuj a wykreslimy Cie z listy. Za 5 dni bedziemy informowac osoby ktore uwazamy za potencjalnie zainteresowane.”1 (treść oryginalna).
Nie wiemy, czy atak był skierowany na jubilera, czy hackerzy pozyskali dane niejako przypadkiem i potem wymyślili scenariusz, w którym je wykorzystali. Faktem jest, że właściciel sklepu miał spory problem z wiarygodnością i utratą wizerunku.
Wykorzystałeś swój limit bezpłatnych treści
Pozostałe 69% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.