TÉMATA A VÝZVY, JIMŽ ČELÍ PROVOZOVATELÉ E-COMMERCE, KTEŘÍ TO S PODNIKÁNÍM MYSLÍ VÁŽNĚ

Kybernetická bezpečnost se začíná objevovat už i v titulcích bulvárních novin, samozřejmě vedle všudypřítomné AI. Není den, aby nebyly v médiích katastrofické zprávy, jak podvodný e-shop nebo falešný bankéř okradl nic netušícího spořádaného občana. Jak se má v této záplavě informací orientovat provozovatel středně velkého e-shopu, který řeší kromě stovek objednávek i vlastní skladovou logistiku nebo zákaznický servis a současně se snaží o pravidelný růst? Zkusili jsme se na tuto problematiku podívat očima firmy, která uvažuje o novém e-commerce řešení nebo inovaci svého současného e-shopu.

Pokud na toto téma povedete konverzaci s různými modely AI, dostanete při dotazu na možné kybernetické a IT hrozby zhruba následující seznam:

• Legislativa – Všechna možná nařízení o ochraně osobních dat či platebních údajů, NIS2 a spousta jiných zkratek, kterými se IT snaží ohromit zbytek světa.
  Osobně se v e-commerce pohybuji už 30 let a už jsem toho zažil opravdu hodně. Ale kdyby na mě vypadl tento seznam, a k tomu bych si přečetl studii světové bezpečnostní agentury o tom, že nějaký bezpečnostní problém už mělo 92 procent ze všech zkoumaných e-shopů na celém světě, tak bych možná změnil obor a raději se věnoval něčemu jinému. Ale pro ty, kteří to vzdát nechtějí, jsme ve Sprinxu dali dohromady několik doporučení, jak se k bezpečnosti postavit pragmaticky.
• Malware – Představuje škodlivý software, viry či spyware, který může napadnout jak vlastní e-shop, tak i počítač jeho správce. Nejčastěji se setkáváme s tím, že se útočníkům podaří vložit do webové stránky nějaký škodlivý program, a ten se pak šíří dál.
• Útoky typu DDoS a boti – Přetížení serverů DDoS útokem, tedy velkým množstvím falešného provozu, vede k tomu, že e-shop přestane odpovídat legitimním zákazníkům. Ve světě internetu jde o běžný jev, vzpomeňme na e-shop na dálniční známky nebo systém pro přijímačky na střední školy. Boti jsou automatické programy, které se snaží ukrást citlivá data, třeba uživatelská hesla.
• Sociální inženýrství – Manipulace zaměstnanců sofistikovanými psychickými metodami, s cílem přesvědčit je, aby sdíleli citlivá data nebo provedli nějaké nestandardní operace. Každý už asi slyšel o tom, že se vzdělaná žena po e-mailu zamilovala do perského prince a poslala mu všechny svoje úspory.
• Finanční podvody – Jedná se o zneužití odcizených uživatelských hesel nebo platebních údajů k nákupům na cizí účet. Důkazní břemeno je pak na provozovateli e-shopu, který musí poskytnout součinnost i všechny své záznamy vyšetřujícím orgánům.
• Útoky na platformu e-shopu – Zneužití chyb v používaných e-commerce platformách a doplňcích třetích stran, kterými si vývojáři velmi rádi usnadňují práci, nebo odhalení chyb v API, přes které se mezi systémy vyměňují data.
• Digital skimming – Speciální případ technického útoku na e-commerce platformu, kdy útočník během transakcí krade data o platebních kartách. Jde většinou o problém velkých e-shopů s tisíci transakcí denně a desítkami dodavatelů, ale už se s ním setkáváme i v Česku.

Doporučení č. 1- Zcela bezpečný systém neexistuje

Smiřte se s tím, že jediný software, který nikdo nikdy nemůže hacknout, je ten na vypnutém počítači – který není ani zapojený v elektřině. Ve všech ostatních systémech se nějaká chyba nachází, a je jenom otázkou času, než se projeví. Soustřeďte se raději na to, jak co nejdříve zjistit, že k nějakému problému došlo, a rozmyslete si, jak budete v takovém případě reagovat a kdo ve firmě bude za jaký krok zodpovědný.

Doporučení č. 2 – Bezpečnost jde dělat chytře

Nesnažte se dosáhnout maximální bezpečnosti počítačových systémů. Podle nás je třeba najít rozumnou rovnováhu mezi investicemi a business přínosem. Pokud mi e-shop generuje obrat v řádech jednotek milionů korun, s průměrnou hrubou marží 300 tisíc, měla by být dostačující investice do zabezpečení na úrovni kolem 5 procent z hrubé marže. Také se budu jinak chovat k výpadku systému, který každou sekundu přijme objednávku, než k systému, který může mít výpadek dva dny a v měsíčním výkonu to ani nepoznáte.

Doporučení č. 3 – Otevřená komunikace je zásadní pro udržení důvěry a reputace

Když k nějakému problému dojde, chovejte se a komunikujte transparentně. Reputaci vaší firmy to v delším horizontu jenom pomůže. Nejen naše zkušenost ukazuje, že je pro vás, vaše zákazníky i partnery přínosnější a důvěryhodnější v případě nějakého výpadku napsat na firemní web nebo facebookový profil, že systémy nefungují a že usilovně pracujete na opravě. Než abyste zákazníkům tvrdili, že je všechno v pořádku a že jim určitě jen nefunguje internet.

Doporučení č. 4 – Bezpečnost je také o dodavatelích 

Možná jste zaregistrovali, že parlamentem prošel nový zákon o kybernetické bezpečnosti (napsaný podle evropské směrnice NIS2), který se týká velkého množství subjektů. Ve Sprinxu považujeme za jeden z pozitivních přínosů této regulace fakt, že nutí firmy zahrnout do svých úvah o bezpečnosti nejen sebe, ale také celý svůj dodavatelský řetězec. Je třeba hodnotit své obchodní partnery a při jejich výběru se dívat i na míru jejich připravenosti na řešení bezpečnostních problémů. Pro mě osobně je zajímavý také větší tlak na odpovědnost vedení firem za zavádění bezpečnostních opatření. Toto téma je natolik důležité, že se mu více věnujeme také v připravovaném vydání našeho magazínu The Doers.

Doporučení č. 5 – Bezpečnost lze outsourcovat

Menší i středně velká firma, resp. firma, která nemá možnost nebo nechce řešit komplexní otázku kyberbezpečnosti interně, může většinu svých bezpečnostních potřeb vyřešit outsourcingem. Najde si partnera, který jí s řešením bezpečnosti pomůže a na kterého se bude moci spolehnout i v případě, kdy dojde k nějakému problému.

I díky tomu, že takoví partneři existují, mají podnikatelé možnost úspěšně čelit dnešním kybernetickým hrozbám a oblast e-commerce neopouštějí.

Jiří Čáp

Sprinx Systems