Sigurnost i zaštita u skladu sa PCI DSS standardom

Same tehnike napada neprestano se nadopunjuju i nadograđuju, dok su ciljevi najčešće krađa ličnih i povjerljivih podataka, akreditivi, pronevjera sredstava, izvršenje napada iznude, rudarenje kriptovaluta ili oštećenje ugleda. Npr, u slučajevima krađe finansijskih podataka (Magecart).

Napadači obično instaliraju zlonamjerni kod na web stranici i na taj način presreću unesene podatke o kreditnoj kartici, koji se kasnije zloupotrebljavaju na drugim mjestima ili prodaju na tzv. - Dark web (Tamna mreža).

Cyber napadi

Teško je govoriti o trendovima sve većih napada, jer je to složen fenomen. Neki stručnjaci navode da se učestalost cyber napada mjeri u sekundama. Naravno, napadi se ne mogu izjednačiti s uspješnim upadima u web aplikacije. Dodatni problem u prikupljanju podataka takođe su uspješni upadi koji se ne otkrivaju ili nisu javno objavljeni.

Prema nekim izvještajima, broj napada povećao se za 67% u posljednjih nekoliko godina. Takođe uočavamo da se s pojavom COVID-a povećala i upotreba interneta i shodno tome, ukupan broj otkrivenih ranjivosti i s njima povezanih napada.

Najčešće ranjivosti

Povezane su s nepravilnim filtriranjem korisničkih unosa, održavanjem korisničke sesije i izvršavanjem autorizacije. Prema našem iskustvu, svaka deseta aplikacija sadrži i dobro poznatu SQL injekciju. Posljedice napada kupci često osjećaju kao krađu podataka o platnim karticama, lozinki i ličnih podataka. Ako osoba koristi iste lozinke na drugim internetskim uslugama, to takođe može dovesti do daljnjih napada i zloupotrebe ličnih podataka. S druge strane, takvi napadi ili upadi u internetske trgovine predstavljaju gubitak reputacije, loše korisničko iskustvo i na kraju, ali ne manje važno, nepovjerenje u internetske usluge, a time i poslovnu štetu.

Administratori internetskih trgovina na nivou procesa mogu postaviti siguran ciklus razvoja softvera, koji obično uključuje obuku o tehnikama sigurnog programiranja i dobru praksu, izvođenje analize arhitektonskog rizika prije programiranja, korišćenje alata za statičku i dinamičku analizu izvora i na kraju ispitivanje funkcionalnosti sranice prije puštanja u rad. Istovremeno, potrebno je biti svjestan da se uključivanjem sigurnosti internetskih trgovina treba baviti sveobuhvatno. Web aplikacija ili internetska trgovina mogu se hostovati na serveru koji ima najnapredniju zaštitu, što se naravno i preporučuje.

Iznad svega, željeli bismo naglasiti da se zaštitom internetskih trgovina treba baviti sveobuhvatno. Savjetujemo da redovno ažurirate infrastrukturu servera, ažuriraju sve komponente internetske trgovine i sprovode polugodišnje sigurnosne provjere.