Frecvența auditului de securitate
Multe magazine online presupun că sistemele lor sunt sigure, dar acest lucru este dificil de știut fără a efectua periodic audituri aprofundate ale securității magazinului online.
Auditurile de securitate sunt complexe, consumă timp și apoi datele trebuie interpretate și aplicate măsuri de corecție acolo unde este necesar. Totuși, fără un audit de securitate nu poate fi stabilit gradul de siguranță a datelor unui magazin online.
Auditul de rutină
Un audit de rutină este o metodă automată pentru a efectua activități de audit și cu implicații minimale din partea unui specialist în securitate cibernetică. Se realizează cu o frecvență ridicată și poate fi un scenariu de testare cu software-uri externe în funcție de tipul de informații deținute, complexitatea magazinului online, procesele interne de procesare a comenzilor și interacțiunea cu clienții.
Cât de des trebuie managerii IT să efectueze audituri de rutină? Decizia cu privire la momentul efectuării unui audit de rutină este de regulă decizia managerului IT. Ar putea alege să le efectueze lunar, trimestrial sau bi-anual. Cu toate acestea, se recomandă ca aceste audituri să fie efectuate cel puțin de două ori pe an și de regulă au loc:
- după o actualizare a platformei de e-commerce sau a unui modul instalat pe site
- după dezvoltarea unei componente noi (ex: integrarea unui procesator de plăți, dezvoltarea unui sistem de calcul al prețului transportului etc.)
În unele firme sunt disponibile și soluții un pic mai avansate de auditare automată a componentelor software cu ajutorul unor aplicații precum RIPS sau NESSUS.
Sunt companii care evită din rațiuni financiare acest tip de audit și preferă să testeze magazinul online din punct de vedere al unui vizitator pe site, prin analiza navigării în website, astfel încât să nu existe pagini de eroare în procesul de achiziție, analiza disponibilității platformei de e-commerce precum și multe alte scenarii de navigare automată cu ajutorul boților ce pot fi realizate cu ușurință folosind un software numit Pingdom. Pingdom însă rezolvă numai problema disponibilității platformei online, nu și a calității conținutului (ex: dacă cumva a fost modificat un preț).
Ideal ar fi ca auditurile de rutină să fie conduse de către o persoană specializată în securitate cibernetică, nu de către dezvoltatori web, și să intervină dincolo de testele automate și cu o testare manuală a punctelor critice din arhitectura magazinului online.
Auditul complet
Un audit complet folosește tehnologia avansată și are scopul de a analiza fiecare componentă ce face parte din ecosistemul site-ului, plecând de la resursa umană și modul în care sunt gestionate datele confidențiale, până la resursele software sau hardware. Acest audit ar trebui realizat anual, însă tendința companiilor este de a realiza aceste audituri numai când a fost detectat un incident de securitate prin care a fost afectată integritatea și disponibilitatea datelor confidențiale.
În termeni populari, în loc să fie realizat proactiv, acest audit este realizat numai după ce a fost hackuit site-ul, 😊 ceea ce este greșit. Momentul în care informațiile obținute de către un magazin online au fost compromise este mult prea târziu pentru mai putea acționa în scop de prevenire, astfel că lipsa investiției la timp în cybersecurity poate costa enorm odată ce atacatorul a avut acces la date confidențiale.
Acest tip de audit asigură partenerii magazinului online și clienții acestuia că toate datele sunt în siguranță și procesul de achiziție se va putea desfășura în condiții optime.
Cine ar trebui să realizeze auditul de securitate al unui magazin online?
În funcție de arhitectura software și nivelul de confidențialitate al informațiilor, auditul poate fi realizat fie de către o echipă de securitate din cadrul departamentului IT al magazinului online, fie de către o companie specializată, externă. Cea mai bună opțiune este, cel mai probabil, o combinație între cele două.
Ce software este disponibil pentru auditul de securitate al unui magazin online?
Există câteva zeci de programe populare de auditare, toate aducând o abundență de informații utile pentru a îmbunătăți securitatea magazinului online. Totuși, rezultatele sunt greu de interpretat de către o persoană non tehnică, iar aici intervine colaborarea dintre departamentul IT al magazinului online, echipa de dezvoltare web și echipa de audit.
Pot fi identificate potențiale vulnerabilități ale unui magazin online folosind tehnologii precum Rips, Fortify HP, Nessus sau chiar Acunetix, toate acestea fiind soluții suficient de scumpe încât să te convingă să profiți la maxim de ele.
Nu există încă o baghetă magică prin care să apăsăm un simplu “scan” și o aplicație să identifice toate zonele de risc ale unui magazin online. Cum spuneam și mai sus, este obligatorie și intervenția umană dar nu numai pentru a interpreta rezultatele, ci și pentru a încerca să identifice manual componente vulnerabile la toată suita de atacuri posibile.
Exemplu de vulnerabilitate ce nu poate fi identificată cu ajutorul aplicațiilor de testare automată
În istoria e-commerce-ului au apărut foarte multe platforme open source de tip CMS ce permit dezvoltatorilor web să creeze un magazin online plecând de la componente predefinite. Aici discutăm de CMS-uri de top precum Prestashop, OpenCart, Magento, Woocommerce până la platforme mai puțin utilizate precum Drupal sau Joomla.
Recent am văzut un site care permitea accesarea link-urilor de confirmare a comenzii chiar și după ce clientul ieșea de pe site iar în pagina respectivă erau informațiile de livrare și produsele achiziționate. Până aici nu este nimic suspect și decizia de business de a afișa informațiile înainte să apeși pe butonul de finalizare a comenzii este corectă, aceasta fiind chiar o recomandare de UX. Problema intervenea la modul în care erau construite paginile de coș, acestea având ID-ul scris în text clar, necriptat, fără un timestamp, un hash ceva în URL, iar atacatorul avea o sarcină foarte ușoară de a schimba ID-ul din URL și să identifice comenzile altor clienți unde putea să vadă adresa de livrare, telefon, nume și prenume. Acest tip de vulnerabilitate nu poate fi identificată prin tool-uri de scanare automată pentru că platforma funcționa în modul în care a fost proiectată, și funcționa corect.
În același timp există și platforme de tip SaaS, precum Shopify, Gomag, Blugento, MerchantPro, unde administratorul magazinului online are drepturi limitate în a face modificări astfel încât componenta majoră de securitate este adresată administratorilor platformei. Aici lucrurile sunt mult mai ușoare pentru că, dacă exista o vulnerabilitate ce ar putea fi exploatată pe o plajă foarte mare de magazine online și este raportată administratorilor platformelor, update-urile de securitate ar fi instalare forțat pe toate magazinele online, spre deosebire de CMS-urile open source unde dezvoltatorii web trebuie să facă update-urile manual (în majoritatea cazurilor).
Concluzie
Indiferent cine a construit magazinul online, dacă este sau nu open source, dacă are o echipă de dezvoltatori ce se ocupă de mentenanța sau dacă serviciile sunt externalizate, auditurile de securitate care să aibă la bază cele mai comune vulnerabilități ar trebui desfășurate cel puțin de două ori pe an, iar un audit complet de securitate ar trebui desfășurat anual.
Există conferințe anuale precum HackTheZone sau DefCamp ce oferă posibilitatea specialiștilor IT să intre în contact cu companii de top din domeniul securității cibernetice, dar și cu companii la început de drum sau consultanți independenți.
Față de alte servicii ce vizează piața de e-commerce, securitatea cibernetică este o nișă unde trebuie să ai o relație de încredere cu auditorul, să îl cunoști, să aliniezi direcția de business cu viziunea asupra auditurilor ce urmează a fi desfășurate. Cred lucrul acesta pentru că, dacă ne uităm la majoritatea componentelor din ecosistemul e-commerce-ului, acestea pot fi măsurate, pot fi identificate rezultate imediate sau într-un timp foarte scurt. În schimb, pe nișa securității cibernetice un raport de audit și recomandările ulterioare nu garantează că site-ul este bullet proof. Sunt de părere că orice site este vulnerabil și faptul că nu a fost identificată o vulnerabilitate nu înseamnă că ea nu există, ci nu a fost identificată de către auditor, însă poate fi identificată și exploatată de către un atacator.
Cristian Iosub
Digital Platforms Manager Conversion Marketing
Cristian Iosub este Digital Platforms Manager la Conversion și are o experiență de peste 15 ani în dezvoltare software si auditor pentru sistemul de management al securității informației. Cu numeroase proiecte la activ, Cristian a coordonat și a dezvoltat software pentru peste 100 de clienți internationali din domenii precum eCommerce, Banking și Retail.
Pe lângă proiectele pe care le coordonează, Cristian administrează principalele platforme dezvoltate de Conversion. Mai exact: Profitshare, platforma de marketing afiliat cu cele mai mari vânzări din România, Conectoo, platforma de email marketing, prin care se trimit lunar in inbox peste 150.000.000 emailuri si CookieBox, platforma de management a cookie-urilor.
Nu rata seria de articole cu conținut #CraftedToInspire semnate de specialiști în eCommerce și Digital Marketing, abonează-te la Newsletter-ul GPeC!