Matko Antun Bekavac koji radi u tvrtkama Hero Factory i CyberArrange Security Solutions bio je gost 79. epizode Nominisa, podcasta s ljudima na dobrom glasu, a na temu “Cyber security” govorilo se o najčešćim prijevarama na internetu, kako zaštiti svoj webshop i koji su najčešći propusti naših trgovaca.
Pogledajte cijelu epizodu:
U razgovoru s Marcelom Majsanom, voditeljem udruge eCommerce Hrvatska, Matko je uvodno pojasnio kako je ljudski faktor najčešći uzrok kibernetičkih ugroza u digitalnom okruženju pa samim time i eCommerce poslovanju.
“Zbog toga je potrebno pokloniti veliku pažnju edukaciji ljudi, što je jedan od glavnih naglasaka u djelovanju tvrtke Cyber Arrange pri čemu se provodi priprema ljudi za različite incidente, što uključuje i tehničko i menadžersko osoblje. Ključno je osposobiti ljude da se kibernetički napadi preveniraju, a ako se i dogode potrebno ih je opremiti odgovarajućim vještinama i alatima u odgovorima na te izazove”, rekao je Matko.
Prema njegovim riječima, broj kibernetičkih napada u zadnje vrijeme nije porastao, ali jeste sofisticiranost tih prijetnji te je danas sve lakše doći do znanja i alata kako napraviti nešto maliciozno na što je snažno utjecala i umjetna inteligencija.
Govoreći o NIS2 direktivi, rekao je kako je ta regulativa osmišljena na kvalitetan i proaktivan način s jasno propisanim procedurama osiguravajući jasno definirane korake kako se treba postupati u slučajevima ugroza kibernetičke sigurnosti.
Rekao je kako je od iznimne važnosti da se brzo reagira te da se o eventualnom upadu u sustav webshopa javi svima iz povezanog sustava, počevši s ERP operaterom, te da se koriste SSL certifikati u poslovanju kao i enkripcija u bazi podataka. Pritom je istaknuo kako se enkripcija podataka u sklopu WordPress platforme radi automatski, ali problem često zna postojati kod custom webshopova kod kojih takva enkripcija ne postoji.
Upozorio je kako je obavezno potrebno provoditi ažuriranje pluginova te da je aspekt sigurnosti bio jedan od glavnih motiva zašto se odlučio posvetiti razvoju webshopova na Shopify platformi.
Najčešći sigurnosni propusti kod domaćih webshopova
Kada je riječ o sigurnosnim propustima Matko je istaknuo kako je rijetko kod domaćih webshopova primijetio da koriste firewall, a veliki broj njih ima omogućene i bruteforce napade što podrazumijeva isprobavanje različitih šifri. Tako da staviti neku odgodu ili limitirati broj pokušaja upisa šifre već predstavlja “pola posla da se webshop učini sigurnijim”.
Prema njegovim riječima, najviše su izložene upravo male tvrtke u kojima se često negira postojanje problema te se gotovo slavodobitno naglašava kako takve poteškoće nikada nisu imali. “Problemi nas natjeraju da učimo. A prvi korak u tome je da se prizna kako problem postoji“, naglasio je.
Web trgovci ne trebaju spremati podatke s kartica, poručio je te pritom dodao kako trgovce treba zanimati samo ime i prezime te povijest kupnje. “Čak i ti podaci trebaju biti kriptirani. Imali smo situaciju da je nedavno iscurio veliki broj podataka od registracija automobila pa sada netko možebitno raspolaže i s kartičnim podacima s kojima su osiguranici plaćali. Stvar je da korisnici u tim slučajevima mogu podići tužbu zbog GDPR-a”, rekao je Matko dodajući kako je za kartično poslovanje uvijek najbolje koristiti provjerene payment gateway providere.
Pritom je poručio kako je potrebno provoditi sigurnosni audit i da je za te poslove potrebno angažirati stručnu osobu.
Prije samog podcasta praktično je demonstrirao primjer napada na jedan veliki hrvatski webshop na kojem je otkrio brojne ranjivosti i sigurnosne slabosti pri čemu je najveći problem bio u tome što se svatko može registrirati i potom uz malo “hakerskog” znanja podići svoj korisnički profil u status admina i na tom webshopu raditi doslovno što god želi. “Taj webshop, premda vjerojatno generira milijunske promete mjesečno, nije imao niti firewall niti bilo kakav nadzorni centar jer bi ovaj napad odmah registrirali i poduzeli neke korake. Ovako, oni nisu niti svjesni da se nešto dogodilo, odnosno da se moglo dogoditi”, kazao je.
Ljudi su najslabija karika
Uza sve dostupne alate, Matko i dalje smatra kako je edukacija zaposlenika barem 80 posto posla jer ljudi moraju reagirati ako primijete phishing napade i druge oblike ugroza. Kao jedan od najočitijih oblika phishinga je priča o nigerijskom princu koja je po svom dizajnu izuzetno priprosta, ali na koju i dalje nasjeda veliki broj korisnika interneta. “Takvi napadi s primjenom današnjih alata baziranih na umjetnoj inteligenciji postaju sve više sofisticirani te ih je sve teže detektirati prije nego bude kasno”, upozorio je Matko.
Upravo zbog toga je po njegovu mišljenju ključno za sigurnost vlastitog poslovanja implementirati sve procedure koje propisuje NIS2 direktiva i da veliki shopovi koji generiraju preko 10 milijuna eura prometa moraju imati zaposlenu osobu koja se bavi tim poslovima, a za one koji imaju više od milijun eura prometa to se preporučuje.
“Nedavno sam na meetupu pitao publiku, naše web trgovce, tko od njih ima posložene procedure što napraviti u slučaju da im netko napravi crypto lock webshopa. Nitko nije dignuo ruku. E pa NIS2 zahtijeva da imate napisanu tu proceduru”, rekao je Matko dodajući kako se te odredbe propisuju i kroz ISO27001 normu.
“Zaposlenici su uvijek najslabija karika u svakom sustavu i s njihovom dobrom edukacijom može se riješiti velika većina sigurnosnih propusta. Zatim, dobar firewall za eCommerce riješit će ostatak, a onda će povremeni pentestovi tj. provjera probojnosti sustava dovesti cijeli sustav gotovo do nivoa neprobojnosti“, naglasio je Matko.
Kakvi su trendovi i kako pratiti aktualnosti vezane za cyber security
CyberArrange Security Solutions tvrtka je koja se primarno bavi istraživanjem i izgradnjom automatizacije vježbovnih okruženja. U principu se rade virtualne tvrtke koje su jako slične klijentu te se potom pusti virus i u takvim okolnostima prati kako će se odgovorne osobe snaći te se provodi njihova edukacija u tom okruženju. Osim toga, klijentima se pomaže da sastave procedure, pomaže u postavljanju arhitekture sustava da bude otpornija na napade i provodi edukacija zaposlenika i menadžmenta.
Matko je poručio kako je važno pratiti aktualnosti vezane za cyber security područje preko specijaliziranih portala te da u budućnosti očekuje još više napada s obzirom na široku dostupnost AI alata pri čemu će dominirati Fileless napadi koji su se kroz vrijeme pokazali kao najučinkovitiji.
SVE JE U POVJERENJU
Pridružite se Udruzi i pokažite kupcima da ste pouzdani web trgovac.
Punopravno članstvo uključuje besplatnu
Trusted Shop certifikaciju
Kada posjetite bilo koju web stranicu, ona može pohraniti ili dohvatiti informacije na vašem pregledniku, uglavnom u obliku kolačića. Ovdje možete upravljati postavkama svojih preferencija za kolačića.