Ty, které už byly hacknuty, a ty, které o tom nevědí
Bezpečnost e-shopu má obvykle malou prioritu až do okamžiku, kdy se stane něco závažného. Například e-shop má výpadek během sezóny, např. během Black Friday, kvůli DOS útoku. Nebo jednoho dne ztratíte databázi všech vašich zákazníků, případně se tato databáze ocitne na veřejnosti. Až po takové události se obvykle začne e-shop věnovat bezpečnosti. Ve skutečnosti je situace ohledně bezpečnosti vážná od začátku fungování. Jak říkají odborníci, jsou jen dva typy firem – ty, které už byly hacknuty, a ty, které o tom nevědí.
Berete proto bezpečnost vážně.
Úrovně technické bezpečnosti
Bezpečnost má obvykle mnoho úrovní od zabezpečení serverů a databází, přes ochranu osobních údajů až po zabezpečení přístupu k důležitým údajům a dokumentům včetně papírových, podle pracovní pozice. V této kapitole se věnujeme především bezpečnosti technického řešení, tj. hostingu a e-commerce CMS. Při výběru jejich dodavatelů si ověřte, že bezpečnost je součástí jejich nabídky a jsou připraveni na řešení případných incidentů.
Operační systémy
Pro operační systémy v hostingu i pro e-commerce CMS, stejně jako pro všechny používané IT systémy, platformy, pluginy a aplikace je důležité, aby byly rychle dostupné jejich aktualizace s opravami na eliminaci aktuálních bezpečnostních rizik. Tyto aktualizace musí dodavatel okamžitě aplikovat.
Web aplikace
Na úrovni webových aplikací včetně e-commerce CMS je důležité, aby byly naprogramované tak, aby se nedaly zneužít. Například přes online SQL injection mohou útočníci získat přístup ke celé vaší databázi, případně v ní změnit některé údaje. Nebo přes cross site scripting (XSS) se útočníci mohou dostat k cookies nebo jiným citlivým údajům, které uchovává internetový prohlížeč.
Hesla
Další úroveň bezpečnosti se týká hesel. Požadujte, aby si uživatelé vytvářeli dostatečně bezpečná hesla. Při jejich ukládání v aplikacích používejte bezpečné algoritmy SHA1 nebo MD5. Používejte HTTPS všude, kde je to možné. Připravte se na případné výpadky a problémy a zalohujte své e-shopy a další důležité aplikace. Ověřte si někdy, zda zálohy fungují, a kolik trvá, než z nich obnovíte plně funkční e-shop. Od dodavatelů požadujte monitorování důležitých parametrů IT infrastruktury a pravidelně je kontrolujte.
DoS nebo DDoS útoky na weby včetně e-shopů jsou poměrně běžné a solidní hosting by měl být na takové hackery připraven.
Bezpečnosti se týká i téma GDPR.
Organizační aspekty bezpečnosti
I při zvládnutí a přesném zabezpečení všech technických aspektů je jeden faktor, na který nesmíme zapomenout.
Lidé.
Velká většina bezpečnostních incidentů na systém nepřichází zvenku, ale naopak právě zevnitř společnosti. Při nastavování přístupových práv a přístupů do IT systémů zaměstnancům je potřeba myslet i na tuto skutečnost. Ne, není třeba hned podezírat každého zaměstnance a hledat kostlivce ve skříni, avšak ani není třeba dávat lidem zbytečně přístup, kam ho na výkon své funkce nepotřebují.
Klíčem k úspěchu je správná organizace.
Rozdělte svým zaměstnancům přístup do systémů na základě práce, kterou vykonávají. Není důvod, aby měli všichni k dispozici všechno. Každý zaměstnanec dostane přístup jen k určitým informacím, které potřebuje na svůj výkon práce a nese za ně plnou zodpovědnost. Pokud má někdo na starosti odpovídání na otázky o parametrech produktů, nepotřebuje přístup například k interním finančním záznamům.
Navíc, jakkoliv dobře mohou být systémy nastaveny, pokud s nimi lidé nenarábějí náležitě, vznikají problémy. Takže kromě toho, že je nezbytné písemně definovat postupy a povinnosti lidí, je nutné je o tom i zaškolit a ověřit si, že tomu rozumějí a vědí, jak postupy realizovat v praxi.
Nejjednodušší příklad bezpečnostního postupu je: "Zamykejte heslem svůj počítač, pokud od něj odcházíte". Nebo jedno ze základních pravidel je: "Každý člověk musí používat na přihlašování do každého systému své osobní konto, nepoužívejte sdílené účty pro více lidí".
Tímto způsobem ve velké míře snížíte pravděpodobnost interních úniků a personálně zabezpečíte svůj e-shop.
```
