«Вас взломают, а вы даже не заметите». Почему белорусские интернет-магазины можно «вскрыть» за 5 минут и что с этим делать бизнесу

«На взлом интернет-магазина обычно уходит от 5 минут до полутора часов», — говорит руководитель центра кибербезопасности hoster.by Антон Тростянко. При этом большинство бизнесов могут даже не заметить, что подверглись кибератаке. Эксперт рассказал «Про бизнес», кто становится целью злоумышленников в первую очередь, то делает интернет-магазины особенно уязвимыми, какими могут быть последствия и как защитить свой бизнес.

«Вы можете даже не заметить, что вас взломали»

— Как мы представляем себе последствия кибератаки на сайт? Все оплаты клиентов поступают на счета злоумышленников, а на сайте вместо товаров все видят угрожающее сообщение? На самом деле ни клиенты интернет-магазина, ни его владельцы могут даже не заметить, что у них проблемы. По крайней мере, сразу.

Более 90% атак являются массовыми и не направлены на какой-то конкретный ресурс. Хакеры не всегда хотят насолить конкретному бизнесу, а используют уязвимости движков и простые пароли, в надежде легко проникнуть в максимальное число сайтов и найти что-нибудь ценное. Как бы говоря: «Ничего личного, просто персональные данные ваших клиентов могут чего-то стоить».

Если никто ничего не заметил, стоит ли переживать? Конечно. Целью похищения персональных данных чаще всего является фишинг. То есть вскоре ваши клиенты получат мошеннические сообщения, возможно, от вашего же имени, с предложением что-то купить по выгодной цене. А с этого сообщения перейдут на совершенно другой сайт, где смогут отдать данные своих карт злоумышленникам или скачать вирус. Также злоумышленнники часто занимаются майнингом криптовалюты на мощностях жертв, что приводит к отказу работоспособности ресурса или приложения, а это влечет уже и материальные потери.

Самим же магазинам стоит переживать не только из-за потери денег, репутации и возможных судебных исков от пострадавших клиентов. Дело в том, что в Беларуси достаточно строго контролируется соблюдение закона о защите персональных данных. И их утечка потянет за собой соответствующие проверки, которые могут привести к блокировке ресурса или приложения до момента выполнения требований. А это может оказаться фатальным для многих компаний.

Слабые места интернет-магазинов по статистике hoster.by

Согласно многолетнему опыту работы и проведению пентестов (попыток проникнуть в сайт по заказу его владельца для обнаружения слабых мест), есть две основные причины взломов:

• Устаревшее программное обеспечение, в первую очередь CMS или движок сайта.
• Слабые пароли и их небезопасное хранение.

Эти два пункта являются наиболее популярными и быстрыми методами атак. Известная хакерам уязвимость в движке позволяет взломать ресурс за 5 минут и даже быстрее. За день могут пострадать сотни и тысячи сайтов на конкретной CMS. В то же время, именно эти проблемы могут легко устраняться самими владельцами магазина без привлечения технических экспертов. Достаточно взять за правило своевременно обновлять ПО и установить четкие правила доступа к сайту.

Самыми популярными CMS в Беларуси являются WordPress и 1С-Битрикс. Первая система является самым распространенным движком во всем мире, поэтому он достаточно хорошо защищен и часто выпускает обновления. 1С-Битрикс является наиболее популярной коммерческой CMS в нашем регионе, ее разработчики оперативно реагируют на обнаруженные уязвимости и уведомляют клиентов об этом. Тут важно помнить, что именно владелец сайта или его технические специалисты должны следить за своевременным обновлением системы. Многие их игнорируют или опасаются менять версию из-за самостоятельно или некорректно дописанного функционала сайта, чтобы не спровоцировать отказ проблемных модулей. Но в этом случае взлом из-за устаревшей версии CMS будет вопросом времени.

Что касается других потенциальных уязвимостей, то, по статистике hoster.by, это проблемы, связанные с отсутствием практик и подходов безопасной разработки и эксплуатации системы:

• Проблемы в процедурах аутентификации и авторизации, которые позволяют обходить механизмы защиты от несанкционированного доступа.
• Уязвимости, появляющиеся в ходе разработки и реализации бизнес-логики приложений. Например, они могут позволять получить доступ к информации ограниченного распространения или использовать незадекларированные возможности приложения.
• Проблемы, связанные с доставкой и хранением исходного кода, а также хранением и передачей чувствительных данных (особенно логин и пароль) между пользователями.
• Отсутствие процессов логирования, мониторинга и анализа событий информационной безопасности, которые позволили бы судить о попытках взлома или начале атаки.

Что делать, чтобы снизить вероятность взлома

Пошагово правильный процесс наведения порядка в информационной безопасности должен выглядеть так:

• Изучение текущей системы и разбивка на категории информации, которая там обрабатывается (персональные данные, коммерческая тайна и т.д.).
• Исходя из обрабатываемых данных проектируется система защиты информации, в ходе чего определяются достаточные меры безопасности.
• Непосредственное создание системы защиты информации (техническая и организационная части).
• Проведение аттестация информационной системы для соответствия всем требованиям законодательства и подтверждения обеспечение должного уровня защиты информации.

Важно понимать, что аттестация для интернет-магазинов является обязательным элементом безопасной и спокойной работы, так как все они работают с персональными данными. Текущие требования законодательства достаточно четко прописаны и их можно соблюсти силами собственных технических специалистов.

Если по какой-то причине провести аттестацию самостоятельно не получится, а также если вы не хотите тратить на это время своих специалистов, то весь процесс можно отдать на аутсорс в аттестованный центр кибербезопасности, который имеет соответствующую лицензию, выданную ОАЦ.

Значит ли успешная аттестация полное отсутствие проблем с безопасностью в будущем?

Как в любой сфере, в информационной безопасности не может быть стопроцентных гарантий и «волшебных таблеток» от всех проблем. Аттестация содержит минимально необходимый перечень требований, выполнение которых позволит серьезно снизить риск реализации популярных угроз. Однако все зависит от владельцев ресурсов и их подходов к обеспечению защиты данных. На мой взгляд, важно, чтобы владельцы интернет-ресурсов понимали, что кибербезопасность является приоритетом.А технологии и перечень услуг в этом направлении постоянно развивается.