De fem viktigste sikkerhetsrådene
- Det er faktisk langt enklere enn mange tror å få en sikker nettbutikk. Samtidig kan det være helt ødeleggende hvis du ikke gjør denne jobben skikkelig. Både målrettede angrep, men også guttestreker kan faktisk drive en middels stor nettbutikk til konkurs. Det har altfor få norske nettbutikker tenkt gjennom, sier den erfarne sikkerhetseksperten og en av gründerne i det internasjonale rådgivningsselskapet, Geta, Frederik Vig.
Geta er eksperter på netthandel, og jobber med rådgivning og analyse både i Norge og internasjonalt.
- Mange har en del på plass, men det store flertallet, spesielt blant de små og mellomstore, må ta flere grep for å få en akseptabelt lav sikkerhetsrisiko, sier Vig.
Her er hans fem beste sikkerhetsråd for nettbutikker:
1. Krypter hele nettbutikken med et SSL-sertifikat.
Alle nettbutikkens sider, ikke bare betalingssiden, må krypteres. Det betyr at nettadressen begynner med https://, ikke bare http.
Google vil nå fjerne den grønne hengelåsen i sin nettleser Chrome, som i dag markerer HTTPS-sider. De vil heller gjøre brukeren oppmerksom på sider som er usikret med en sterk, rød advarsel. Det kan bety at brukere i større grad vil navigere seg bort fra usikre nettsider.
Google vil også «straffe» nettbutikker som ikke har SSL-sertifikat med dårligere synlighet ved søk.
2. Bruk et Content Delivery Network (CDN)
CDN er egentlig et geografisk system av servere som sammen sørger for raskest mulig levering av internettinnhold. Samtidig kan også CDN beskytte deg mot såkalte tjenestenektangrep (DDOS) eller annen uønsket nedetid for systemet ditt, noe som kan skje ved kraftig trafikkøkning til siden.
Såkalte tjenestenektangrep har vokst både i antall og størrelse de siste årene. Det vanligste er å oversvømme nettstedet med trafikk til det nærmest knekker sammen og blir liggende nede. De fleste DDOS-angrep er økonomisk motiverte.
3. Installer en web-brannmur
En web-brannmur er en brannmur som skal beskytte webserveren din. Den beskytter deg blant annet mot BOT-er (små dataprogram som lages for å utføre en oppgave regelmessig av seg selv) og annen skadelig trafikk som kommer til nettbutikken via internettrafikk.
En web-brannmur er like viktig for nettbutikken som en personlig brannmur er for din egen PC-sikkerhet.
BOT-er kan gjøre alt fra å skape kunstig høy eller lav trafikk og gi deg falsk statistikk på brukermønsteret til å holde av varer i stor skala og ødelegge for lagerstyringen.
En web-brannmur beskytter deg også blant annet mot såkalte SQL-injeksjoner (angrep for å hente ut informasjon av dine databaser), «cross-site scripting» (script som kan videresende brukere til ondsinnede nettsider eller stjele informasjonskapsler) og «cross-site forgery angrep» (brukeren blir lurt til å operasjoner som å endre passord eller liknende).
4. Ha rutiner for oppdateringer og behandling av sensitiv informasjon
En gjenganger hos mange nettbutikker er at det finnes noen gamle servere i systemet som ikke har fått den siste sikkerhetsoppdateringen. Sørg derfor å ha alt oppdatert, og ha gode rutiner slik at du til enhver tid vet hvor sensitiv informasjon som personopplysninger og liknende er. Mange har dårlige rutiner for både oppdatering og behandling av data. For mye ligger på dårlige ftp-servere eller mindre sikre skyløsninger. Dette er blitt spesielt viktig med EUs nye regler for behandling av personopplysninger. Har du ikke dette på plass nå, kan du i verste fall risikere gigantiske bøter.
5. Ha rutiner og teknologi som sikrer deg mot falske eposter
Den aller største andelen av angrep mot norske virksomheter skjer via falske eposter. Sørg derfor for at dine ansatte har god digital kompetanse, og kan avsløre en falsk epost. Det finnes allerede flere forbedringer som teknisk reduserer muligheten for at falsk epost kommer gjennom systemet. Standarder som SPR, DKIM og DMARC er usynlige for sluttbruker, og anbefales brukt av blant annet Nasjonal Sikkerhetsmyndighet. Både Gmail, Yahoo og flere store epost-tilbydere benytter seg allerede av disse standardene.