Jak uchránit e-shop před ztrátou dat „Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika

Internet jako prodejní kanál Velikost internetové populace přesáhla v prosinci roku 2009 v ČR 5,51 milionů RU (historické maximum). Populace nadále roste. Nákupní tendence internetové populace - 24% alespoň jednou nakoupilo na internetu, 21% nakoupilo za posledních 12 měsíců. Nejpopulárnější je nakupování mezi VŠ, obyvateli Prahy a studenty. Za poslední 4 roky výrazně stoupl podíl nakupujících žen z 33% na 43%. Zdroj: NetMonitor

Stručně o e-shopech Lidé nakupovali i během krize. Tržby byly přibližně stejné jako v roce 2008. Někteří z velkých hráčů zvýšili obrat až o 30%. Meziroční nárůst e-commerce se však celkově pohyboval řádově v jednotkách procent (výrazné rozdíly mezi malými a velkými e-shopy). Vánoční tržby e-shopů dle odhadů přes 8 mld. - nárůst ve srovnání s rokem 2008 o 25%. Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online

Stručně o e-shopech V roce 2009 se zvýšil počet lidí nakupujících na internetu. Příliv nových zákazníků až o 20% na velkých e-shopech. Ačkoliv není známo přesné číslo, počet e-shopů v ČR v současné době dosahuje ke hranici 30 tisíc. Neustále vznikají další nové e-shopy, hlavně v segmentech s malou konkurencí a s vysokou mírou specializace. Trendem jsou nově i obory, kde se dříve vůbec o prodeji přes internet neuvažovalo. Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online

Databáze e-shopu: Jaké informace skrývá? Varianty: Databáze v e-shopu. Databáze v ERP systému.

Databáze v e-shopu Obsahuje: Popisy produktů - obchodní informace o produktech (cena, dostupnost, DPH…). Informace o nakupujících (adresy, e-maily, telefonní čísla, zakódovaná hesla…). Objednávky. Faktury, dodací listy a další doklady. Hrozí: Databáze v e-shopu je méně bezpečná než v ERP, hrozí větší bezpečnostní rizika. Největší problém - informace o nakupujících (možné obchodní zneužití databáze, vydírání atd.)

Zákonná ochrana dat Ne všechna data v databázi e-shopu jsou citlivá. Nejdůležitější je respektovat zákon č. 101/2000 Sb., o ochraně osobních údajů. „Správce údajů musí přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům a k jejich jinému neoprávněnému zpracování a zneužití.“ Vztahuje se především na informace o nakupujících (jména, adresy, e-maily, telefonní čísla, hesla atp. ). Velkou hodnotu však mohou mít i firemní údaje - objednávky, faktury, doklady, informace o nejčastěji kupovaných produktech, ceníky, pravidla tvorby slev atd. Za nedostatečnou ochranu osobních dat nehrozí trestní postihy, ale pokuty až do výše 10 milionů korun.

Bezpečnostní rizika Ztráta dat (útočník, nevhodný uživatelský zásah, havárie HW) 65% Krádež dat (útočník, záškodník) 8% Zneužití dat 15% Falšování dat 12%

Důvody pro napadení Proč hackeři útočí na e-shopy? Prodej databáze SPAMerům. Konkurenční boj. Prodej databáze původnímu majiteli. Vydírání za účelem zisku. Zneužití dat k osobnímu prospěchu. Publicita. Jak se před napadením bránit? Prevence! Bezpečnostní audity. Ochrana a zabezpečení dat. Obrana technickými prostředky.

Způsob krádeže databáze Krádež zevnitř Nejčastější způsob úniku dat. Bývalý zaměstnanec. Sociální inženýrství. Obrana: Bezpečnostní politika firmy. Směrnice pro práci s daty. Definice úrovní přístupu k datům. SQL Injection Technika, která vsune SQL kód přes neošetřený vstup aplikace. Obrana: Ošetření vstupu na straně aplikace. Nastavení práv na straně databáze.

Zabezpečení databáze proti krádeži Nejdůležitější je prevence! Nastavte přístupová práva v databázi. Omezte přístupy na lokální síť. Uživatelská hesla ukládejte zahashovaně. Zálohovat, zálohovat, zálohovat! Největší nebezpečí hrozí zevnitř! Obrana technickými prostředky (zákazy použití flashek, přenosných disků atd.) Vnitrofiremní směrnice (práce s daty, přihlašování, ochrana hesla, šíření informací atd.) Pravidelné kontroly dodržování směrnic, případně bezpečnostní audit.

Co dělat, pokud ke krádeži dat dojde? Pár důležitých otázek Zjistíte to vůbec? 3. Máte to jak to prokázat? Mechanismy rozpoznávající napadení. Vytvoření dokumentace, zajištění dat, ochrana před manipulací s důkazy. Víte, kdo kradl? Kontaktování znalce, expertní posudek nezávislé organizace. Zjištění rozsahu škod a podle závažnosti situace kontaktování Policie ČR. 4. Chcete se domluvit se zlodějem? Zahájení trestního řízení. Bude vás to něco stát. Zahájení adhezního řízení (o náhradu škody). Problém - data se dají kopírovat. Nikdo vám nezaručí ochranu před možným vydíráním.

Krizová situace – řešení krok za krokem Kontaktovat policii. Zahájit trestní řízení. Je třeba počítat s tím, že šance získat odškodnění za zneužití dat v rámci našeho právního systému je zatím spíše utopie. Elektronická data lze snadno modifikovat a proto jsou většinou pro soud jako důkaz nepřijatelná. Vytvořit dokumentaci a zajistit data. Zjištění přesného rozsahu škod, odhad potenciálních rizik. Zabezpečení důkazů před možnou manipulací, jinak je nelze vůbec použít jako důkazy. Ideální je mít bezpečnostní audit před krádeží a znalecký posudek po krádeži.

Krizová situace – řešení krok za krokem 3. Zavést přísná bezpečností opatření. Viz zabezpečení databáze proti krádeži, pokud již nebylo. (Prevence!) Stanovení preventivního plánu pro postup v krizových situacích. Zpřísnění norem a vnitropodnikových směrnic, postihy za jejich nedodržování. 4. Upozornit své klienty a kontakty. Vysvětlit problém. Omluvit se. Formálně nabídnout odškodnění.

Kam se obrátit pro pomoc a radu? Pár důležitých kontaktů Váš dodavatel e-shopu www.oxyonline.cz - oXy Online Policie České republiky Znalecký ústav RAC v oboru kybernetiky a výpočetní techniky www.rac.cz - Risk Analysis Consultants

Děkujeme za vaši pozornost. Mgr. Jana Oborná marketing manager j.oborna@oxyonline.cz Petr Uttendorfský ředitel divize eSales p.uttendorfsky@oxyonline.cz