11.03.2025 ⏱ 18 минут
Согласно отчёту «Солар», в 2024 году количество атак на ритейл выросло в 2 раза по сравнению с предыдущим годом. Личные данные клиентов могут легко попасть в руки злоумышленников. Из-за этого бизнес может понести серьёзные репутационные потери и даже приостановить работу.
В статье разберёмся, какие меры помогут обезопасить ваш магазин и как в этом поможет RetailCRM.
Оглавление
→ Чем грозит интернет-магазину утечка базы данных
→ Можно ли вернуть утраченные данные?
→ 6 самых опасных киберугроз в сфере eCommerce
→ Как защитить интернет-магазин от взлома
→ Что делать, если интернет-магазин взломали
→ Заключение
→ Можно ли вернуть утраченные данные?
→ 6 самых опасных киберугроз в сфере eCommerce
→ Как защитить интернет-магазин от взлома
→ Что делать, если интернет-магазин взломали
→ Заключение
Чем грозит интернет-магазину утечка базы данных
Вне зависимости от размера, любой интернет-магазин хранит массив данных, который хотят заполучить киберпреступники. Поэтому каждый предприниматель должен думать о том, как обезопасить свою компанию от кибератак.
Репутационный ущерб
Об утечках данных в интернет-магазине часто пишут СМИ и вызывают негативный резонанс. Такие новости сокращают поток новых покупателей: им страшно заказывать что-то в компании, которая допускает утечки.
Кроме того, мошенники будут использовать базу. Они начнут отправлять клиентам письма и сообщения от имени магазина. В них, скорее всего, будут фальшивые счета на оплату или ссылки на фишинговые сайты. Клиенты могут поверить злоумышленникам и потерять деньги.
Магазин может предупредить клиентов: отправить сообщения в другой канал с верифицированного аккаунта, повесить баннер на сайте или выложить пост в социальных сетях. Но клиенты, которые уже поверили мошенникам, вряд ли вернутся после такого неприятного опыта.
Штрафы и проблемы с законом
Клиенты могут подать в суд на компанию, если она не смогла уберечь их персональные данные. Тогда бизнесу придётся доказывать, что данные утекли из-за кибератаки, а не сам магазин продал их.
Роскомнадзор тоже пристально следит за тем, как бизнес обращается с персональными данными клиентов. И может наложить санкции за нарушение законодательства. Например, если вы вовремя не сообщили ведомству об утечке данных, придётся заплатить штраф. Его размер зависит от того, сколько человек пострадали от взлома.
Но даже если вы вовремя уведомили Роскомнадзор об утечке, это не освобождает бизнес от ответственности. Ведомство может передать дело в МВД, и тогда компании придётся пройти через следственные мероприятия. Проверят каждого сотрудника с доступом к персональным данным клиентов.
«Ещё больше ответственности на магазинах, которые продают не только в России, но и за рубежом. Такие компании работают в рамках GDPR (General Data Protection Regulation). Если в магазине, который отправляет заказы за рубеж, произошла утечка, это может повлечь штрафы до 20 миллионов евро или 4% от годового оборота компании. Также бизнес могут привлечь к ответственности по международным нормам».Дмитрий Никонов,
руководитель направления защиты на уровне L7 DDoS-Guard
Шантаж
Злоумышленники могут проникнуть в вашу базу данных и зашифровать их так, чтобы у вас не было доступа к ним. После этого обычно требуют выкуп за дешифровку.
Даже если предприниматель примет условия и заплатит, это не гарантирует того, что базу данных вернут. Скорее всего, она будет утрачена навсегда.
Повреждение или потеря базы данных
После утечки у злоумышленников появляется доступ к данным ваших клиентов. Они могут повредить или уничтожить базу, в том числе ради шантажа бизнеса. Если вы не делали резервные копии, базу придётся собирать заново, а связаться с бывшими клиентами вы уже не сможете.
Можно ли вернуть утраченные данные?
Резервое копирование — единственный быстрый способ восстановить базу данных. Если у вашего магазина не настроены бэкапы, вернуть данные не получится. Придётся заново собирать информацию о клиентах, и главное — думать о том, как обезопасить базу от новых атак.
Если вы хотите защитить базу данных своего интернет-магазина от злоумышленников, нужно знать, какие угрозы существуют.
6 самых опасных киберугроз в сфере eCommerce
Злоумышленники изобретают новые способы взлома каждый год, но многие из них повторяются. Если вы знаете, как действуют преступники, вам будет легче предотвратить утечку данных.
- Фишинг
Это воровство доступов к сервисам с помощью рассылок, звонков, сообщений в социальных сетях и SMS.
Вашим сотрудникам может прийти письмо от аккаунта, похожего на корпоративный. Мошенники под видом руководства магазина просят обновить логин и пароль для входа в систему, подписать документы онлайн или выполнить любое другое действие, для которого нужно перейти по ссылке. Если менеджер перейдёт на страницу и введёт свои данные, данные магазина будут украдены.
Часто пользователи вовремя понимают, что попались на удочку мошенников, и уходят со страницы. Но это не спасает их от кражи данных. Например, если ваш сотрудник перешёл по ссылке и ввёл данные, но не нажал Enter, данные всё равно могут быть украдены.
2. DDoS-атака
Это отправка множества запросов на ресурс, чтобы перегрузить и остановить работу интернет-магазина. Во время атаки сайт сначала зависает, а затем и вовсе перестаёт работать. Клиенты уходят из магазина, а бизнес простаивает из-за невозможности обрабатывать заказы и терпит убытки.
Иногда такие атаки проводятся по заказу конкурентов.
«Достаточно частая практика — атаки на ресурсы интернет-магазина по заказу конкурентов. Когда у конкурирующей компании появляются данные о ваших клиентах, ей гораздо легче грамотно настроить рекламную кампанию и подстроить всё так, чтобы покупатель органически перетёк в другой магазин».Дмитрий Никонов,
руководитель направления защиты на уровне L7 DDoS-Guard
Пока все силы компании брошены на остановку DDoS-атаки, вредоносное ПО может использовать уязвимости сайта, чтобы украсть доступы к системе и базу клиентских данных.
3. Атака посредника (man-in-the-middle)
Атака, при которой мошенники получают доступ к каналам коммуникации и создают поддельные диалоги между менеджерами и клиентами. Злоумышленники могут создать множество заявок на возврат товара. Если компания вовремя не распознала атаку и вернула деньги «клиентам», это может привести к серьёзным финансовым потерям.
Во время атаки посредника страдают персональные данные не только клиентов, но и сотрудников. Например, злоумышленники могут получить доступ к логинам и паролям менеджеров от социальных сетей и мессенджеров, данным банковских карт, перепискам в рабочих и личных чатах. Тогда от атаки пострадают не только отношения с клиентами, но и внутренние процессы компании.
4. Вредоносные боты
Программы, которые нарушают работу магазина и переманивают клиентов в компанию конкурента. Боты могут:
- воровать контент, чтобы создавать поддельные аккаунты вашей компании в социальных сетях;
- отправлять спам в почту и социальные сети компании, чтобы отвлечь менеджеров от реальных обращений клиентов;
- бронировать или даже массово скупать товар, чтобы он был недоступен для настоящих клиентов.
Боты также могут взломать учётные записи пользователей, например, CRM. Они используют метод перебора паролей, чтобы войти в систему под видом менеджера и украсть личные данные покупателей.
Часто программы не только скачивают нужную им информацию с целью перепродажи, но и анализируют текстовые данные. Мошенники узнают, как магазин общается с клиентом. После кражи базы данных они могут обманывать покупателей и писать им с поддельных аккаунтов, выдавая себя за ваш магазин.
5. Расширенные постоянные угрозы (APT)
Метод взлома, при котором злоумышленник получает доступ к IT-контуру магазина через один из подключённых сервисов. Киберпреступники анализируют CMS, приложение, CRM, чтобы выявить уязвимости и воспользоваться ими для кражи персональных данных ваших покупателей.
6. Человеческий фактор
Угроза может быть не только внешней, но и внутренней. Сотрудники, у которых есть доступ к базе, например, менеджеры по продажам или сотрудники службы поддержки, могут удалить данные по ошибке или даже намеренно их украсть.
Предупредить угрозу проще, чем столкнуться с последствиями. Обеспечить базе данных надёжную защиту можно как на этапе создания интернет-магазина, так и в любой другой момент.
Как защитить интернет-магазин от взлома
Чтобы база данных оставалась в безопасности, нужно принять меры на всех уровнях бизнес-процессов. Для этого есть и общие рекомендации, которые касаются любых типов интернет-магазинов.
«Безопасность информационных систем — очень многогранная область, так как векторы атаки злоумышленников направлены на эксплуатацию разного рода уязвимостей.
Например, неправильно настроенные права доступа к базе данных интернет-магазина, неправильные политики валидации загружаемых файлов, уязвимости в языке программирования, на котором написан движок интернет-магазина и многое другое. Поэтому важно обеспечить всестороннюю защиту интернет-магазина на всех уровнях».Ильяс Салихов, CTO RetailCRM
Подключить надёжную CRM-систему
CRM собирает огромный массив клиентских данных, поэтому часто становится целью киберпреступников. Облачные системы обеспечивают надёжную защиту. Разработчики постоянно устраняют возникающие уязвимости и обновляют ПО, система шифрует данные клиентов, а для входа используется двухфакторная аутентификация. Этих мер достаточно, чтобы обеспечить сохранность конфиденциальной информации.
Также CRM позволяет контролировать сотрудников. Например, в RetailCRM можно установить разные права доступа для разных работников. Они не смогут изменять, удалять или переносить заказы, выгружать списки клиентов. Можно даже запретить пользователям доступ к сайту.
«RetailCRM обеспечивает все необходимые меры, чтобы данные клиентов интернет-магазинов оставались в безопасности. Подозрительные попытки входа блокируются. Также усилить безопасность можно двухфакторной авторизацией с отправкой одноразового кода через email или SMS при каждом входе в систему. Вход в систему дополнительно защищён механизмом Captcha.
Все действия в системе, включая попытки авторизации, логируются с фиксацией URL, IP, ID пользователя. Это позволяет отследить любые действия и установить ответственного за каждое изменение.
Кластер RetailCRM разделен на 2 сетевых контура: внешний и внутренний. Во внешнем контуре фаерволами открыт доступ только к портам 80/443 для серверов балансировщиков. Все остальные сервера находятся во внутреннем контуре, куда нет доступа из сегмента Интернет».Ильяс Салихов, CTO RetailCRM
Обучить сотрудников правилам кибербезопасности
Информированность сотрудников — ключевой фактор безопасности вашего бизнеса. Проводите инструктаж в первые дни работы сотрудника. Объясняйте, что нельзя делиться логином и паролем, переходить по ссылкам и загружать на рабочие компьютеры программы с подозрительных ресурсов.
Многие пользователи не знают, насколько серьёзными могут быть санкции за распространение чужих персональных данных. Поэтому будет нелишним рассказать сотрудникам, какую ответственность они несут за сохранность клиентской базы. Это позволит избежать утечки по вине работников.
Устранить уязвимости на сайте
Даже самый продвинутый сайт может содержать изъяны. Злоумышленники могут воспользоваться ими и взломать вашу базу данных.
Существуют два типа серьёзных уязвимостей сайта, которые стоит исправить в первую очередь.
- SQL-инъекция позволяет киберпреступнику внести изменения в запрос к базе данных. С её помощью мошенники могут просмотреть любые данные с вашего сайта и даже получить доступ администратора.
- Межсайтовый скриптинг (XSS) даёт возможность внедрить вредоносный код в страницу сайта. Так мошенники смогут не только украсть вашу базу данных, но и получить полный контроль над сайтом и распространить вирус, который парализует работу интернет-магазина.
Устранить эти неполадки сможет опытный программист, который исправит ошибки и настроит обработку данных таким образом, чтобы мошенники не смогли заполучить доступ к вашему коду.
Выбрать безопасный хостинг
Хостинг для сайта тоже играет важную роль в обеспечении безопасности вашего интернет-магазина. Существует список универсальных критериев, которые помогут выбрать подходящий хостинг:
- Надёжность. Убедитесь, что uptime — время, когда хостинг работает без простоев и остановок — как можно больше. Если сервер постоянно падает, интернет-магазин не сможет стабильно работать, и продажи будут падать.
- Скорость работы. Если страницы на вашем сайте загружаются быстро, это создаст позитивный клиентский опыт. Покупателям будет удобно просматривать ваш каталог, выбирать подходящую модель и добавлять товары в корзину без долгих загрузок.
- Дисковое пространство. Выбирайте хостинг, на котором поместится весь ваш каталог.
- Расположение дата-центров. Если вы планируете отправлять заказы только по России, используйте хостинг с дата-центрами в России. Если же ваш магазин нацелен на международную торговлю, можно рассмотреть хостинги с центрами в других странах.
- Специализация на конкретных CMS. Выбирайте хостинг, который поддерживает вашу CMS, например, WordPress. Так интеграция пройдёт быстрее.
Наиболее безопасным хостингом для интернет-магазина считается выделенный сервер. Он предоставляет полное владение ресурсами, поэтому вы можете настроить всё так, как нужно именно вам. Также на выделенном сервере нет других сайтов, сторонних пользователей и других потенциальных источников кибератаки.
Регулярно делать резервные копии
Своевременный бэкап позволит избежать полной потери данных без возможности восстановления. Чем чаще вы вносите изменения в базу данных, тем чаще стоит делать резервное копирование. Например, в RetailCRM данные бэкапируются ежедневно и ежемесячно.
Если у вас крупная сеть магазинов с несколькими офлайн-точками в разных городах, настройте систему с разной периодичностью бэкапов. При таком подходе данные копируются частями и в разное время. Критически важные, например, сохраняются каждый день, менее важные — раз в неделю или пару раз в месяц.
«Желательно бэкапировать критически важные данные ежедневно, так как их потеря может нанести очень серьёзный ущерб. Если у вас высоконагруженная система, например, очень большой магазин с сайтом и офлайн-точками по всей стране, делайте резервную копию хотя бы раз в неделю. Например, можно установить определённые часы, когда будет происходить бэкапирование. Это может быть вечер или ночь, когда нет такой большой нагрузки на систему.
Есть правило, которого придерживаются крупные компании, оно называется "3−2-1". Нужно хранить три копии данных (оригинал и два бэкапа), использовать два разных типа носителей (жесткие диски и облако) и хранить одну копию условно вне офиса, например, на удалённом сервере».Дмитрий Никонов,
руководитель направления защиты на уровне L7 DDoS-Guard
Что делать, если интернет-магазин взломали
Если злоумышленники всё же смогли взломать ваш интернет-магазин, важно действовать быстро. Чем раньше вы обнаружите атаку, тем больше данных вы сможете сохранить.
Шаг 1. Оцените ситуацию
Узнайте, когда произошёл взлом и откуда началась атака. Это поможет оценить потери и понять, что делать дальше. Если в сеть утекли не только данные о заказах, но и информация о клиентах, проведите внутреннее расследование и установите источник взлома. Когда вы узнаете, из-за чего произошла утечка, станет ясно, как с ней бороться.
«Первое, что нужно сделать, если произошла утечка — как можно быстрее выявить точку взлома и устранить уязвимость. Параллельно с этим стоит сменить все ключевые доступы и пароли пользователей и внутренних систем. Далее необходимо оценить целостность данных интернет-магазина и пользовательских данных. В случае если они повреждены, требуется использовать самую свежую резервную копию и применить ее к вашей базе данных.
После указанных действий стоит провести более полный аудит безопасности ваших информационных систем, выявить другие уязвимости и устранить их».Ильяс Салихов, CTO RetailCRM
Шаг 2. Уведомите Роскомнадзор
Как только выяснилось, что произошла утечка персональных данных, необходимо уведомить Роскомнадзор — на это у компании есть 24 часа. Ещё 72 часа даётся, чтобы бизнес мог предоставить информацию о предпринятых мерах.
Поскольку времени на устранение проблемы мало, важно заранее разработать сценарий, по которому компания будет действовать при утечке данных. Это позволит избежать санкций со стороны законодательства.
Шаг 3. Предупредите клиентов
Если утечка уже произошла, расскажите о ней клиентам. Отправьте рассылку и расскажите о порядке действий, которые им нужно предпринять.
Это могут быть как простые советы о том, что нельзя доверять подозрительным письмам якобы от вашей компании, так и рекомендации изменить учётные данные. Всё это сделает данные, которые украли мошенники, неактуальными, следовательно, бесполезными.
Заключение
Помните, что защита базы данных интернет-магазина — это не разовая задача, а постоянный процесс. Киберпреступники используют всё более изощренные методы взлома, а утечка данных может обернуться серьезными репутационными и финансовыми потерями.
В вопросах безопасности лучше действовать на опережение, чем устранять последствия. Разработчики RetailCRM понимают это и помогают интернет-магазинам защищать данные клиентов, контролировать доступ сотрудников и оперативно реагировать на угрозы.
