Transcript „Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16.

„Ukradená“ databáze
aneb
Jak uchránit e-shop před ztrátou dat
konference Trendy internetové bezpečnosti
16. února 2010, Praha, Česká republika
Internet jako prodejní kanál
 Velikost internetové populace
přesáhla v prosinci roku 2009
v ČR 5,51 milionů RU
(historické maximum).
 Populace nadále roste.
 Nákupní tendence
internetové populace - 24%
alespoň jednou nakoupilo
na internetu, 21% nakoupilo
za posledních 12 měsíců.
 Nejpopulárnější je
nakupování mezi VŠ, obyvateli
Prahy a studenty.
 Za poslední 4 roky výrazně
stoupl podíl nakupujících žen
z 33% na 43%.
Zdroj: NetMonitor
Stručně o e-shopech
 Lidé nakupovali i během krize.
 Tržby byly přibližně stejné jako
v roce 2008.
 Někteří z velkých hráčů zvýšili
obrat až o 30%.
 Meziroční nárůst e-commerce
se však celkově pohyboval
řádově v jednotkách procent
(výrazné rozdíly mezi malými
a velkými e-shopy).
 Vánoční tržby e-shopů dle
odhadů přes 8 mld. - nárůst
ve srovnání s rokem 2008 o 25%.
Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online
Stručně o e-shopech
 V roce 2009 se zvýšil počet lidí
nakupujících na internetu.
 Příliv nových zákazníků až o 20%
na velkých e-shopech.
 Ačkoliv není známo přesné číslo,
počet e-shopů v ČR v současné
době dosahuje ke hranici 30
tisíc.
 Neustále vznikají další nové
e-shopy, hlavně v segmentech
s malou konkurencí a s vysokou
mírou specializace.
 Trendem jsou nově i obory,
kde se dříve vůbec o prodeji
přes internet neuvažovalo.
Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online
Databáze e-shopu: Jaké informace skrývá?
Varianty:
 Databáze v e-shopu.
 Databáze v ERP systému.
Databáze v e-shopu
Obsahuje:
 Popisy produktů - obchodní informace
o produktech (cena, dostupnost, DPH…).
 Informace o nakupujících (adresy, e-maily,
telefonní čísla, zakódovaná hesla…).
 Objednávky.
 Faktury, dodací listy a další doklady.
Hrozí:
 Databáze v e-shopu je méně bezpečná
než v ERP, hrozí větší bezpečnostní rizika.
 Největší problém - informace
o nakupujících (možné obchodní
zneužití databáze, vydírání atd.)
Zákonná ochrana dat
Ne všechna data v databázi e-shopu jsou citlivá.
 Nejdůležitější je respektovat zákon č. 101/2000 Sb., o ochraně
osobních údajů.
 „Správce údajů musí přijmout taková opatření, aby nemohlo
dojít k neoprávněnému nebo nahodilému přístupu k osobním
údajům, k jejich změně, zničení či ztrátě, neoprávněným
přenosům a k jejich jinému neoprávněnému zpracování
a zneužití.“
 Vztahuje se především na informace o nakupujících (jména,
adresy, e-maily, telefonní čísla, hesla atp. ).
 Velkou hodnotu však mohou mít i firemní údaje - objednávky,
faktury, doklady, informace o nejčastěji kupovaných produktech,
ceníky, pravidla tvorby slev atd.
 Za nedostatečnou ochranu osobních dat nehrozí trestní postihy,
ale pokuty až do výše 10 milionů korun.
Bezpečnostní rizika




Ztráta dat (útočník, nevhodný uživatelský zásah, havárie HW) 65%
Krádež dat (útočník, záškodník) 8%
Zneužití dat 15%
Falšování dat 12%
Důvody pro napadení
Proč hackeři útočí na e-shopy?
Jak se před napadením bránit?
 Prodej databáze SPAMerům.
 Konkurenční boj.
 Prodej databáze původnímu
majiteli.
 Vydírání za účelem zisku.
 Zneužití dat k osobnímu
prospěchu.
 Publicita.




Prevence!
Bezpečnostní audity.
Ochrana a zabezpečení dat.
Obrana technickými prostředky.
Způsob krádeže databáze
Krádež zevnitř
 Nejčastější způsob úniku dat.
 Bývalý zaměstnanec.
 Sociální inženýrství.
SQL Injection
 Technika, která vsune SQL kód
přes neošetřený vstup aplikace.
Obrana:
 Bezpečnostní politika firmy.
 Směrnice pro práci s daty.
 Definice úrovní přístupu
k datům.
Obrana:
 Ošetření vstupu na straně
aplikace.
 Nastavení práv na straně
databáze.
Zabezpečení databáze proti krádeži
Nejdůležitější je prevence!
 Nastavte přístupová práva v databázi.
 Omezte přístupy na lokální síť.
 Uživatelská hesla ukládejte zahashovaně.
 Zálohovat, zálohovat, zálohovat!
Největší nebezpečí hrozí zevnitř!
 Obrana technickými prostředky (zákazy použití
flashek, přenosných disků atd.)
 Vnitrofiremní směrnice (práce s daty, přihlašování,
ochrana hesla, šíření informací atd.)
 Pravidelné kontroly dodržování směrnic, případně
bezpečnostní audit.
Co dělat, pokud ke krádeži dat dojde?
Pár důležitých otázek
1. Zjistíte to vůbec?
 Mechanismy rozpoznávající
napadení.
2. Víte, kdo kradl?
 Zjištění rozsahu škod a podle
závažnosti situace kontaktování
Policie ČR.
 Zahájení trestního řízení.
 Zahájení adhezního řízení
(o náhradu škody).
3. Máte to jak to prokázat?
 Vytvoření dokumentace, zajištění
dat, ochrana před manipulací
s důkazy.
 Kontaktování znalce, expertní
posudek nezávislé organizace.
4.



Chcete se domluvit se zlodějem?
Bude vás to něco stát.
Problém - data se dají kopírovat.
Nikdo vám nezaručí ochranu
před možným vydíráním.
Krizová situace – řešení krok za krokem
1. Kontaktovat policii.
 Zahájit trestní řízení.
 Je třeba počítat s tím, že šance získat odškodnění za zneužití dat
v rámci našeho právního systému je zatím spíše utopie.
Elektronická data lze snadno modifikovat a proto jsou většinou
pro soud jako důkaz nepřijatelná.
2. Vytvořit dokumentaci a zajistit data.
 Zjištění přesného rozsahu škod, odhad potenciálních rizik.
 Zabezpečení důkazů před možnou manipulací, jinak je nelze
vůbec použít jako důkazy. Ideální je mít bezpečnostní audit
před krádeží a znalecký posudek po krádeži.
Krizová situace – řešení krok za krokem
3. Zavést přísná bezpečností opatření.
 Viz zabezpečení databáze proti
krádeži, pokud již nebylo. (Prevence!)
 Stanovení preventivního plánu
pro postup v krizových situacích.
 Zpřísnění norem a vnitropodnikových
směrnic, postihy za jejich
nedodržování.
4.



Upozornit své klienty a kontakty.
Vysvětlit problém.
Omluvit se.
Formálně nabídnout odškodnění.
Kam se obrátit pro pomoc a radu?
Pár důležitých kontaktů
Váš dodavatel e-shopu
www.oxyonline.cz - oXy Online
Policie České republiky
Znalecký ústav RAC
v oboru kybernetiky a výpočetní techniky
www.rac.cz - Risk Analysis Consultants
Děkujeme za vaši pozornost.
Mgr. Jana Oborná
marketing manager
[email protected]
Petr Uttendorfský
ředitel divize eSales
[email protected]