„Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16.
Download
Report
Transcript „Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16.
„Ukradená“ databáze
aneb
Jak uchránit e-shop před ztrátou dat
konference Trendy internetové bezpečnosti
16. února 2010, Praha, Česká republika
Internet jako prodejní kanál
Velikost internetové populace
přesáhla v prosinci roku 2009
v ČR 5,51 milionů RU
(historické maximum).
Populace nadále roste.
Nákupní tendence
internetové populace - 24%
alespoň jednou nakoupilo
na internetu, 21% nakoupilo
za posledních 12 měsíců.
Nejpopulárnější je
nakupování mezi VŠ, obyvateli
Prahy a studenty.
Za poslední 4 roky výrazně
stoupl podíl nakupujících žen
z 33% na 43%.
Zdroj: NetMonitor
Stručně o e-shopech
Lidé nakupovali i během krize.
Tržby byly přibližně stejné jako
v roce 2008.
Někteří z velkých hráčů zvýšili
obrat až o 30%.
Meziroční nárůst e-commerce
se však celkově pohyboval
řádově v jednotkách procent
(výrazné rozdíly mezi malými
a velkými e-shopy).
Vánoční tržby e-shopů dle
odhadů přes 8 mld. - nárůst
ve srovnání s rokem 2008 o 25%.
Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online
Stručně o e-shopech
V roce 2009 se zvýšil počet lidí
nakupujících na internetu.
Příliv nových zákazníků až o 20%
na velkých e-shopech.
Ačkoliv není známo přesné číslo,
počet e-shopů v ČR v současné
době dosahuje ke hranici 30
tisíc.
Neustále vznikají další nové
e-shopy, hlavně v segmentech
s malou konkurencí a s vysokou
mírou specializace.
Trendem jsou nově i obory,
kde se dříve vůbec o prodeji
přes internet neuvažovalo.
Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online
Databáze e-shopu: Jaké informace skrývá?
Varianty:
Databáze v e-shopu.
Databáze v ERP systému.
Databáze v e-shopu
Obsahuje:
Popisy produktů - obchodní informace
o produktech (cena, dostupnost, DPH…).
Informace o nakupujících (adresy, e-maily,
telefonní čísla, zakódovaná hesla…).
Objednávky.
Faktury, dodací listy a další doklady.
Hrozí:
Databáze v e-shopu je méně bezpečná
než v ERP, hrozí větší bezpečnostní rizika.
Největší problém - informace
o nakupujících (možné obchodní
zneužití databáze, vydírání atd.)
Zákonná ochrana dat
Ne všechna data v databázi e-shopu jsou citlivá.
Nejdůležitější je respektovat zákon č. 101/2000 Sb., o ochraně
osobních údajů.
„Správce údajů musí přijmout taková opatření, aby nemohlo
dojít k neoprávněnému nebo nahodilému přístupu k osobním
údajům, k jejich změně, zničení či ztrátě, neoprávněným
přenosům a k jejich jinému neoprávněnému zpracování
a zneužití.“
Vztahuje se především na informace o nakupujících (jména,
adresy, e-maily, telefonní čísla, hesla atp. ).
Velkou hodnotu však mohou mít i firemní údaje - objednávky,
faktury, doklady, informace o nejčastěji kupovaných produktech,
ceníky, pravidla tvorby slev atd.
Za nedostatečnou ochranu osobních dat nehrozí trestní postihy,
ale pokuty až do výše 10 milionů korun.
Bezpečnostní rizika
Ztráta dat (útočník, nevhodný uživatelský zásah, havárie HW) 65%
Krádež dat (útočník, záškodník) 8%
Zneužití dat 15%
Falšování dat 12%
Důvody pro napadení
Proč hackeři útočí na e-shopy?
Jak se před napadením bránit?
Prodej databáze SPAMerům.
Konkurenční boj.
Prodej databáze původnímu
majiteli.
Vydírání za účelem zisku.
Zneužití dat k osobnímu
prospěchu.
Publicita.
Prevence!
Bezpečnostní audity.
Ochrana a zabezpečení dat.
Obrana technickými prostředky.
Způsob krádeže databáze
Krádež zevnitř
Nejčastější způsob úniku dat.
Bývalý zaměstnanec.
Sociální inženýrství.
SQL Injection
Technika, která vsune SQL kód
přes neošetřený vstup aplikace.
Obrana:
Bezpečnostní politika firmy.
Směrnice pro práci s daty.
Definice úrovní přístupu
k datům.
Obrana:
Ošetření vstupu na straně
aplikace.
Nastavení práv na straně
databáze.
Zabezpečení databáze proti krádeži
Nejdůležitější je prevence!
Nastavte přístupová práva v databázi.
Omezte přístupy na lokální síť.
Uživatelská hesla ukládejte zahashovaně.
Zálohovat, zálohovat, zálohovat!
Největší nebezpečí hrozí zevnitř!
Obrana technickými prostředky (zákazy použití
flashek, přenosných disků atd.)
Vnitrofiremní směrnice (práce s daty, přihlašování,
ochrana hesla, šíření informací atd.)
Pravidelné kontroly dodržování směrnic, případně
bezpečnostní audit.
Co dělat, pokud ke krádeži dat dojde?
Pár důležitých otázek
1. Zjistíte to vůbec?
Mechanismy rozpoznávající
napadení.
2. Víte, kdo kradl?
Zjištění rozsahu škod a podle
závažnosti situace kontaktování
Policie ČR.
Zahájení trestního řízení.
Zahájení adhezního řízení
(o náhradu škody).
3. Máte to jak to prokázat?
Vytvoření dokumentace, zajištění
dat, ochrana před manipulací
s důkazy.
Kontaktování znalce, expertní
posudek nezávislé organizace.
4.
Chcete se domluvit se zlodějem?
Bude vás to něco stát.
Problém - data se dají kopírovat.
Nikdo vám nezaručí ochranu
před možným vydíráním.
Krizová situace – řešení krok za krokem
1. Kontaktovat policii.
Zahájit trestní řízení.
Je třeba počítat s tím, že šance získat odškodnění za zneužití dat
v rámci našeho právního systému je zatím spíše utopie.
Elektronická data lze snadno modifikovat a proto jsou většinou
pro soud jako důkaz nepřijatelná.
2. Vytvořit dokumentaci a zajistit data.
Zjištění přesného rozsahu škod, odhad potenciálních rizik.
Zabezpečení důkazů před možnou manipulací, jinak je nelze
vůbec použít jako důkazy. Ideální je mít bezpečnostní audit
před krádeží a znalecký posudek po krádeži.
Krizová situace – řešení krok za krokem
3. Zavést přísná bezpečností opatření.
Viz zabezpečení databáze proti
krádeži, pokud již nebylo. (Prevence!)
Stanovení preventivního plánu
pro postup v krizových situacích.
Zpřísnění norem a vnitropodnikových
směrnic, postihy za jejich
nedodržování.
4.
Upozornit své klienty a kontakty.
Vysvětlit problém.
Omluvit se.
Formálně nabídnout odškodnění.
Kam se obrátit pro pomoc a radu?
Pár důležitých kontaktů
Váš dodavatel e-shopu
www.oxyonline.cz - oXy Online
Policie České republiky
Znalecký ústav RAC
v oboru kybernetiky a výpočetní techniky
www.rac.cz - Risk Analysis Consultants
Děkujeme za vaši pozornost.
Mgr. Jana Oborná
marketing manager
[email protected]
Petr Uttendorfský
ředitel divize eSales
[email protected]