60 proc. e-sklepów podatnych na atak hakerski

Choć 56 proc. polskich internautów robi zakupy w sieci, to zaledwie jedna czwarta przebadanych przez Gemius w badaniu "E-commerce w Polsce 2018. Gemius dla e-Commerce Polska" uważa e-shopping za w pełni bezpieczny. Powodem niskiego zaufania może być fakt, że właściciele e-sklepów nadal niewystarczająco poważnie podchodzą do kwestii związanych z cyberbezpieczeństwem. Takie wnioski płyną z badania "Stan Cyberbezpieczeństwa Polskiej Branży E-commerce" przeprowadzonego przez TestArmy CyberForces w lipcu 2018 roku.

Dziś w sieci kupuje ok. 15 milionów Polaków. Nic więc dziwnego, że dla większości firm przebadanych przez TestArmy CyberForces sprzedaż online stanowi ponad 50 proc. obrotów. Zbliża się też grudzień, czyli gorący okres przedświąteczny, podczas którego sklepy będą notować jeszcze większy ruch, a przy tym także przychody. Choćby z tych powodów kwestie bezpieczeństwa i ochrony przed atakami hakerskimi powinny stanowić wartość priorytetową. Czy tak jest? Nie zawsze.

Aż 80 proc. ankietowanych przyznało, że kiedyś doszło (60 proc.) lub prawdopodobnie doszło (20 proc. twierdzących odpowiedzi) do incydentu związanego z naruszeniem bezpieczeństwa, takiego jak np.: wyciek danych, phishing, cyberszpiegostwo, włamanie do sieci czy oszustwo popełnione przez pracownika. Mimo tego, zaledwie 40 proc. e-sklepów przeprowadza testy penetracyjne, choć i tak nie robi tego regularnie.

Przypomnijmy, że celem regularnie przeprowadzanych testów penetracyjnych jest wykrycie luk w zabezpieczeniach oraz ich eliminacja tak, aby maksymalnie utrudnić lub uniemożliwić atak hakerski. Im solidniej skonstruowany system bez "dziur" w oprogramowaniu, tym mniejsze zainteresowanie cyberprzestępców, którzy kierując się rachunkiem opłacalności, na przedmiot ataku z reguły wybierają gorzej zabezpieczone e-sklepy.

Tymczasem, zgodnie z badaniem, zaledwie 40 proc. e-sklepów przeprowadza testy penetracyjne, choć i tak najczęściej robi to w sposób nieregularny. Pozostałe 60 proc. nigdy nie zleciło audytu bezpieczeństwa niezależnym ekspertom. Okazuje się, że standardem są wyłącznie konwencjonalne metody zabezpieczeń przed atakami, tj. certyfikaty SSL (100 proc.), systemy antywirusowe (100 proc.), zarządzanie hasłami (80 proc.) i szyfrowanie danych (60 proc. twierdzących odpowiedzi). Mało który przedsiębiorca stosuje rozwiązania pozwalające wykryć zagrożenia w infrastrukturze informatycznej (IDS/IPS/WAF). Odpowiedź "tak" udzieliło tylko 7 proc. ankietowanych.

- Znacząca część przedsiębiorców nie była w stanie stwierdzić, czy systemy bezpieczeństwa w ich firmach są na wystarczająco wysokim poziomie. Mimo że samodzielnie ocenili się neutralnie, to skłanialibyśmy się raczej w stronę stwierdzenia, że są nieprzygotowani do odparcia zagrożeń. Taki wniosek opieramy na fakcie, że bardzo wiele firm nie posiada jakiegokolwiek planu zapasowego na wypadek wystąpienia incydentu. A taki incydent zdarzy się, pytanie tylko kiedy? - tłumaczy Dawid Bałut, CEO TestArmy CyberForces.

Co ciekawe, a przy tym dość niepokojące, znaczna część respondentów badania nie obawia się utraty danych. 33 proc. eksportuje dane do innych systemów, mogąc je odtworzyć przy niedużym nakładzie pracy. 20 proc. przechowuje kopie w innej lokalizacji. Blisko 7 proc. przyznała, że odtworzenie większości danych powinno być możliwe, ale przy dużym nakładzie pracy. 20 proc. e-sklepów w ogóle nie tworzy kopii zapasowej, a 20 proc. nie znało odpowiedzi na to pytanie.

Sytuacja dziwi o tyle, że prawie 50 proc. e-sklepów nie ma żadnego planu działania na wypadek wystąpienia cyberataku. Niecałe 27 proc. przebadanych nie spodziewa się wpływu awarii na sprzedaż, ponieważ funkcje automatycznie przejmą serwery z innej lokalizacji. Nieco ponad 6 proc. ma gotowy plan ręcznego uruchomienia sklepu w innej lokalizacji. Tyle samo firm ryzyko wystąpienia przerwy w sprzedaży ma wkalkulowane w biznes.

- Większość ankietowanych przyznała, że nigdy nie przeprowadziła analizy ryzyka, która pozwoliłaby ocenić rozmiar potencjalnych strat. Jeszcze więcej przedsiębiorców mówi wprost, że cyberbezpieczeństwo nie jest czymś, co w ogóle biorą pod uwagę przy planowaniu budżetu, a ryzyko przerwy w sprzedaży internetowej traktują jako coś, co po prostu “może się zdarzyć" - dodaje Dawid Bałut.

Reasumując wygląda na to, że polscy przedsiębiorcy rzadko traktują kwestie cyberzabezpieczeń wystarczająco poważnie, narażając tym samym nie tylko siebie, ale też swoich klientów i pracowników. Wyniki ankiety są o tyle zadziwiające, że 60 proc. przebadanych firm deklaruje, że w wewnętrznych strukturach firmowych posiada osobę odpowiedzialną za... cyberbezpieczeństwo!

Badanie "Stan Cyberbezpieczeństwa Polskiej Branży E-commerce" przeprowadzone przez TestArmy CyberForces odbyło się w lipcu 2018 roku na grupie ponad stu polskich sklepów internetowych. Roczne obroty ponad 50 proc. z nich mieściły się w skali od 1 do 10 mln zł. 30 proc. - zarabia poniżej miliona. Pozostali - powyżej 10 mln zł (5 proc. - od 10 do 50 mln zł, 5 proc. - od 50 do 100 mln zł, a kolejne 5 proc. - powyżej 100 mln zł rocznie). 5 proc. ankietowanych odmówiło ujawnienia informacji o osiąganych zarobkach.