Информационная безопасность интернет-магазина

Информационная безопасность интернет-магазина

Тема, о которой обычно вспоминают только тогда, когда возникли проблемы. А вместе с тем, об этом нужно думать с самого начала. Сколько слышно историй про взломанные сайты либо потерянные данные в результате ошибки в программном обеспечении или ошибки сотрудника. Представьте себе, что завтра и послезавтра ваш сайт не будет работать. Посчитайте убытки и недополученную прибыль.

А ведь всего этого можно избежать, если делать резервные копии и продумывать сценарии восстановления на экстренный случай. И чем больше суммы ваших рисков, тем более серьёзные меры необходимо предпринимать. В некоторых случаях следует вообще держать полную обновляемую копию, то есть еще один полностью функциональный сервер. Ведь, кроме проблем с программным обеспечением, может быть и элементарный аппаратный сбой. И от него практически невозможно застраховаться.

Резервные копии базы данных интернет-магазина должны создаваться ежедневно

Почему? Только представьте себе, что произошел сбой в конце рабочего дня. Если пытаться восстановить данные, то сколько придётся потратить времени ваших сотрудников, чтобы всё-всё-всё вернуть на круги своя? Как правило, это несколько часов. Если, конечно, резервные копии сохраняются каждый день.

Хуже всего другое. Бывает, что создаваемые резервные копии непригодны для восстановления. Дайте своим айтишникам задачу развернуть резервную копию на соседнем или тестовом виртуальном сервере и проверить функциональность. Нужно периодически проверять, что эти данные действительно помогут в случае необходимости. И это не шутка. Периодические проверки различных служб по готовности к чрезвычайным ситуациям – норма. Так почему же может казаться, что это нас не касается?

Часть данных нужно копировать ежечасно

Ведь информации очень много, и, если потеряется полдня данных, то, вместо работы с клиентами, наши продавцы и бухгалтеры убьют несколько дней на восстановление. Это уже большие деньги. Отнеситесь к резервному копированию серьёзно с первого дня.

Еще одним важным моментом из области безопасности является хранение паролей. Многие сотрудники до сих пор записывают их на бумажках и держат в общедоступных местах. Часть людей не блокирует свои компьютеры, когда выходит на обед. Люди зачастую совершенно не оценивают риски, когда они оставляют свои компьютеры со своим доступом к информации без защиты. Ведь кто-то, проходящий мимо, может сделать то, что вы даже представить себе не можете. Даже не из злого умысла. Просто ради «прикола».

Необходимо составлять перечень ресурсов, куда сотрудникам выдан доступ. Чтобы, когда они будут увольняться, вам не пришлось вспоминать, где поменять пароль или отобрать доступ учётной записи. Периодически в Сети встречаются истории, когда уволенный сотрудник, у которого сохранился доступ, сделал какую-то пакость. И я сейчас говорю не про его ответственность. Возможно, стоит довести дело и до суда. Я говорю об убытках для бизнеса, которые, даже если суд состоится и предпишет их компенсировать, вряд ли вернутся полностью.

Другая проблема – взлом. Сейчас есть большое количество автоматических программных продуктов, которые только тем и занимаются, что пытаются взломать те или иные сайты. Мы регистрируем от 20 до 100 попыток взлома сайта в день! Только представьте себе. В связи с этим, если у вас самописный или сильно доработанный движок интернет-магазина, обязательно проверяйте все поля, куда посторонние люди могут ввести что угодно, на уязвимости. Есть множество несанкционированных способов получить доступ к вашей базе данных. И результатом может быть не только какая-то гадость, злоумышленники могут в течение длительного времени получать ваши данные, красть информацию о ваших клиентах и многое другое. Для автоматического анализа на уязвимости также существует множество готовых и доступных решений.

Другая вещь, которую часто делают злоумышленники —целенаправленная атака на ваш сайт с целью прекращения его нормальной работы. Чаще всего это DoS атаки (Denial of Service, то есть, «отказ в обслуживании») или DDoS (по сути то же самое, но атака ведётся с большого количества компьютеров, находящихся в разных местах). Как правило, подобный вид неприятностей организуется через обычные пользовательские компьютеры, зараженные вирусами. Злоумышленники дистанционно управляют всей этой сетью и, по соответствующему заказу (да-да, это такой вид бизнеса), могут в течение оплаченного времени прекратить функционирование того или иного сайта. Другая переменная этой «услуги» – мощность вашего сервера и ширина интернет-канала, к которому он подключён.

Но бывает и другой подход, когда злоумышленник находит контакты администратора или топ-менеджера компании, и, в момент начала атаки на сайт, пишет ему в мессенжер, что нужно заплатить определённую сумму, и атака прекратится.

Платить – бесполезно. Если один раз заплатили, что мешает злоумышленнику всё повторить, когда деньги снова понадобятся?

Так что защищаться нужно заранее. Один из самых известных в России и, на мой взгляд, самый эффективный способ защиты – это сервис Qrator (qrator.net). Стоимость услуг зависит от вашего трафика, так что, если его пока не так много, то и расходы невелики.

Последнее, но не по важности – это доменное имя вашего сайта

Кому оно принадлежит? Где и как зарегистрировано? Оно точно под вашим контролем? Удивительно, но так много примеров, когда компании после успешного старта проекта лишаются своего домена. Как же такое может быть? Причина, как правило, проста. Администратор домена (в данном случае это означает «хозяин») – это не учредитель компании, не юридическое лицо, а… айтишник, помогавший в запуске проекта, или веб-студия, занимавшаяся разработкой и внедрением сайта. Примеров может быть много. Главное – у вас должен быть прямой договор с регистратором доменов. И вы (если вы учредитель) или ваша компания должны быть администратором домена вашего сайта.

У вас должен быть прямой договор с регистратором доменов

Даже если процесс работы над вашим сайтом уже начался, и домен зарегистрирован, к сожалению, не на вас, поторопитесь с передачей. Даже если веб-студия уверяет вас, что именно так всё и делается, что домен, принадлежащий не вам, а им – нормально, не соглашайтесь. В любой удобный момент такая компания может остановить работу вашего сайта, даже если договор с ними давно закончился. Домен – первичен и должен быть на 100% подконтролен бизнесу. Я рекомендую сначала регистрировать домен, а уже потом отправляться к какому-либо подрядчику.

Передать домен не так просто. Если он зарегистрирован на частное лицо, то это самое лицо должно отправиться к регистратору лично с заявлением о передаче домена другому администратору. Либо, как вариант, отправить по почте письмо, заверенное нотариально. Если же домен зарегистрирован на не ту компанию, то представитель этой компании с доверенностью, копиями учредительных документов и заявлением о передаче также должен лично явиться к регистратору.

Если с вами случилось именно это, не тяните, требуйте передать домен немедленно. Буквально берите за руку и везите нужного человека туда. Потом может быть поздно. Всё придётся начинать сначала.

Выяснить, где зарегистрирован домен просто – используйте любой сервис Whois, например, этот: https://www.nic.ru/whois/. Введите имя домена, например, yandex.ru. В поле «registrar» вы увидите название компании-регистратора.

Его сайт легко найдётся через любую поисковую систему. Если ваш домен зарегистрирован на компанию, то в выдаче сервиса Whois в поле «org» вы увидите название организации. Если не ваша – беда. Если хозяин – частное лицо, то его имени вы не увидите. Нужен доступ в личный кабинет, чтобы его уточнить. Если подозреваете нехорошее – свяжитесь с регистратором, объясните ситуацию.

Скорее всего, вам помогут, но только советом

Чеклист информационной безопасности

  • 1. Регулярно создаются резервные копии.
  • 2. Резервные копии периодически проверяются на возможность восстановления из них.
  • 3. Компьютеры пользователей блокируются на время их отсутствия, а пользователи, игнорирующие это требование, штрафуются.
  • 4. Периодически проводятся тесты на уязвимости.
  • 5. Список доступов сотрудников поддерживается в актуальном состоянии.
  • 6. Если Qrator еще не подключён, подключаем.
  • 7. Доменное имя вашего сайта – под вашим контролем.