e-sklepy niedostatecznie zabezpieczone /raport/

Większość ankietowanych przyznała, że nigdy nie przeprowadziła analizy ryzyka, która pozwoliłaby ocenić rozmiar potencjalnych strat

Wyniki badania „Stan Cyberbezpieczeństwa Polskiej Branży E-commerce” przeprowadzonego przez TestArmy CyberForces w lipcu 2018 są jednoznaczne. Polskie  e-sklepy w 80 proc. padły ofiarą cyberataku. Mimo tego, tylko 40 proc. przeprowadza podnoszące bezpieczeństwo testy penetracyjne. Nikogo nie powinno więc dziwić, że aż 3/4 polskich internautów nie ufa zakupom w sieci, a 44 proc. z nich nigdy nic nie kupiło przez internet.

Dziś w sieci kupuje ok. 15 milionów Polaków. Nic więc dziwnego, że dla większości firm przebadanych przez TestArmy CyberForces sprzedaż online stanowi ponad 50 proc. obrotów. Zbliża się też grudzień, czyli gorący okres przedświąteczny, podczas którego sklepy będą notować jeszcze większy ruch, a przy tym także przychody. Choćby z tych powodów kwestie bezpieczeństwa i ochrony przed atakami hakerskimi powinny stanowić wartość priorytetową. Czy tak jest? Nie zawsze.

Aż 80 proc. ankietowanych przyznało, że kiedyś doszło (60 proc.) lub prawdopodobnie doszło (20 proc. twierdzących odpowiedzi) do incydentu związanego z naruszeniem bezpieczeństwa, takiego jak np.: wyciek danych, phishing, cyberszpiegostwo, włamanie do sieci czy oszustwo popełnione przez pracownika. Mimo tego, zaledwie 40 proc. e-sklepów przeprowadza testy penetracyjne, choć i tak nie robi tego regularnie.

60 proc. e-sklepów podatnych na cyberatak

Przypomnijmy, że celem regularnie przeprowadzanych testów penetracyjnych jest wykrycie luk w zabezpieczeniach oraz ich eliminacja tak, aby maksymalnie utrudnić lub uniemożliwić atak hakerski. Im solidniej skonstruowany system bez „dziur” w oprogramowaniu, tym mniejsze zainteresowanie cyberprzestępców, którzy kierując się rachunkiem opłacalności, na przedmiot ataku z reguły wybierają gorzej zabezpieczone e-sklepy.

Tymczasem, zgodnie z badaniem, zaledwie 40 proc. e-sklepów przeprowadza testy penetracyjne, choć i tak najczęściej robi to w sposób nieregularny. Pozostałe 60 proc. nigdy nie zleciło audytu bezpieczeństwa niezależnym ekspertom. Okazuje się, że standardem są wyłącznie konwencjonalne metody zabezpieczeń przed atakami, tj. certyfikaty SSL (100 proc.), systemy antywirusowe (100 proc.), zarządzanie hasłami (80 proc.) i szyfrowanie danych (60 proc. twierdzących odpowiedzi). Mało który przedsiębiorca stosuje rozwiązania pozwalające wykryć zagrożenia w infrastrukturze informatycznej (IDS/IPS/WAF). Odpowiedź „tak” udzieliło tylko 7 proc. ankietowanych.

Znacząca część przedsiębiorców nie była w stanie stwierdzić, czy systemy bezpieczeństwa w ich firmach są na wystarczająco wysokim poziomie. Mimo że samodzielnie ocenili się neutralnie, to skłanialibyśmy się raczej w stronę stwierdzenia, że są nieprzygotowani do odparcia zagrożeń. Taki wniosek opieramy na fakcie, że bardzo wiele firm nie posiada jakiegokolwiek planu zapasowego na wypadek wystąpienia incydentu. A taki incydent zdarzy się, pytanie tylko kiedy? – tłumaczy Dawid Bałut, CEO TestArmy CyberForces.

Polski e-handel dzisiaj: +18 proc.

50 proc. sklepów nie ma planu na wypadek cyberataku

Co ciekawe, a przy tym dość niepokojące, znaczna część respondentów badania nie obawia się utraty danych. 33 proc. eksportuje dane do innych systemów, mogąc je odtworzyć przy niedużym nakładzie pracy. 20 proc. przechowuje kopie w innej lokalizacji. Blisko 7 proc. przyznała, że odtworzenie większości danych powinno być możliwe, ale przy dużym nakładzie pracy. 20 proc. e-sklepów w ogóle nie tworzy kopii zapasowej, a 20 proc. nie znało odpowiedzi na to pytanie.

Sytuacja dziwi o tyle, że prawie 50 proc. e-sklepów nie ma żadnego planu działania na wypadek wystąpienia cyberataku. Niecałe 27 proc. przebadanych nie spodziewa się wpływu awarii na sprzedaż, ponieważ funkcje automatycznie przejmą serwery z innej lokalizacji. Nieco ponad 6 proc. ma gotowy plan ręcznego uruchomienia sklepu w innej lokalizacji. Tyle samo firm ryzyko wystąpienia przerwy w sprzedaży ma wkalkulowane w biznes.

Reasumując wygląda na to, że polscy przedsiębiorcy rzadko traktują kwestie cyberzabezpieczeń wystarczająco poważnie, narażając tym samym nie tylko siebie, ale też swoich klientów i pracowników. Wyniki ankiety są o tyle zadziwiające, że 60 proc. przebadanych firm deklaruje, że w wewnętrznych strukturach firmowych posiada osobę odpowiedzialną za… cyberbezpieczeństwo!

Metodyka badania 

Badanie  „Stan Cyberbezpieczeństwa Polskiej Branży E-commerce” przeprowadzone przez TestArmy CyberForces odbyło się w lipcu 2018 roku na grupie ponad stu polskich sklepów internetowych. Roczne obroty ponad 50 proc. z nich mieściły się w skali od 1 do 10 mln zł. 30 proc. – zarabia poniżej miliona. Pozostali – powyżej 10 mln zł (5 proc. – od 10 do 50 mln zł, 5 proc. – od 50 do 100 mln zł, a kolejne 5 proc. – powyżej 100 mln zł rocznie). 5 proc. ankietowanych odmówiło ujawnienia informacji o osiąganych zarobkach.

 

 

TestArmy CyberForces badanie  „Stan Cyberbezpieczeństwa Polskiej Branży E-commerce”