Главная » Эксперты » Безопасность данных в e-commerce: как защитить бизнес от утечек
11:19, 13 марта 2025, 11:19
Количество просмотров 47

Безопасность данных в e-commerce: как защитить бизнес от утечек

В 2024 году почти 40% случаев утечек информации пришлись на сферу e-commerce. Онлайн-ретейл накапливает огромные объемы конфиденциальных данных – от номеров телефонов до платежной информации, а значит, представляет повышенный интерес для хакеров. Подробнее о том, какие угрозы существуют и как бизнесу защититься от внутренних и внешних атак, рассказывает совладелец и генеральный директор российской компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ» Сергей Тимошенко.
Безопасность данных в e-commerce: как защитить бизнес от утечек
Фото: Предоставлено автором

Объемы обрабатываемых данных в e-commerce растут. Согласно платформе ВПД ФНС России, в 2024 году доля маркетплейсов достигла 65%, а количество уникальных посетителей онлайн-магазинов выросло с 233 млн до 260,1 млн человек. Растущий объем транзакций делает e-commerce привлекательной мишенью для злоумышленников, а бизнесу приходится защищать данные не только ради сохранения доверия клиентов, но и ради соблюдения требований регуляторов – c 30 мая 2025 года в России вступят в силу новые штрафы за утечки персональных данных. Их размер будет зависеть от объема данных или числа пользователей, данные которых были скомпрометированы:

  • 1 000–10 000 пользователей – штраф 3–5 млн рублей.
  • 10 000–100 000 пользователей – 5–10 млн рублей.
  • Более 100 000 пользователей – 10–15 млн рублей.
  • При повторной утечке – до 3% от годовой выручки компании, но не менее 20 млн и не более 500 млн рублей.

Очевидно, что в таких условиях реагировать на инциденты уже недостаточно – бизнесу нужно выстраивать комплексную систему защиты, минимизируя риски на всех уровнях.

 

Основные риски утечек данных в e-commerce

Онлайн-ретейл подвержен множеству угроз по двум основным причинам. Во-первых, огромные объемы персональных и платежных данных, которые становятся целью киберпреступников. Во-вторых, постоянная доступность ключевых онлайн-каналов продаж, что дает хакерам возможность изучать их на предмет уязвимостей и искать способы атаки. При этом наиболее распространенные причины утечек связаны с тремя факторами: ошибками администрирования, инсайдерскими угрозами и уязвимостями баз данных.

 

Ошибки администрирования

Дефицит ИТ-специалистов остается острой проблемой. По данным Минтруда, в российской экономике не хватает около 40 000 молодых специалистов по базам данных и сетям, а общий дефицит кадров в ИТ-отрасли оценивается от 740 000 до 1 млн человек. В таких условиях многие компании вынуждены полагаться на аутстаффинг, переобучение сотрудников или «тихий наем». Недостаточные квалификация или опыт работы порой приводят к тому, что администраторы могут случайно совершить, казалось бы, незначительные ошибки или применить такие настройки, которые поставят под угрозу защищенность системы.

 

Кроме того, в компаниях часто возникают расхождения между «бумажными» регламентами и реальной конфигурацией системы. В результате, даже при наличии строгих политик безопасности, администраторы могут изменить настройки, ослабив защиту.

Решение:

  • Privileged Access Management (PAM) – система, которая фиксирует и регистрирует все действия администраторов с расширенными правами.
  • GitOps-подход к управлению конфигурацией – более надежное решение, которое исключает ручное внесение изменений в конфигурацию системы. Все изменения проходят через централизованную модель, где их можно проверить и при необходимости отклонить. Такой подход минимизирует риски, связанные с человеческим фактором, и исключает возможность внесения неконтролируемых изменений.

 

Инсайдерские угрозы и неконтролируемые операции с данными

Инсайдерские угрозы продолжают оставаться актуальными, поскольку сотрудники часто обладают избыточными правами доступа, а мониторинг их действий недостаточно эффективен. Такой неконтролируемый доступ к данным может привести к утечке информации как по ошибке, так и умышленно. Причем многие компании обнаруживают утечку данных только после их появления в открытом доступе. 

Решение: 

  • Database Activity Monitoring (DAM) – система мониторинга активности пользователей с базами данных, которая фиксирует все действия и позволяет оперативно выявлять подозрительную активность.
  • Database Firewall (DBF) – система, которая фильтрует запросы на уровне базы данных. В отличие от WAF (Web Application Firewall), DBF сложно обойти, и он защищает от атак даже в случае уязвимостей в приложении.

 

Уязвимости баз данных

В 2024 году «белые хакеры» выявили свыше 3,4 тыс. уязвимостей в ИТ-системах российских компаний и организаций. Для проведения атак злоумышленники могут использовать, к примеру, уязвимости в открытых интерфейсах или SQL-инъекции, которые позволяют им получить несанкционированный доступ к конфиденциальным данным.

Показательными также являются последние кибератаки XE Group – в одном случае хакеры вновь активировали веб-оболочку, которую установили еще в 2020 году. Этот случай подтверждает, что злоумышленники могут выжидать несколько лет прежде, чем снова напасть. 

Решения:

  • Минимизация поверхности атаки – сокращение количества потенциально уязвимых точек во всей инфраструктуре.
  • Использование шлюза данных (также выполняющего функции DBF) – шлюз автоматически анализирует запросы в режиме реального времени, проверяя их на соответствие правилам безопасности, и блокирует подозрительную активность.

Кроме того, сейчас на рынке также существуют решения, объединяющие вышеперечисленные технологии DAM, PAM и DBF. Согласно классификации Gartner, такие системы относятся к классу Data Security Platform (DSP) и обеспечивают безопасность данных на всех этапах их обработки, хранения и передачи.

Функционал DSP обычно включает в себя гибкое управление доступом, отслеживание трафика и мониторинг инфраструктуры, реализацию принципа минимальных привилегий, инвентаризацию и классификацию данных, а также шифрование данных на всех уровнях.

Однако важно учитывать, что разные DSP-решения могут отличаться по функционалу. Например, в рамках custdev мы выявили, что для бизнеса также интересна возможность развертывания баз данных в полностью защищенной среде. А простейший анализ рынка аналогичных решений этого класса показывает, что такие системы также могут иметь разный фокус. Например, одни – больше нацелены на предотвращение атаки, другие – на контроль привилегий и аудит активности. Поэтому выбор конкретного решения зависит от целей и потребностей бизнеса.

Очевидно, что в условиях, когда киберугрозы становятся все изощреннее, выстраивание эффективной системы защиты информации не может ограничиваться лишь выполнением требований регуляторов. И хотя современные технологии, такие как DSP-платформы, позволяют комплексно подойти к организации безопасности, минимизируя риски как внешних, так и внутренних угроз, важно также работать над созданием культуры осознанного подхода к защите данных в компании, чтобы успешно противостоять новым вызовам цифровой эпохи.

Рубрика:
{}E-Commerce
Теги:
#ЭВРИТЕГ
#СЕРГЕЙ ТИМОШЕНКО

ТАКЖЕ ПО ТЕМЕ

Более половины европейских интернет-магазинов секонд-хенда нарушают права потребителей
В 2025 году рынок электронной коммерции Тайваня вырастет на 7,9%
Китай продолжит доминировать на мировом рынке электронной коммерции
Ozon запускает продажу автомобилей с пробегом
Более половины европейских интернет-магазинов секонд-хенда нарушают права потребителей
В 2025 году рынок электронной коммерции Тайваня вырастет на 7,9%
Китай продолжит доминировать на мировом рынке электронной коммерции
Ozon запускает продажу автомобилей с пробегом