Não é novidade para ninguém que o comércio eletrônico está mudando completamente o modo de gerenciamento dos negócios. A transformação digital pela qual estamos passando tem tornado o consumidor cada vez mais exigente e dinâmico no que tange à busca de um produto pela internet.
Onde comprar? Como comprar? Esse lugar é seguro? Essas são algumas das perguntas que eu e você fazemos na hora de decidir em qual site adquirir um produto. Nesse aspecto, é vital que as empresas elaborem projetos de e-commerce que elevem não só a qualidade do serviço oferecido ao cidadão, como também garantam a proteção dos dados do consumidor.
Sem a proteção adequada, um ataque pode causar impacto no negócio, resultando em perdas financeiras e de imagem a ponto de afetar não somente o Market Share da companhia, como também a viabilidade financeira do e-commerce.
Ciberataques mais comuns no universo e-commerce
Existem algumas falhas que podem expor a fragilidade de um e-commerce. Elas podem ir desde a simples desatenção no gerenciamento dos servidores e sites (que sem as devidas atualizações e configurações necessárias podem ficar expostos às mais variadas ameaças de segurança da web), até a falta de orçamento das empresas para o uso de ferramentas e auditorias que proporcionem segurança ao sistema. Aqui algumas das falhas causadas por ataques:
- Manipulação do preço: o atacante consegue mudar o preço dos artigos manipulando a URL acessada.
- Mensagens não solicitadas (SPAM Snowshoe): nessa modalidade de ataque, são colocados arquivos infectados num e-mail, direcionando o indivíduo a abrir o arquivo expondo, assim, os dados do computador.
- Código malicioso: vírus, trojan horse (ou popularmente conhecido Cavalo de Tróia) e malwares são usados para infectar o computador da vítima com o objetivo de roubar informações como senha de cartões de crédito. Esses ataques podem usar e-mail, pen-drive, sites maliciosos ou compartilhamento de arquivos.
- Negação de serviço: alguns sites de e-commerce podem sofrer com uma quantidade de requisição maior do que está preparado para processar, afetando assim o seu funcionamento e, consequentemente, as vendas.
- Roubo de informações: como muitos sites permitem que as informações do cartão de crédito possam ser armazenadas nos bancos de dados, alguns ataques são direcionados para invadir esses sistemas e roubar os dados de compra dos clientes.
Protegendo o comércio eletrônico na web
Por sorte, existem ferramentas e práticas que o empreendedor pode tomar para evitar ciberataques aos dados de sua rede e-commerce.
- Instalação de poucos programas ou bibliotecas para ter o servidor funcionando;
- Usar proteção Anti-DDoS na frente do servidor e à nível de aplicação;
- Instalar e manter atualizados os programas e bibliotecas com as correções disponibilizadas;
- Restringir o acesso a usuários administradores, estabelecendo uma política forte para senhas;
- Balancear o tráfego para mais de um servidor, a fim de garantir alta-disponibilidade;
- Posicionar um firewall de aplicação web (WAF) e configurar de acordo ao ambiente e regras de negócios;
- Auditar o código da aplicação;
- Configurar o site com HTTPS (o famoso certificado digital);
- Realizar backups periódicos dos dados (esse um dos mais importantes, para você não ter dor de cabeça num ataque virtual);
- Solicitar um segundo fator de autenticação ao usuário para transações críticas, seja por SMS, aplicação para smartphone, entre outras.
Mais do que tudo isso, é preciso que os empreendedores tenham a consciência de que a segurança cibernética está diretamente e, principalmente, ligada ao negócio digital, sendo tão necessárias quanto a própria infraestrutura do e-commerce.
Portanto, negligenciar essa realidade é a mesma coisa que abrir uma loja no centro da cidade e não colocar portas e fechaduras.
* Carlos Cortizo é gerente de sistemas de engenharia da Fortinet