Choć 56% polskich internautów robi zakupy w sieci, to zaledwie jedna czwarta przebadanych przez Gemius w badaniu „E-commerce w Polsce 2018. Gemius dla e-Commerce Polska” uważa e-shopping za w pełni bezpieczny. Powodem niskiego zaufania może być fakt, że właściciele e-sklepów nadal niewystarczająco poważnie podchodzą do kwestii związanych z cyberbezpieczeństwem. Takie bowiem wnioski płyną z badania „Stan Cyberbezpieczeństwa Polskiej Branży E-commerce” przeprowadzonego w lipcu 2018 roku.

80% e-sklepów padło ofiarą cyberataków

Dziś w sieci kupuje ok. 15 milionów Polaków. Nic więc dziwnego, że dla większości firm sprzedaż online stanowi ponad 50% obrotów. Zbliża się też grudzień, czyli gorący okres przedświąteczny, podczas którego sklepy będą notować jeszcze większy ruch, a przy tym także przychody. Choćby z tych powodów kwestie bezpieczeństwa i ochrony przed atakami powinny stanowić wartość priorytetową. Czy tak jest? Nie zawsze.

Aż 80% ankietowanych przyznało, że kiedyś doszło (60%) lub prawdopodobnie doszło (20% twierdzących odpowiedzi) do incydentu związanego z naruszeniem bezpieczeństwa, takiego jak np.: wyciek danych, phishing, cyberszpiegostwo, włamanie do sieci czy oszustwo popełnione przez pracownika. Mimo tego, zaledwie 40% e-sklepów przeprowadza testy penetracyjne, choć i tak nie robi tego regularnie.

Podatność na cyberataki

Celem regularnie przeprowadzanych testów penetracyjnych jest wykrycie luk w zabezpieczeniach oraz ich eliminacja tak, aby maksymalnie utrudnić lub uniemożliwić atak. Im solidniej skonstruowany system bez „dziur” w oprogramowaniu, tym mniejsze zainteresowanie cyberprzestępców, którzy kierując się rachunkiem opłacalności, na przedmiot ataku z reguły wybierają gorzej zabezpieczone e-sklepy.

Tymczasem, zgodnie z badaniem, zaledwie 40% e-sklepów przeprowadza testy penetracyjne, choć i tak najczęściej robi to w sposób nieregularny. Pozostałe 60% nigdy nie zleciło audytu bezpieczeństwa niezależnym ekspertom. Okazuje się, że standardem są wyłącznie konwencjonalne metody zabezpieczeń przed atakami, tj. certyfikaty SSL (100%), systemy antywirusowe (100%), zarządzanie hasłami (80%) i szyfrowanie danych (60% twierdzących odpowiedzi). Mało który przedsiębiorca stosuje rozwiązania pozwalające wykryć zagrożenia w infrastrukturze informatycznej (IDS/IPS/WAF). Odpowiedź „tak” udzieliło tylko 7% ankietowanych.

Połowa sklepów nie ma planu na wypadek cyberataku

Co ciekawe, a przy tym dość niepokojące, znaczna część respondentów badania nie obawia się utraty danych. 33% eksportuje dane do innych systemów, mogąc je odtworzyć przy niedużym nakładzie pracy. 20% przechowuje kopie w innej lokalizacji. Blisko 7% przyznała, że odtworzenie większości danych powinno być możliwe, ale przy dużym nakładzie pracy. 20% e-sklepów w ogóle nie tworzy kopii zapasowej, a 20% nie znało odpowiedzi na to pytanie.

Sytuacja dziwi o tyle, że prawie 50% e-sklepów nie ma żadnego planu działania na wypadek wystąpienia cyberataku. Niecałe 27% przebadanych nie spodziewa się wpływu awarii na sprzedaż, ponieważ funkcje automatycznie przejmują serwery z innej lokalizacji. Nieco ponad 6% ma gotowy plan ręcznego uruchomienia sklepu w innej lokalizacji. Tyle samo firm ryzyko wystąpienia przerwy w sprzedaży ma wkalkulowane w biznes.

Badanie „Stan Cyberbezpieczeństwa Polskiej Branży E-commerce” przeprowadzone przez TestArmy CyberForces odbyło się w lipcu 2018 roku na grupie ponad stu polskich sklepów internetowych. Roczne obroty ponad 50% z nich mieściły się w skali od 1 do 10 mln zł. 30% – zarabia poniżej miliona. Pozostali – powyżej 10 mln zł (5% - od 10 do 50 mln zł, 5% – od 50 do 100 mln zł, a kolejne 5% - powyżej 100 mln zł rocznie). 5% ankietowanych odmówiło ujawnienia informacji o osiąganych zarobkach. Z pełnym raportem można zapoznać się tutaj.

Źródło: TestArmy CyberForces