1 / 16

„Ukradená“ databáze aneb Jak uchránit e- shop před ztrátou dat

„Ukradená“ databáze aneb Jak uchránit e- shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika. Internet jako prodejní kanál. Velikost internetové populace přesáhla v prosinci roku 2009 v ČR 5,51 milionů RU (historické maximum).

carrington
Download Presentation

„Ukradená“ databáze aneb Jak uchránit e- shop před ztrátou dat

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. „Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika

  2. Internet jako prodejní kanál • Velikost internetové populace přesáhla v prosinci roku 2009 v ČR 5,51 milionů RU (historické maximum). • Populace nadále roste. • Nákupní tendence internetové populace - 24% alespoň jednou nakoupilo na internetu, 21% nakoupilo za posledních 12 měsíců. • Nejpopulárnější je nakupování mezi VŠ, obyvateli Prahy a studenty. • Za poslední 4 roky výrazně stoupl podíl nakupujících žen z 33% na 43%. Zdroj: NetMonitor

  3. Stručně o e-shopech • Lidé nakupovali i během krize. • Tržby byly přibližně stejné jako v roce 2008. • Někteří z velkých hráčů zvýšili obrat až o 30%. • Meziroční nárůst e-commerce se však celkově pohyboval řádově v jednotkách procent (výrazné rozdíly mezi malými a velkými e-shopy). • Vánoční tržby e-shopů dle odhadů přes 8 mld. - nárůst ve srovnání s rokem 2008 o 25%. Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online

  4. Stručně o e-shopech • V roce 2009 se zvýšil počet lidí nakupujících na internetu. • Příliv nových zákazníků až o 20% na velkých e-shopech. • Ačkoliv není známo přesné číslo, počet e-shopů v ČR v současné době dosahuje ke hranici 30 tisíc. • Neustále vznikají další nové e-shopy, hlavně v segmentech s malou konkurencí a s vysokou mírou specializace. • Trendem jsou nově i obory, kde se dříve vůbec o prodeji přes internet neuvažovalo. Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online

  5. Databáze e-shopu: Jaké informace skrývá? Varianty: • Databáze v e-shopu. • Databáze v ERP systému.

  6. Databáze v e-shopu Obsahuje: • Popisy produktů - obchodní informace o produktech (cena, dostupnost, DPH…). • Informace o nakupujících (adresy, e-maily, telefonní čísla, zakódovaná hesla…). • Objednávky. • Faktury, dodací listy a další doklady. Hrozí: • Databáze v e-shopu je méně bezpečná než v ERP, hrozí větší bezpečnostní rizika. • Největší problém - informace o nakupujících (možné obchodní zneužití databáze, vydírání atd.)

  7. Zákonná ochrana dat Ne všechna data v databázi e-shopu jsou citlivá. • Nejdůležitější je respektovat zákon č. 101/2000 Sb., o ochraně osobních údajů. • „Správce údajů musí přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům a k jejich jinému neoprávněnému zpracování a zneužití.“ • Vztahuje se především na informace o nakupujících (jména, adresy, e-maily, telefonní čísla, hesla atp. ). • Velkou hodnotu však mohou mít i firemní údaje - objednávky, faktury, doklady, informace o nejčastěji kupovaných produktech, ceníky, pravidla tvorby slev atd. • Za nedostatečnou ochranu osobních dat nehrozí trestní postihy, ale pokuty až do výše 10 milionů korun.

  8. Bezpečnostní rizika • Ztráta dat (útočník, nevhodný uživatelský zásah, havárie HW) 65% • Krádež dat (útočník, záškodník) 8% • Zneužití dat 15% • Falšování dat 12%

  9. Důvody pro napadení • Jak se před napadením bránit? • Prevence! • Bezpečnostní audity. • Ochrana a zabezpečení dat. • Obrana technickými prostředky. Proč hackeři útočí na e-shopy? • Prodej databáze SPAMerům. • Konkurenční boj. • Prodej databáze původnímu majiteli. • Vydírání za účelem zisku. • Zneužití dat k osobnímu prospěchu. • Publicita.

  10. Způsob krádeže databáze • SQL Injection • Technika, která vsune SQL kód přes neošetřený vstup aplikace. • Obrana: • Ošetření vstupu na straně aplikace. • Nastavení práv na straně databáze. Krádež zevnitř • Nejčastější způsob úniku dat. • Bývalý zaměstnanec. • Sociální inženýrství. Obrana: • Bezpečnostní politika firmy. • Směrnice pro práci s daty. • Definice úrovní přístupu k datům.

  11. Zabezpečení databáze proti krádeži • Nejdůležitější je prevence! • Nastavte přístupová práva v databázi. • Omezte přístupy na lokální síť. • Uživatelská hesla ukládejte zahashovaně. • Zálohovat, zálohovat, zálohovat! • Největší nebezpečí hrozí zevnitř! • Obrana technickými prostředky (zákazy použití flashek, přenosných disků atd.) • Vnitrofiremní směrnice (práce s daty, přihlašování, ochrana hesla, šíření informací atd.) • Pravidelné kontroly dodržování směrnic, případně bezpečnostní audit.

  12. Zjistíte to vůbec? Mechanismy rozpoznávající napadení. Víte, kdo kradl? Zjištění rozsahu škod a podle závažnosti situace kontaktování Policie ČR. Zahájení trestního řízení. Zahájení adhezního řízení (o náhradu škody). 3. Máte to jak to prokázat? Vytvoření dokumentace, zajištění dat, ochrana před manipulací s důkazy. Kontaktování znalce, expertní posudek nezávislé organizace. 4. Chcete se domluvit se zlodějem? Bude vás to něco stát. Problém - data se dají kopírovat. Nikdo vám nezaručí ochranu před možným vydíráním. Co dělat, pokud ke krádeži dat dojde? Pár důležitých otázek

  13. Kontaktovat policii. Zahájit trestní řízení. Je třeba počítat s tím, že šance získat odškodnění za zneužití dat v rámci našeho právního systému je zatím spíše utopie. Elektronická data lze snadno modifikovat a proto jsou většinou pro soud jako důkaz nepřijatelná. Vytvořit dokumentaci a zajistit data. Zjištění přesného rozsahu škod, odhad potenciálních rizik. Zabezpečení důkazů před možnou manipulací, jinak je nelze vůbec použít jako důkazy. Ideální je mít bezpečnostní audit před krádeží a znalecký posudek po krádeži. Krizová situace – řešení krok za krokem

  14. 3. Zavést přísná bezpečností opatření. Viz zabezpečení databáze proti krádeži, pokud již nebylo. (Prevence!) Stanovení preventivního plánu pro postup v krizových situacích. Zpřísnění norem a vnitropodnikových směrnic, postihy za jejich nedodržování. 4. Upozornit své klienty a kontakty. Vysvětlit problém. Omluvit se. Formálně nabídnout odškodnění. Krizová situace – řešení krok za krokem

  15. Váš dodavatel e-shopu www.oxyonline.cz- oXy Online Policie České republiky Znalecký ústav RAC v oboru kybernetiky a výpočetní techniky www.rac.cz - Risk AnalysisConsultants Kam se obrátit pro pomoc a radu? Pár důležitých kontaktů

  16. Děkujeme za vaši pozornost. Mgr. Jana Oborná marketing managerj.oborna@oxyonline.cz Petr Uttendorfský ředitel divize eSales p.uttendorfsky@oxyonline.cz

More Related