E-commerce e sicurezza
Per e-commerce si intende la compravendita di prodotti o servizi attraverso sistemi elettronici come Internet e altre tipologie di reti informatiche. L’e-business ne è considerato il fulcro, come funzione commerciale di vendita. Il commercio per via elettronica ha avuto un’ampia e massiccia diffusione, tutt’ora in corso. Di fatto Internet è ancora in espansione e le potenzialità sono molteplici.
Le tipologie di commercio comprendono: il trasferimento di fondi, la gestione delle forniture, la logistica, il marketing diretto via Internet, lo scambio di transazioni on-line, lo scambio elettronico di dati, la raccolta automatizzata di dati.
Proporzionalmente all’aumento delle transazioni elettroniche, sono aumentati anche gli attacchi informatici. I tentativi di truffa e i furti di identità, sono i motivi per i quali è bene che l’e-commerce rispetti queste regole basilari:
- Riservatezza: lo scambio di informazioni tra le parti deve avvenire in modo sicuro e al protetto affinché terzi non possano accedervi
- Integrità: i dati scambiati non devono e non possono essere modificati in alcun modo
- Autenticità: sia il mittente che il ricevente devono dimostrare e confermare la loro identità
- Garanzia del non ripudio: impedire che l’origine delle informazioni possa essere contraffatta e negata dall’autore
Un e-commerce sicuro non può fare a meno di queste regole, sulle quali poi andranno sviluppate una serie di ulteriori difese attive, come quella di scongiurare un DoS (Denial of Service).
Riservatezza
A causa l’elevato diffondersi della piaga dei furti di identità in tutto il mondo, sia personali che aziendali, il trattamento dei dati personali è ormai una delle preoccupazioni principali che un gestore di e-commerce deve avere, per i suoi utenti e per se stesso. E’ fondamentale anche attenersi alle regole comunitarie vigenti, nel nostro caso devono essere seguite quelle del Garante della Privacy oltre che quelle della Comunità Economica Europea.
Più il servizio e-commerce si presenterà come sicuro e attento alle policy di riservatezza e più gli utenti saranno disposti a condividere informazioni attendibili oltre che a essere più fedeli.
La fiducia dei consumatori è strettamente legata al rapporto che una società manifesta per la privacy. Essa è quindi alla base della fidelizzazione, dell’aumento di acquisti, della disponibilità di provare nuovi prodotti. Influisce anche sulla partecipazione ai sondaggi e alle ricerche che richiedano la condivisione di dati personali aggiuntivi. Il trattamento dei dati personali è il nuovo biglietto da visita di una società e del proprio e-commerce. Gli investimenti relativi alla tutela della privacy dimostrano sempre più come il consumatore ricambi con affidabilità, fedeltà oltre che aumento degli ordini.
Integrità, Autenticità e Garanzia del non ripudio
Certificare la comunicazione tra un cliente e una società e viceversa è fondamentale. Gli attacchi informatici sono in forte crescita e utilizzano metodi combinati per sottrarre le informazioni, tra cui il phishing e social engineering. Essi possono permettere al truffatore di ottenere informazioni riservate, oppure con la falsificazioni di comunicazioni transazionali, è possibile inviare agli utenti un link o un’immagine da quali verrà scaricato un malware o peggio un trojan. Una telefonata apparentemente normale può manipolare una persona non preparata a contrastare una tipologia simile di attacco.
Documenti falsificati, con estensioni .pdf o .doc, possono contenere a loro volta codice opportunamente modificato che può compromettere in poco tempo gli account memorizzati sui dispositivi dei clienti. Anche il dato trasmesso potrebbe essere alterato con un attacco specifico. Anche il software scaricato o la transazione potrebbero essere differenti dall’originale. L’unico modo per prevenirne una manipolazione, è quella di utilizzare una verifica di ridondanza ciclica, o checksum, per i documenti e i software. Un hash come l’MD5 è indicato per le transazioni, in modo che difficilmente si riesca a risalire all’informazione originale (anche se non è del tutto impossibile).
Le chiavi crittografiche asimmetriche sono probabilmente uno dei metodi più sicuri per scambiarsi i dati oggi. Offrono anche la garanzia del non ripudio, ovvero “il padre” del dato trasmesso non può negare di averlo fatto, indispensabile per evitare le truffe e le falsificazioni dei mittenti.
Per la percezione dell’utente che approda al vostro sito e-commerce, i certificati SSL, le firme digitali, l’autenticazione protetta all’area personale o riservata, l’autenticazione a 2 fattori, gli sms e le e-mail di notifica sicure e recapitate via SSL/TLS, sono criteri di sicurezza irrinunciabili e che fanno la differenza sulla scelta.
Esiste un e-commerce completamente sicuro?
La risposta è no. I recenti attacchi a DropBox, Facebook, LinkedIn, Yahoo!, lo dimostrano. Queste multinazionali non hanno certo risparmiato sugli investimenti riguardanti la sicurezza e-commerce. Oggi c’è una conoscenza tecnica molto più diffusa rispetto al passato ed esiste un vero mercato sommerso di vulnerabilità dei sistemi e back-end non ancora note (0-day).
Eliminare del tutto i rischi è impossibile. Tuttavia essi si possono ridurre con investimenti costanti sulla sicurezza. Formando il personale e seguendo costantemente la pubblicazione delle vulnerabilità. Con campagne informative gratuite per i propri clienti. I tempi rapidi di intervento e di monitoraggio sono indispensabili per capire se il proprio sito web è sotto attacco.
L’implementazione dei protocolli di sicurezza, oltre che la consapevolezza dei rischi, possono costituire una solida base per costruire un buon sito e-commerce. Tali regole devono ormai essere applicate e spiegate anche a chi nelle aziende ci lavora quotidianamente, a chi riceve le telefonate dei clienti, a chi lavora nell’amministrazione, ai fornitori e a tutto l’indotto connesso.
Un consiglio può essere quello di interloquire periodicamente con esperti di sicurezza. Effettuare i penetration test per una valutazione della sicurezza dei vostri sistemi, poi l’hardening e a seguire l’audit e report in caso di evidenze accertate, può salvare il vostro e-business, voi e i vostri clienti.
La consulenza di un ethical hacker o security evangelist, è un’opzione da non sottovalutare.
Letture consigliate
https://it.wikipedia.org/wiki/Privacy
https://it.wikipedia.org/wiki/Identit%C3%A0_digitale
https://it.wikipedia.org/wiki/Non_ripudio
https://it.wikipedia.org/wiki/Furto_d%27identit%C3%A0
https://it.wikipedia.org/wiki/Denial_of_Service
https://it.wikipedia.org/wiki/Penetration_test
https://it.wikipedia.org/wiki/Hardening
Commenti recenti