Цикл  семинаров    «Безопасность  коммерческих  веб-­‐сайтов  и  интернет-­‐магазинов»  

SiteSecure  

Более  15  лет  опыта  на  рынке  информационной  безопасности    -­‐  в  Лаборатории  Касперского,  Акронисе,  Ростелекоме  и  др.    Уже  60  партнеров,  среди  которых:              Около  10.000  сайтов  постоянно  проверяются  нашим  сервисом  

Безопасность  -­‐  это  долго,  дорого  и  скучно  

Блокирование  поисковиками  

Блокирование  антивирусом  

А  также  мобильный  редирект  

Россия  –  лидер  по  числу  зараженных  сайтов  

По  официальным  данным  Лаборатории  Касперского  

Россия  –  лидер  по  числу  зараженных  сайтов  

Согласно  отчету  MicrosoO  Security  Threat  Report  

Вирусы  наносят  удар  по  онлайн-­‐бизнесу  

По  данным  исследования  RuWard  и  SiteSecure    

Владелeц  каждого  7  сайта  подвержен  риску  финансовых  потерь  из-­‐за  имеющихся  на  сайте  проблем.    

 Более  50%  владельцев  не  знали  о  наличии  проблем  с  их  сайтами.    

Треть  продолжала  тратить  средства  на  обслуживание  или  продвижение  сайта.  

В  результате  заражения  15%  бизнесов  прекратили  существование,    а  10%  пришлось  полностью  переделывать  сайт    

(выборка  из  750  бизнесов,  до  которых  дозвонились  вручную)    

Почему  растет  угроза  онлайн-­‐бизнесу  

•  Бурный  рост  онлайн-­‐торговли,  30%  в  год  •  600.000  сайтов  коммерческих  фирм  •  40.000  интернет-­‐магазинов  •  Многие  сайты  сделаны  фрилансерами,    на  нелицензионных  или  opensource  CMS  

•  Заказчик  не  осознает  угрозы  и  еще  не  понимает  необходимости  следить  за  сайтом,  использовать  мониторинг,  обновлять  CMS    

Мотивация  злоумышленников  

•  Цель  –  не  всегда  сайт  вашего  заказчика,    цель  –  простой  пользователь  интернета  

•  Эффективность:  одна  атака  заражает  максимум  сайтов  –  популярные  CMS  или  многие  сайты  на  одном  хостинге  

•  Скрытность:  заражать  «заброшенные»  сайты,  за  которыми  никто  не  следит  

Что  способствует  распространению  проблем  

•  Отсутствие  организационных  мер  защиты  •  Несоблюдение  базовых  технических  мер  •  Игнорирование  принципов  безопасной    разработки  и  сопровождения  веб-­‐сайтов  

•  Человеческий  фактор  –  случайные,  ошибочные  или  преднамеренные  действия  

Основные  группы  рисков  для  сайта  

•  Риски  для  владельца  сайта  – продвижение  сайта  может  быть  затруднено  или  невозможно.  Вы  теряете  средства,  потраченные  на  продвижение  

•  Риски  для  посетителей  сайта    и  конверсии  в  покупателей    – посетители  могут  быть  заражены  или  перенаправлены  на  другие  опасные  сайты.  Сайт  теряет  потенциальных  покупателей  и  лояльных  клиентов.    

Проблемы  всегда  происходят  не  вовремя  

Примеры  рисков  

•  Сайт-­‐визитка  –  Риск  испорченной  репутации  

•  Интернет-­‐магазин,  лидогенерирующий  сайт  – Финансовые  риски      (потеря  дохода  из-­‐за  снижения  числа  клиентов)      

–  Репутационные  риски  (потеря  лояльности  клиентов)  •  Сайт-­‐критическая  бизнес-­‐система  –  Степень  риска  зависит  от  влияния  системы  на  бизнес  

Посчитать убытки просто/

+/ +/ =/

Причины  проблем  

•  Уязвимости  в  CMS  и  модулях  •  Дыры  в  настройках  хостинга  •  Компьютер  владельца  сайта  •  Слабые  или  незащищенные  пароли  •  Настройки  по  умолчанию  Игнорирование  того  факта,  что  о  безопасности  сайта  нужно  позаботиться  заблаговременно  

Владелец  сайта  звонит  разработчику  

•  Из-­‐за  вируса  на  сайте  или  блокировки  в  поисковых  системах  теряет  деньги,    заканчиваются  звонки,  продажи  падают.  

•  Оперативная  реакция  разработчика  на  внезапную  проблему  маловероятна    

•  Разработчик  отвлекается  от  других  проектов  

Особенности  реагирование  разработчиков  на  проблемы  

•  Быстрая  реакция  не  всегда  возможна    (бизнес-­‐процессы  и  приоритеты  другие)  

•  У  студий  не  всегда  есть  ресурсы,  опыт,  сотрудники  и  инструменты  чтобы  эффективно  решать  проблемы,  связанные  с  безопасностью  

•  Такая  работа  «неудобна»  для  студии  •  Аврал,  потому  что  нет  проактивного  мониторинга  

Как  мониторить  и  предотвращать  проблемы  

•  Постоянно  проверять  работоспособность  сайта  •  Проверять  сайт  на  вирусы  и  по  черным  спискам  •  Делать  резервное  копирование  •  Регулярно  обновлять  cms  и  модули  •  Искать  скрытые  угрозы  –  уязвимости,  редиректы  •  Внедрить  политику  безопасности  

Выводы  

•  Сейчас  возрастают  риски  для  интернет-­‐бизнеса  •  Интернет-­‐угрозы  приводят  бизнес  к  убыткам  •  Web-­‐студии  –  первые,  кто  реагирует  на  проблему  клиента  и  пытаются  помогать,  но  не  всегда  могут  

•  У  студий  не  всегда  есть  ресурсы  и  опыт,  чтобы  быстро  и  эффективно  решить  проблему  

•  Для  повышения  безопасности  нужны  постоянный  мониторинг,  дополнительная  внешняя  защита