Slik sikrer du nettbutikken din mot svindel

- Microsoft har de siste årene registrert en kraftig økning av rettede angrep mot brukerkontoer. Det forteller Thomas Tømmernes som leder avdelingen for IT-sikkerhet i Atea.

Han viser til den siste Globale sikkerhetsrapporten fra Microsoft som presenterer funn fra omfattende analyser, og peker på trender i trussellandskapet.

- Årsaken er at kriminelle har en mengde muligheter til å utnytte informasjonen, tilliten og de digitale verdiene offeret har. IT-kriminelle bruker gjerne tilgangen til å utføre identitetstyverier mot privatpersoner, som skaper frustrasjon og økonomiske tap. Ikke minst er det både vanskelig og tidskrevende å rydde opp, forteller Thomas.

For å kunne redusere risikoen for IT-angrep, vil det være avgjørende å ha robuste sikkerhetstiltak på plass for å beskytte brukerkontoer og sensitive data. Under kan du lese flere tips fra Thomas, som kan hjelpe deg med å øke sikkerheten til nettbutikken din.

 12 tips for å sikre nettbutikken din mot svindel:

1. Ikke sett opp egen infrastruktur.

2. Bruk en kjent leverandør når du skal kjøpe nettbutikk-løsning. Disse tilbyr sikre betalingsløsninger, kryptering av informasjon osv.

3. Sørg for å ha en databehandleravtale som tydelig beskriver forventninger til personvern (GDPR), datasikkerhet og hvem som har ansvaret for hva. Det inkluderer også løpende og kryptert sikkerhetskopiering av hele løsningen.

4. Vær bevisst på hvilken personinformasjon du har og hvor lenge du tar vare på den. Jo mindre data du tar vare på, jo mindre data kan mistes. Trekk inn relevant rådgivningskompetanse fra en uavhengig tredjepart (ikke leverandøren av nettbutikken) fra starten av. Atea er en av flere som tilbyr denne tjenesten.

5. Be en tredjepart teste sikkerheten i nettbutikkløsningen, uavhengig av leverandøren av nettbutikken, og få en rapport av resultatet.

6. La nettbutikksystemer (butikk, check-out osv.) og interne systemer (epost, lønn, administrasjon osv.) være helt separate.

7. Ha et program for bevissthet rundt datasikkerhet blant ansatte og innleide konsulenter. Gjør de grunnleggende tingene; passordhygiene med tofaktor-løsning, kontroll på administrative brukere og lignende. .

8. Innfør to-faktor autentisering for alle brukere - ikke bare de som skal drifte nettbutikken. Spesielt der man legger igjen kredittkortinformasjon i løsningen, er dette avgjørende for sikkerheten.

9. Gjør din egen ikke-tekniske risikoanalyse av nettbutikkløsningen med utgangspunkt i egen forretningsverdi. Hva er verditap ved; nedetid én dag, én uke, flere uker? Hva er verditap ved tap av alle kundeopplysninger inkludert deres kortinformasjon (for eksempel omdømmetap)?

10. Vær obs på Ddos-angrep. Dette er nettkriminelle som oversvømmer servere med støy, som fører til at websiden bryter sammen. Har du en nettbutikk som krever høy oppetid, vil det være lurt å investere i denne formen for beskyttelse. De fleste internett-tilbydere tilbyr dette som en tjeneste.

11. Vurder kostnaden på løsninger og tjenester for IT-sikkerhet med utgangspunkt i forretningsverdien fra denne ikke-tekniske risikoanalysen. Evaluer sammen med en uavhengig tredjepart.

12. Vurder cyberforsikring. Cyberforsikring, eller forsikring mot data-angreps på norsk, kan dekke økonomiske tap og bistand til å stoppe, begrense og tilbakestille en IT-løsning (her nettbutikk) som har blitt utsatt for angrep/hacking.

Det er også viktig at du sørger for å ivareta regulativer som GDPR, og viser tydelig for kundene dine at nettbutikken din er ekte og sikker.

Thomas Tømmernes, IT-sikkerhetsekspert, ATEA