Nie ufaj nikomu, czyli koncepcja Zero Trust – bezpieczeństwo i ochrona danych osobowych w sklepie internetowym

Kwestia bezpieczeństwa komunikacji w Internecie jest silnie splecione z firmą Akamai, i to nie bez powodu. Ponad 23 lata temu, w momencie jej założenia, głównym celem biznesowym firmy było usprawnienie ruchu w szybko rozwijającej się sieci globalnej. W efekcie powstała sieć Content Delivery Network dostarczająca statyczny content do użytkowników końcowych. Dziś Akamai koncentruje swoją uwagę na bezpieczeństwie, mając ku temu mocne przesłanki – swoimi serwerami obsługuje ponad 30% całego ruchu w Internecie, dwie trzecie zapytań DNS, a blisko 95% użytkowników Internetu jest co najwyżej o jeden serwer od maszyn Akamai.

Ochrona danych osobowych w sieci – co, kiedy zawiodą zabezpieczenia?

Dostęp do tak gigantycznej bazy danych o zwyczajach i nawykach użytkowników, czy o nowych sposobach działania cyberprzestępców, pozwala na budowanie efektywnych rozwiązań programistycznych, które skutecznie chronią przed wyciekiem lub utratą danych chronionych prawem.

Jak twierdzi Maciej Treder, programista z Akamai, realne i wymierne koszty braku odpowiednich zabezpieczeń dotyczących ochrony danych osobowych Klientów mogą sięgnąć kwoty nawet 3 mln zł, bo taką karę wymierzył Urząd Ochrony Danych osobowych firmie morele.net, która dopuściła do wycieku danych. Nie jest to przypadek odosobniony, bo tego typu problemy miał także np. Decathlon, a i Politechnice Warszawskiej także zdarzyło się nie ustrzec przed utratą danych. Kara od UODO to tylko czubek góry lodowej, bo do tego trzeba doliczyć koszty ugód z partnerami, odszkodowań wypłacanych poszkodowanym podmiotom i osobom fizycznym, a przede wszystkim – rzeczy bezcennej – utraty zaufania Klientów sklepu internetowego i szkód na wizerunku. Odbudowa relacji z klientami i partnerami zajmuje długie lata i jest bardzo kosztowna.

W tle są także często nieuwzględniane koszty pracy specjalistów IT, których trzeba dodatkowo zatrudnić do uprzątnięcia bałaganu pozostawionego przez atakujących, czyli np. naprawy uszkodzonej struktury baz danych, czy czasochłonnego i kosztownego przywrócenia skasowanych danych. O zapłaconych okupach nie warto już nawet wspominać, bo to dla wielu firm sprawa bardzo wstydliwa.

Bezpieczeństwo danych osobowych Klientów w internecie

Mało kto zdaje sobie sprawę, jak wiele czynności, które codziennie wykonujemy jako konsumenci, jest opartych na zaufaniu. Każda płatność kartą kredytową, czy smartfonem, każdy elektroniczny przelew, w sklepie, czy na wakacjach, przy zakupach biletów lotniczych, czy za puszkę coca-coli, jest to w istocie decyzja o zaufaniu jakiejś instytucji. Wszyscy oczekujemy, że zrealizuje ona transakcję rzetelnie i zagwarantuje pełną ochronę naszych danych osobowych, numeru karty, PIN-u, czy jakichkolwiek innych danych, które powierzamy do przetwarzania gdzieś w Internecie. Liczba i znaczenie tych danych, które w zaufaniu przekazujemy, bywa imponująca. Samo wypełnienie wniosku kredytowego oznacza ujawnienie naszych danych osobowych, numerów NIP i PESEL, miejsca zamieszkania, numeru księgi wieczystej, wysokości raty kredytu hipotecznego, liczby kart kredytowych z wysokością limitów na nich, przekazujemy skan dowodu osobistego itd. Jeśli kupujemy bilet lotniczy, ujawniamy numer paszportu. Jeśli robimy zakupy w sklepie internetowym, przekazujemy szczegółowe dane o adresach własnych, ale często także bliskich nam osób, zostawiamy numer karty kredytowej.

Zabezpieczenia aplikacji internetowych – jak wygląda ochrona danych w sklepach internetowych?

Warto zatem choć przez chwilę się zastanowić, jak są zbudowane te aplikacje, którym powierzamy te bezcenne informacje o nas samych. W typowym sklepie internetowym część danych jest dostępna publicznie – są to informacje o towarach, stanach magazynowych, czy metodach płatności. Jednak po włożeniu towaru do koszyka i po decyzji o zakupie musimy się albo zarejestrować, albo przynajmniej podać te dane, które są konieczne do dokonania transakcji. W każdym przypadku są to informacje z tzw. pogranicza dostępności publicznej. Oznacza to, że są one widoczne wyłącznie dla tego jednego nabywcy, ale ponieważ są przechowywane w jednej tabeli bazy danych, to ich ochrona bywa dyskusyjna. Dlaczego? Bo to właśnie w dostępie do baz danych tkwi główny problem z jakością zabezpieczeń danych aplikacji internetowych.

Całą taka baza danych sklepu internetowego to także informacje o kontrahentach, fakturach, zamówieniach itd. Korzystają z niej nie tylko nabywcy, ale i pracownicy sklepu, czasami dostawcy. Najprostsze reguły bezpieczeństwa pozwalają na dostęp do danych przede wszystkim z własnej sieci lokalnej w biurze, ze służbowych komputerów. Wtedy najłatwiej o zachowanie pełnego bezpieczeństwa danych Klientów sklepu internetowego i nie tylko. Niestety, globalizacja, pandemia, tempo i nowe sposoby pracy wymuszają, aby dane były dostępne zdalnie, bo przecież handlowcy dużo podróżują, nie wożą ze sobą stacjonarnych maszyn, ale korzystają z laptopów, smartfonów, a i to niekoniecznie firmowych. Łączą się nie tylko przez zabezpieczony VPN, ale korzystają z publicznych sieci Wi-Fi na lotniskach, z sieci klientów, czasami z otwartych i publicznie dostępnych punktów dostępowych. Co wtedy?

Jak teraz wyglądają zabezpieczenia danych w firmach?

Do tej pory regułą było chowanie sieci wewnętrznej za firewallem, a pracownicy mieli obowiązek korzystać z niej wyłącznie za pośrednictwem jednoetapowo zabezpieczonego VPN. To niestety dość przestarzała metoda, nieskuteczna szczególnie w przypadku nieuprawnionego dostępu do sieci VPN. Może się przecież zdarzyć włamanie do urządzenia któregoś z pracowników, smartfon może zostać skradziony lub zgubiony. Nigdy nie ma pewności, czy po jednoetapowej autoryzacji dostęp do danych uzyskała odpowiednia osoba. Do tego dochodzą czynniki psychologiczne – czy pracownik wyspecjalizowany w sprzedawaniu np. umów leasingowych musi rzeczywiście mieć zawsze i wszędzie poprawnie skonfigurowany dostęp do VPN na każdym urządzeniu, z którego korzysta. Czy rzeczywiście będzie na tyle dobrze wyszkolony i zdyscyplinowany, aby zdawać sobie sprawę ze wszystkich zagrożeń i skutecznie im przeciwdziałać zgodnie z narzuconymi mu procedurami? W życiu bywa niestety różnie, czego dowodzą właśnie przypadki utraty danych i włamań do systemów wewnętrznych wielu firm.

Wbrew pozorom, takim niemiłym przypadkom sprzyja sukces biznesowy i szybki rozwój firmy. Zbudowana twierdza, czy baza danych obudowana firewallem zaczyna się rozpadać – aby zapewnić stały i pełny dostęp do koszyka, bo przecież lawinowo rośnie liczba klientów kanału internetowego, zapadają decyzje, aby koszyk przenieść do innej zduplikowanej instancji serwerowej. Utrzymanie szybko rozrastającej się infrastruktury informatycznej zaczyna przerastać możliwości i kompetencje własnego działu IT, stąd decyzje o wykorzystaniu usług IaaS (Infrastructure as as Service) albo SaaS (Software as a Service). W ten sposób prawidłowe zapewnienie ochrony dostępu do danych przy pomocy VPN staje się nie lada wyzwaniem, bo oczekiwanie od dostawcy usług, aby utrzymywał firmowe certyfikaty, może być mocno złudne.

Zero Trust – skuteczny mechanizm ochrony przed wyciekami danych

W konsekwencji, aby klienci mogli zaufać sklepowi internetowemu, ten nie może nikomu ufać – musi sam kontrolować każdy szczegół związany z dostępem do jego danych. Zatem zero zaufania (Zero Trust) do urządzeń, do miejsc, do pracowników własnych i dostawców usług. Nie od dziś wiadomo, że najbardziej zawodny jest czynnik białkowy, czyli człowiek. Proste logowanie generuje wiele pytań – czy wpisanie hasła do urządzenia gwarantuje, że zrobił to pracownik sklepu? Może hasło zostało skradzione. Konieczna staje się dwuetapowa autentykacja każdego użytkownika. Niezbędne są precyzyjnie zaplanowane i ściśle przestrzegane prawa dostępu do określonych zasobów – programiści nie muszą widzieć faktur, a sprzedawcom nie jest niezbędny dostęp do repozytorium kodów dla deweloperów. Nad tym wszystkim, jak miecz Damoklesa, wisi zagrożenie ze strony intruzów, którzy mogli się włączyć do komunikacji w niezabezpieczonej publicznie dostępnej sieci Wi-Fi, z której w delegacji korzysta któryś z przedstawicieli handlowych.

Sposób na ochronę danych osobowych klientów sklepu internetowego

Lekarstwem na te stresy i zagrożenia jest platforma Akamai Edge. Od strony technicznej koncepcja jest relatywnie prosta – jeśli firmowa forteca chroniąca najcenniejsze dane będzie mogła komunikować się wyłącznie z serwerami Akamai, to pozostały ruch będzie można zablokować. W ten sposób do sklepu internetowego trafią wyłącznie zapytania przefiltrowane przez Akamai, a reszta będąca potencjalnym zagrożeniem, zostanie odrzucona – do aplikacji trafią wyłącznie bezpieczne requesty. Oznacza to, że sklep może być kompletnie wyłączony ze wszelkiego innego ruchu sieciowego.

Narzędzia do ochrony danych osobowych użytkowników – jak chronić prywatność klientów sklepu internetowego?

W ramach dodatkowych zabezpieczeń i usług Akamai dostarcza Enterprise Application Access Client, czyli rodzaj zaawansowanego VPN z dwuetapową autentykacją, co znacząco poprawia bezpieczeństwo. Aplikacje biznesowe mogą korzystać zarówno z instancji serwerowych zdefiniowanych przez użytkownika, jak i w modelu SaaS. Jest to możliwe dzięki modelowi implementacyjnemu Identity-Aware Proxy, w którym Akamai na poziomie serwerów DNS, a klienci z CNAME DNS definiują swoje adresy URL na platformie Akamai. W ten sposób Akamai staje się pośrednikiem, który w całości kontroluje ruch pomiędzy pracownikami klienta a jego serwerami firmowymi. Po dwuetapowej autentykacji użytkownika platforma Akamai dokonuje jego autoryzacji, sprawdza uprawnienia do danego zasobu i jeśli wszystko jest w porządku, udziela dostępu.

Dzięki operowaniu na poziomie serwerów DNS Akamai może proponować inne rozwiązania idące w parze z Zero Trust, np. Enterprise Threat Protector chroniące przed atakami typu pishing, czyli niezabezpieczonymi domenami lub adresami IP. Dostępne są także aplikacje przyśpieszające ruch www, działanie interfejsów API, czy aplikacji mobilnych, ale też podnoszące poziom zabezpieczeń zasobów sieciowych. Do portfolio tego typu rozwiązań należą Kona Site Defender i Web Application Protector chroniący strony internetowe, API i zasoby sieciowe przed atakami typu DDos (Distributed Denial-of-Service), a także Bot Manager zarządzający botami, w sposób dla nich niewidoczny.

Dopiero skorzystanie z pełnego zestawu aplikacji ochronnych i filtrowania ruchu pozwala na spokojny sen ? firmowa forteca będzie nienaruszona, a dane klientów bezpieczne.