也許誠如老派讚美之歌裡說的,節日是「一年當中最美好的日子」。但對負責監督電子商務網站的 IT 安全團隊而言,節日恐怕也是「一年當中最可怕的日子」。
回顧 2018 年聖誕季發生的網路犯罪活動,難怪 IT 安全團隊會有如此感受:
這份雜誌也發現,在黑色星期五到新年這段期間,網路罪犯在遭到入侵的電子商務網站上植入了近 7,000 個數位信用卡盜刷程式;也就是說,在聖誕季這段期間,每一天發生的事故將近 180 件。
2018 年的統計資料令人心驚,但迎接聖誕季應具備的電子商務網站 IT 安全防範基本措施與平常其實是一樣的。您在 12 月實施的數位資產與客戶資訊保護措施,應與 7 月時的做法相同。
差別在於,假日季的風險高了許多。在這段時間,上網購物的消費者會比平常多,消費金額也比較大。同時,上網的駭客也會變多,他們會比平常更賣力地竊取任何信用卡資訊。如果碰上聖誕季當中最繁忙的日子,例如星期一網購日 (Cyber Monday),蠢蠢欲動的駭客就會更加振奮。
您最該避開的大忌,就是在一年當中最重要的送禮季節惹毛客戶。如果有人在 7 月打算採購禮物送給家人卻空手而回,您還有機會挽回;但如果同樣的情況發生在 12 月...恐怕對方這一去就不會再回頭了。
談到節日 IT 安全防護方案,首要之務也許是讓客戶知道您為了保護電子商務網站所採行的一切措施,並且妥善保管客戶的資訊,避免讓網路罪犯得手。您可以在網站首頁上放一個橫幅,用於宣傳網站的安全程度,並且提供一個網頁連結,在這個網頁中詳細說明您為了保障安全而部署的技術、原則以及流程。
最理想的安全防護應該要包括以下九項防禦措施:
1.PCI DSS 鑑定
如果您目前並不符合支付卡產業資料安全標準,您就來不及在今年聖誕季之前做好這項防護措施,不過,還是建議您將此列入明年度預定達成的目標。要符合安全標準,您就必須實施完善的安全管制機制,此外,這也是非常好的認證資格,可以向客戶證明您是認真看待安全防護一事。
2.虛擬私人伺服器
檢查確認平台代管供應商為您安排的是否為虛擬私人伺服器。虛擬私人伺服器的成本稍高於共用代管服務,但能發揮防護作用,避免因共用平台上另一個電子商務網站的安全防護措施不佳而拖累您。
3.整個網站一律採用 HTTPS
有些電子商務公司只在網站上的付款區使用 HTTPS 安全通訊協定。其實,整個網站全面採用如此等級的防範措施相當重要,因為任何一個網頁都有可能遭駭。這項措施也有助於提升您在 Google 的排名。
4.平台安全檢查
網站平台供應商第一次與您接洽時,您可能會調查對方提供的安全防護等級。繼續查證其安全等級非常重要,在節日即將來臨之際更是如此。電子商務網站需要不間斷的維護與修補。
5.變更管理員認證
應定期變更管理員認證,節日來臨前更要如此。一定要發揮巧思,採用不易破解的使用者名稱和密碼。同時,管理員存取權限必須設限,只對特定使用者 IP 位址開放,並且要設定警示,一旦有人嘗試登入失敗,您馬上就會知道,因為這個警訊代表可能有駭客正在暗中作祟。
6.採行不儲存信用卡資料的原則
在許多電子商務平台上,您都可以讓客戶選擇是否要儲存詳細的信用卡資料,但這種做法會大大提高遭駭風險。您也可以強調您不儲存任何信用卡資料,並且說明這是為了為客戶提供進一步的安全保障。
7.詐騙偵測軟體
這類工具能即時判斷每一筆交易的風險程度,其判斷依據是下單裝置的 IP 位址,以及是否採用任何隱匿方法,例如代理伺服器。如果出現可疑情況,您可以拒絕訂單,也可以要求客戶額外提供能夠查證其身分的資訊。
8.安全防護層
沒有一種防禦機制能夠完全獨立運作。部署多層防護相當重要,例如惡意軟體偵測、實體防火牆以及網路應用程式防火牆,如果您的客戶分佈於多個地理位置,當然也包括內容傳遞網路。您也可以要求客戶使用多重要素驗證存取您的電子商務網站。這種驗證方式多了一個確認客戶身分的步驟,例如必須輸入您傳送至客戶手機上的簡訊碼,不過,如果能夠防範不肖分子入侵客戶的帳戶,許多客戶應該會贊同這項措施。
9.資料備份與災難復原
關於聖誕季的安全防護措施還有另一個重要環節,那就是確認您的資料備份與災難復原流程可以正常運作。如果您盡全力做好防護措施,但仍讓網路攻擊得逞,至少,您得有能力盡快恢復正常運作,以利繼續正常接單。
實施以上所有防禦措施時,您都必須與主機供應商密切合作,不過,您也必須明白一件事:電子商務網站安全與否取決於您。因此,最好再與第三方安全顧問合作,此顧問要具備相關專業知識,要有能力確認您的主機供應商是否言行一致。這樣的安全顧問也能確認您的內部安全防護機制是否充分。
最後,希望這一切努力能讓您和您的客戶平安渡過快樂的聖誕佳節!