Meny

Lukk

Sikkerhet for din nettbutikk

Etter nyheten om at Intersport sin nettbutikk tidligere i år hadde blitt utsatt for et hackerangrep har vi mottatt flere spørsmål rundt hvilke grep vi i Convert tar for å ivareta sikkerheten til våre kunder. Intersport er ikke en kunde av Convert men vi drifter i dag 35 lignende løsninger. 

 

Intersport ble utsatt for et såkalt Magecart angrep, som er et alvorlig angrep der hensikten er å introdusere kode som henter ut betalingsdata fra kundene. En detaljert beskrivelse av hva som skjedde med Intersport kan leses her:   https://www.helpnetsecurity.com/2020/06/15/magecart-claires-intersport/

Enhver nettbutikk er eksponert for risiko både overfor Magecart angrep og andre hendelser. I januar i år opplevde f.eks en rekke store Nordiske nettbutikker at tjenesten gikk ned i flere dager da et løsepengevirus fant veien inn på serverne til Webmercs. 500 nettbutikker lå da nede i flere dager. 

Som kunde i Convert skal du føle deg trygg på at vi hele tiden gjør vårt ytterste for å sikre at lignende hendelser ikke oppstår blant våre kunder. Vi er derimot også helt avhengige av våre kunders hjelp.

For å sikre våre nettbutikk gjør vi blant annet følgende:

  • Vi har ingen lokal hosting. Alle våre kunder er hostet på enten Amazon Web Services, Digital Ocean eller i Magento Cloud som alle er store globale aktører med omfattende sikkerhetstiltak bak tjenestene sine. 

  • Våre betalingsløsninger er levert av seriøse aktører som Klarna, Nets og Vipps som også har sikkerhet høyt på agendaen. 

  • Vi har gode rutiner for å kontinuerlig overvåke alle tjenestene vi drifter og logge hendelser i løsningen. I kjølvannet av Intersport saken gjennomgås disse nok en gang med spesifikt fokus på Magecart angrep. 

  • Vi har gode rutiner på adgangskontroll på tvers av alle våre tjenester og våre kunders nettbutikker. Dette er viktig ut fra både sikkerhet og GDPR hensyn. 

  • Vi har gode rutiner for hyppig backup av løsningen din skulle uhellet være ute.

  • Vi implementerer ikke 3. parts moduler uten å først å ha tatt en audit av disse for å avdekke eventuelle sikkerhetshull. 

Vi ber våre kunder ta følgende hensyn for å øke sikkerheten i sine nettbutikker. 

  • Løpende oppdatering av Magento og andre kritiske systemer. Er du alltid på siste versjon er risikoen lav. Magento introduserer security patches flere ganger per år og det er viktig at vi får oppdatert deres nettbutikk.  Dette vil medføre noen kostnader men konsekvensene av å ikke oppdatere kan bli alvorlige. Vi informerer så snart oppdateringer er klare samt at du vil se dette i ditt Magento kontrollpanel. 

  • Ikke benytt noen utdaterte programvarer knyttet opp til deres digitale handelsløsning. F.eks vil Magento 1 som etter 30. juni er end of life og ikke supportert, i økende grad være en stor sikkerhetsrisiko fremover. 

  • Ha god tilgangskontroll på Magento. Rydd opp i hvem som har tilgang til å logge inn i Magento. Vær sparsom med å gi admin tilgang. Utnytt mulighetene til å differensiere tilganger.

  • Bruk avanserte passord som er vanskelige å knekke. Brukernavn “Admin” og “Passord123” utgår. Igjen utnytt mulighetene i Magento til å sette opp avanserte passord som jevnlig må fornyes. 

  • Vær ekstra påpasselig dersom du introduserer 3. parts kode på din nettbutikk selv. Bruk tjenester som f.eks www.builtwith.com for å identifisere tjenester som ikke lengre er i bruk og kan fjernes. Dette vil trolig også ha en positiv effekt på hastigheten. 

  • Ta det på alvor hvis noen av kundene dine rapporterer om “noe rart” i nettbutikken, spesielt i kassen. Ta heller kontakt med oss en gang for mye enn en for lite.

  • Jobb med organisasjonen for å informere om risiko knyttet til vedlegg i epost adresser og ta generellt sikkerhet på alvor på tvers av hele deres virksomhet. 

Vi er klar over at løpende oppdateringer og reparering av sikkerhetshull ikke står øverst på prioriteringslisten når e-commerce budsjettet skal brukes. Det er allikevel viktig å huske på at ved en eventuell hendelse vil dette plutselig være viktigere enn alt annet.

Vi håper at vi ved å alltid ha sikkerhet høyt på agendaen kan unngå at uønskede hendelser inntreffer. 

For mer informasjon rundt temaet: