A chave para a segurança de um e-commerce: não mine-a por dentro

Se a segurança digital já é um problema complexo para o uso casual da internet, tende a ser um desafio existencial para negócios online. Os ganhos em escala e a economia de tempo e dinheiro gerados pela digitalização têm como uma grande contrapartida a atenção permanente à cibersegurança.

Felizmente, os benefícios de uma loja digital geralmente compensam esse custo. Com efeito, grande parte do esforço dos lojistas em manter a segurança de uma loja virtual consiste em não arruiná-la, eles mesmos.

Posta dessa maneira, a observação pode causar estranhamento. No entanto, em um momento de expansão inédita do trabalho remoto, os riscos de invasões “vindas de dentro” aumentam exponencialmente. A possibilidade de fazer videochamadas diárias de trabalho até mesmo pelo celular levar muitos trabalhadores a usar VPN para Android para mudar a localização e preservar a privacidade na internet conectando-se para a rotina da loja.

Uma VPN é uma rede privada virtual, que criptografa a conexão entre um computador e seu destino — no caso, entre o trabalhador em sua casa e o servidor do comércio virtual, respectivamente. Uma VPN permite conectar-se à internet de maneira sem revelar a identidade do computador e nem o local, o que protege as conexões de observadores e invasores externos na internet.

O recurso a VPNs não é uma novidade para conexões corporativas, mas sim seu uso generalizado em empresas para trabalho a distância. Num cenário de operações convencionais, concentradas em escritórios, a intranet e a mobilização da equipe de T.I. de uma empresa geralmente são os mecanismos acionados para coibir as vulnerabilidades internas.

Com trabalho remoto, raramente os trabalhadores separam lazer e trabalho em computadores e celulares diferentes, tornando necessário fechar brechas. Estes são alguns pontos para se considerar a compra de uma VPN:

• Possibilidade de ocultar dados de navegação como IP e localização, algo muito importante para computadores usados na operação do e-commerce, seja essa loja grande ou pequena;
• Maior portabilidade: um grande perigo que os especialistas em TI apontam é o acesso a uma nuvem com informações valiosas feitas por computadores ou celulares não protegidos. Conseguir invadir esse dispositivo é a única atividade necessária para um hacker e uma VPN pode trazer uma camada de segurança extra além de uma senha segura;
• Acesso a conteúdo de qualquer lugar: com a possibilidade de mudar de país e ter um IP de acordo com essa mudança, você pode acessar conteúdo de qualquer lugar, algo importante porque são cada vez mais comuns as limitações geográficas em sites, softwares e apps.

A velha e sempre presente ameaça do phishing

Prestar atenção antes de clicar num link de e-mail ou resultado de busca não requer muito esforço. No entanto, o phishing é atualmente o cibercrime mais cometido no Brasil e no mundo.

O phishing é a atividade de criminosos virtuais de ludibriar internautas para que eles compartilhem dados confidenciais ou sensíveis, ou garantam acesso a seus sistemas. Esse golpe de engenharia social geralmente é feito por e-mails, que imitam fielmente fontes legítimas.

Esse tipo de crime vem se sofisticando. Hoje é possível encontrar incidentes de phishing até mesmo em redes sociais, como o LinkedIn. Na Black Friday brasileira, a incidência desse tipo de ataque foi de 10 mil casos entre 23 e 28 de novembro, de acordo com levantamento da empresa de segurança digital Axur.

A educação para evitar phishing é o inflexível condicionamento de suspeitar de tudo em que se clica. É uma prática difícil de adotar, mas eficaz. Em um momento de flexibilização das condições de trabalho com ferramentas digitais, é também uma prática necessária. Um trabalhador de ecommerce que clica num link de phishing de uma falsa promoção hoje pode causar a invasão do servidor da empresa amanhã, caso não use um computador ou celular exclusivo para o trabalho e outro para afazeres domésticos.

Segurança é importante, mas custa caro

Por fim, grande parte das vulnerabilidades dos sistemas de e-commerce precisam de um esforço mais concentrado e continuado do que atenção ao visitar endereços ou usar VPNs:

• fraudes de cartão;
• manipulações de preços;
• injeções SQL;
• cross-site scripting.

Todas essas são formas de ataques diretamente ligadas à programação estrutural das lojas virtuais. Por explorarem lógicas de programação e outras vulnerabilidades mais fundamentais, demandam muito tempo e trabalho de desenvolvedores — eis o desafio.

Esses ataques geralmente são direcionados aos carrinhos de compra e aos sistemas de pagamento de um negócio. Em algumas situações, a automatização e a terceirização são utilizadas para esses processos — o que pode ser um alento, quando os prestadores de serviço são vigilantes e bem-equipados, mas ainda mais preocupante quando não são.

Nem sempre os desenvolvedores de aplicações de comércio eletrônico têm a competência de implementar soluções realmente boas de segurança digital. Trata-se de uma constatação objetiva, não de um julgamento moral: o motivo pode variar muito, indo desde um prazo apertado e inexperiência a outras possibilidades.

Mas os problemas acabam aparecendo e precisam ser solucionados. Muitas vezes, a segurança é encarada como algo complementar por lojistas e desenvolvedores. Nesse pensamento, primeiro estrutura-se uma “fundação” e depois vêm as atividades de manutenção. Seria um pensamento razoável, mas a complexidade dos sistemas cresce muito rapidamente. Em muitos casos, aparecem outras prioridades inusitadas e não se consegue dar a atenção necessária às questões de segurança.

Administradores de negócios virtuais precisam atentar à segurança digital. Infelizmente, a mera presença de um “carimbo digital” sobre certificação SSL e outras precauções não são suficientes para manter as ameaças distantes. Uma mudança de percepção ainda é necessária, para entender que o aumento da conversão de vendas ou os ganhos de eficiência da automação podem ser perdidos em minutos em ocasiões de ataques virtuais. Esse diagnóstico é tão verdadeiro quanto soa catastrofista.

Nesse sentido, o treinamento de pessoal para boas práticas é essencial. Também a busca por bons profissionais na área e o acesso a relatórios e eventos ligados ao tema pode ser uma boa transição para um perfil mais cauteloso de funcionamento. A alta complexidade do problema e os altos custos implicados (ferramentas modernas, profissionais altamente especializados) tornam a cibersegurança mais um vetor a considerar nas decisões administrativas. Abrir os olhos para a existência dele é o primeiro passo para evitar uma involuntária autossabotagem.

O post A chave para a segurança de um e-commerce: não mine-a por dentro apareceu primeiro em E-Commerce Brasil.

Na próxima semana farei mais um review com depoimento e resenha sobre A chave para a segurança de um e-commerce: não mine-a por dentro. Espero ter ajudado a esclarecer o que é, como usar, se funciona e se vale a pena mesmo. Se você tiver alguma dúvida ou quiser adicionar algum comentário deixe abaixo.