Artikel top billede

(Foto: PC World)

Sikkerhed i din webshop: Sådan sikrer du dine data

Opbevarer du dine kunde-data forsvarligt? Se, hvad hackerne kigger efter, og hvordan du kan sikre dig mod at få stjålet informationer fra din webshop.

Dine kundedata er måske noget af det mest værdifulde, som tyveknægte i din e-butik kan få fat i.

Det er derfor vigtigt at sikre sig, at din database-server er sikret mod, at fremmede folk kan stikke snablen ned i din database.

Du bør også tænke over, om din database og din webshop skal ligge på samme server.

"Generelt er det en dårlig idé at have både sit website og sin database liggende på den samme maskine. Det er en fy fy," siger Thomas Wong, chef-sikkerhedskonsulent i sikkerhedsfirmaet FortConsult.

Hans anbefaling lyder på, at din database skal ligge på et system, der kun kan ses fra webserveren, så resten af verden ikke også kan se dine data.

Vælg det rigtige webhotel

Langt de fleste vælger at leje sig ind på et webhotel. 

Her har du meget lidt kontrol over den platform, du nu lægger det på. 

Man skal derfor sondere markedet og høre udbyderne af webhoteller ad. 

"Du får stillet en maskine til rådighed, og så kan du uploade dit site, og det er det, du kan styre," lyder det fra Thomas Wong.

Hvis det er et seriøst webhotel, vil man kunne spørge udbyderen, hvad de gør for at sikre data. 

"Får de det udført? Får de udført penetrationstest? Det tror jeg ikke, de gør, hvis du giver syv kroner om måneden for det, men giver du 1.500 kroner om måneden for at få det hostet, mener jeg, at man med rimelighed kan tillade sig at stille nogle krav til, at de også sikrer, at ens systemer er i orden," siger Thomas Wong.

Undersøg sikkerheden på dit webhotel

Thomas Wong er overbevist om, at de seriøse webhoteller har informationen til at ligge på deres side, så man ikke behøver skrive en mail, hvor man spørger, om de har styr på sikkerheden.

"Så ved jeg godt, hvad der står i den mail, jeg får tilbage," siger han og pointerer, at webhotel-udbyderen ikke behøver at skrive i detaljer, hvordan de er sikret, men blot informere om, at der er tænkt over sikkerheden.

Det betyder ifølge Thomas Wong, at man som bruger får en eller anden form for tryghed.

"Det siger egentlig ikke så meget om sikkerheden, men det viser, at man har styr på nogle processer på det område, og det kan give en eller anden form for ro i maven hos kunden," forklarer Thomas Wong.

Han tilføjer, at det samtidig er en god idé, hvis der er en tilknyttet en form for it-revision til webhotellet.

"Virker det, som om de bruger penge på noget, der kan give tryghed for brugeren, eller går det bare ud på at sælge det så billigt som muligt? Når der er 5.000 eller 10.0000 sites, der blevet kompromitteret, er det oftest ét enkelt webhotel, der er blevet kompromitteret, og alle deres sites er så røget med i købet," lyder det fra Thomas Wong.

De dyrebare data

Har du styr på dit webhotel, kan du begynde at fokusere dér, hvor det kan være rigtig kostbart at have et hul.

Hvor det er, kan du læse på næste side.

Dette går hackerne især efter

De virkelig store huller opstår der, hvor hackerne kan få adgang til andre brugeres informationer.

"Med sikkerhedsøjne ser vi også efter, om vi kan manipulere med prisen undervejs i et købsforløb. Det kan man faktisk mange steder. Skræmmende nok," siger Thomas Wong.

Især er det i de tilfælde, hvor der bliver sendt rigtig mange varer ud af huset. Der kan det godt være, at der ikke er nogen manuel kontrol af hver eneste faktura.

Du skal derfor sørge for, at uvedkommende ikke kan snyde dit website, hvis du eksempelvis tager imod kreditkort, hvor du bruger en ekstern udbyder til at håndtere betalingerne.

Kan give webshop-ejeren store tab

Selv om der er nogle helt specifikke krav til de udbydere, der tilbyder løsningerne, kan du godt komme galt af sted, når du implementerer betalingsløsningen.

Selve betalingen bliver nemlig foretaget hos den eksterne udbyder af betalingsløsninger, og så sender denne en bekræftelse til din webbutik om, at betalingen er modtaget. Den skriver dog ikke, hvilket beløb der er betalt, og her er det nogle gange muligt at ændre prisen.

"Så hvis du eksempelvis skal overføre 800 kroner, så overfører du i stedet otte kroner i den pågældende betalingsgateway, og så går ordren alligevel igennem, for kortbetalingen er jo gennemført," siger Thomas Wong.

Når det sker, står webshop-ejeren tilbage med et stort tab og en meget lang næse.

"Det er først, når man manuelt går tingene igennem, at man opdager, at man mangler pengene," lyder det fra Thomas Wong, der påpeger, at det er en sårbarhed, du bare skal have styr på.

Han understreger samtidig, at hvis din betalingsløsning er sat rigtigt op, er det så godt som umuligt at manipulere med betalingerne.

"Men hvis det er sat forkert op, kræver det ikke andet end et plugin i Firefox, et tryk på to knapper, og så er beløbet ændret. Sværere er det ikke," forklarer Thomas Wong.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere