Julen er for mange en hyggelig tid, hvor der hygges lidt ekstra i hjemmene. Tændte stearinlys, duften af småkager, lyskæder der lyser op i mørket.

Men det er også en tid, hvor der skal købes julegaver – og rigtig mange vælger at købe gaver online. Det stiller derfor også store krav til de online forretningers ydeevne samt sikkerhed. Med det stigende antal online transaktioner er det vigtigt at forstå og imødegå potentielle trusler.

I juleperiode intensiveres trusselslandskabet. Cyberkriminelle udnytter den øgede transaktionsvolumen og det faktum, at forbrugerne er travle og måske mindre opmærksomme. Derfor er beskyttelse af kundeoplysninger og betalingstransaktioner afgørende for dem, der driver en webshop.

Sikkerhedstrusler i e-handlen

Der er mange forskellige sikkerhedstrusler, som kan påvirke e-handlen. Som webshopejer kan man særligt være udsat for DDoS-angreb, malwareinfektioner og køb med stjålne kreditkortoplysninger.

Sidstnævnte kan være svært at gardere sig helt imod, men en del af dette kan undgås ved implementering af 3D-secure og MitID-bekræftelse ved køb.

DDoS-angreb kan betyde, at hjemmesiden overbelastes, hvilket kan lede til at normale transaktioner forhindres. Det kan altså have en stor indvirkning på julesalget – når kunderne ikke kan komme ind på webshoppen og gennemføre deres køb, så finder de et andet sted at handle i stedet.

Derudover skal man selvfølgelig være opmærksom på, at ens hjemmeside og webshop ikke er inficeret med malware. Der er også risiko for at hackere forsøger at finde andre veje ind på webshoppen med henblik på at stjæle data.

Få styr på sikkerheden

Der er mange forskellige sikkerhedsforanstaltninger, der kan implementeres, som er med til at sikre, at webshoppen er et trygt sted for kunderne at handle. Har man ikke selv kompetencerne, er det en god idé at finde en samarbejdspartner, der kan hjælpe. Det kunne eksempelvis være en virksomhed som itpilot, som er et webbureau i Aarhus.

Virksomheden itpilot har en ISAE3402 Type 2-erklæring, hvilket betyder, at de hvert år gennemgår en ekstern revision af deres it-sikkerhed og it-sikkerhedsforanstaltninger. De kan med andre ord dokumentere, at der er styr på it-sikkerheden.

Hvis uheldet er ude

Selv med de bedste sikkerhedsforanstaltninger kan der opstå situationer, hvor en webshop udsættes for sikkerhedstrusler. Det er vigtigt for webshopejere at være forberedt på håndtering af sådanne scenarier. Noget af det, man kan og bør gøre, er:

• Identificér og isolér angrebet
• Kommuniker med kunderne
• Få den nødvendige hjælp, support og rådgivning
• Gendan og styrk sikkerheden
• Informér myndigheder og interessenter
• Evaluér og lær af erfaringen

Det er selvfølgelig vigtigt, at der hurtigst muligt lukkes ned for angrebet. Derfor skal det berørte område hurtigst muligt identificeres og isoleres, så yderligere skade kan forhindres. Det er selvfølgelig vigtigt, at systemets aktiviteter efterfølgende overvåges, så man kender angrebets omfang og karakter.

Husk at holde kunderne/brugerne informeret – både i forhold til situationen, men også i forhold til, hvordan de skal forholde sig. Er der behov for at de skal ændre kodeord, skal de have dette at vide.

Det kan være en god idé at samarbejde med it-sikkerhedseksperter, hvis man ikke selv er stærk i it-sikkerhed. Det kan både være med henblik på at den eksterne partner skal håndtere og løse situationen, men det kan også være med henblik på at få professionel rådgivning i forbindelse med dit eget arbejde på at løse sikkerhedsudfordringen.

Når angrebet er stoppet, er det også vigtigt at få gendannet sikkerheden – og ikke mindst at få styrket sikkerheden yderligere.

Ud over at kunderne skal informeres, skal datalækagen også rapporteres til Datatilsynet. I henhold til databeskyttelsesloven er der krav om, at en dataansvarlig straks skal underrette Datatilsynet, hvis der er risiko for brud på persondatasikkerheden, medmindre bruddet med stor sandsynlighed ikke vil medføre en risiko for fysiske personers rettigheder. I en situation med en datalækage i en dansk virksomhed skal virksomheden underrette Datatilsynet og informere om, hvilke foranstaltninger der er eller vil blive truffet for at afhjælpe situationen.

Afslutningsvis – når der er styr på it-sikkerheden igen og alle relevante parter har fået besked m.v., er det en god idé at evaluere på hændelsen for at forstå, hvordan den kunne have været forhindret, og hvad der kan forbedres. Når det er tydeligt, hvad der kan forbedres, skal denne læring indarbejdes i fremtidige sikkerhedsstrategier.