Alcune informazioni riportate nell’articolo sono tratte dal Vademecum Sicurezza dei sistemi eCommerce, pubblicato da Assintel nel giugno 2019, cui Carlo Guastone (partner Sernet) ha contributo assieme ad altri autori del gruppo di lavoro Assintel “Sicurezza Informatica”.

Evoluzione del mercato e rischi delle piattaforme di eCommerce

Quando imperava la “bolla New economy”, l’eCommerce, insieme all’email, era considerata una killer application. Dopo alcuni anni di rallentamento degli acquisti tramite Internet, da circa un decennio l’eCommerce ha mantenuto fede alle promesse ed ora, anche in Italia, registra elevati tassi di sviluppo destinati ad incrementarsi sempre più nei prossimi anni, motivati dallo sviluppo delle tecnologie in termini di strumenti (PC, Tablet e Smartphones), di potenza di calcolo e di capacità di banda trasmissiva, e dai vantaggi che l’eCommerce presenta per gli acquirenti, in particolare le giovani generazioni, ma non solo.

I numeri dell’eCommerce

Il valore del fatturato 2018 eCommerce B2C in Italia stimato dall’ Osservatorio eCommerce B2C 2018 (School of Management del Politecnico di Milano e  Netcomm) è ormai arrivato ai 27,4 miliardi di euro con un incremento del 16% rispetto al 2017. Secondo Eurostat fanno acquisti tramite piattaforme eCommerce il 36% degli utenti Internet in Italia.

eCommerce e la tutela dei dati personali

Il rischio fondamentale presente nei sistemi eCommerce è la mancata protezione dei dati personali del cliente, con gravi ripercussioni (possibili sanzioni e perdita di immagine) per il Titolare del sistema eCommerce relativamente alla compliance a GDPR e al business aziendale.

I rischi possono essere relativi alla progettazione e gestione delle soluzioni e consistono nel mancato rispetto delle tre componenti fondamentali della sicurezza delle informazioni:

  • riservatezza
  • integrità
  • disponibilità delle informazioni

descritti dalla Norma ISO 27001 (Sistema di gestione sicurezza informazioni, standard internazionale di riferimento).

Nei sistemi di eCommerce si raccolgono dati personali comuni, ma soprattutto dati “sensibili”, quali prodotti acquistati e prezzi, dati di pagamento come IBAN e carte di credito.

Nei sistemi di eCommerce si possono registrare anche errori nella raccolta degli ordinativi, nell’approntamento e consegna dei prodotti e nei successivi adempimenti amministrativi.

Inoltre non va dimenticato che nei sistemi di eCommerce l’utilizzo delle piattaforme tecnologiche Web è una componente basilare, simile nell’accessibilità ad un negozio tradizionale; se la saracinesca è chiusa non si vende e soprattutto si rischia di compromettere l’immagine nei confronti della clientela.

La business continuity legata all’eCommerce

Sulla base del ragionamento appena esplicitato è pertanto indispensabile garantire la continuità operativa dei sistemi di eCommerce, realizzando la “Business continuity”, cioè l’insieme delle azioni messe in atto da una organizzazione per assicurare la continuità operativa dell’azienda in caso di gravi eventi dannosi (incidenti tecnologici o disastri).

Per realizzare la Business Continuity ci vengono in aiuto  soluzioni, anche in questo caso, suggerite da Norme Internazionali (es. ISO 22301, Sistema di gestione business continuity, standard internazionale di riferimento).

Oggi pensiamo ad un eCommerce semplificato: un PC, un sito web, un sistema di pagamento ed un corriere che ci consegna a casa il prodotto ordinato. Quindi, in termini di sicurezza, lo scenario, pur complesso, ci appare focalizzato sulla sicurezza dello strumento utilizzato (il PC), sulla rete di telecomunicazione e sui servizi applicativi web. In prospettiva lo scenario si complica poiché l’eCommerce si sta progressivamente caratterizzando con l’utilizzo di nuove tecnologie emergenti, che presentano oltre a problemi di complessità tecnologica e di sicurezza informatica anche rilevanti impatti con la Privacy, fra le quali:

  • la omnicanalità;
  • l’utilizzo di dispositivi mobili;
  • il conversational marketing;
  • gli acquisti diretti tramite Social Media;
  • e, per finire, le tecnologie che consentono di semplificare e velocizzare le operazioni di pagamento.

Quali misure di sicurezza adottare? L’approccio Sernet.

La risposta è semplice nell’enunciato: utilizzare piattaforme di eCommerce “sicure”. Più complessa considerando la non semplice “lettura” e messa in pratica degli standard di riferimento già citati. Ne deriva l’opportunità, per le aziende che utilizzano soluzioni eCommerce, di formare il proprio personale interno delle aree ICT e marketing su tematiche di sicurezza con eventuale ricorso a qualificati contributi consulenziali.

Accenniamo, al riguardo, alle principali azioni che i consulenti Sernet esperti in materia suggeriscono:

  • Valutare la necessità di adozione di misure di sicurezza fin dalla progettazione (security e privacy by design) sulla base delle necessarie valutazioni di rischio.
  • Adottare adeguate prassi di project e change management nella realizzazione e manutenzione delle applicazioni, assicurando lo svolgimento di adeguati test prima della messa in esercizio del sistema (software applicativo e infrastrutture tecnologiche).
  • Porre la massima attenzione alle misure di base di  sicurezza informatica:
  • utilizzare password “robuste”
  • effettuare regolari back up
  • aggiornare  frequentemente il software (patching)
  • installare soluzioni infrastrutturali di sicurezza perimetrale (i firewall, ad esempio)
  • installare antivirus sui dispositivi (PC, tablet, smartphones, etc) e sui server in cui sono ospitati applicazioni e data base, etc
  • Utilizzare Data center (interni o in cloud), possibilmente con  certificazioni relative al sistema di gestione sicurezza delle informazioni (ISO 27001) e, in caso di servizi cloud, estendendo la certificazione ISO 27001 dei fornitori anche ai servizi cloud considerando i controlli specifici sulla sicurezza e privacy cloud (ISO 27017, e ISO 27018).
  • Utilizzare reti criptate (protocollo https).
  • Terziarizzare i trattamenti delle carte di credito presso fornitori certificati PCI DSS (Standard internazionale per i trattamenti dei carte di credito, emesso da PCI Council).
  • Svolgere periodiche istruttorie di vulnerability assessment dei data center dedicate al software applicativo e alle infrastrutture.
  • Formare i dipendenti sulla sicurezza delle informazioni, con particolare attenzione alle possibili minacce  “phishing”.
  • Nel caso di siti di eCommerce con trattamenti a rischio elevato per valore e tipologia  degli acquisti, svolgere anche istruttorie di penetration test e applicare solide misure di cybersecurity (ad es. crittografia dei data base, installazione di Web application firewall, etc)

L’insieme di dette azioni costituiscono un’efficace barriera alle frodi (interne ed esterne) e agli attacchi di hackers che, nella prevalenza dei casi, sfruttano le criticità delle soluzioni di sicurezza di base.

Quali piattaforme e data center per l’eCommerce?

Due semplici domande. Adottare piattaforme eCommerce di mercato oppure svilupparle in casa? Utilizzare data center interni o servizi in cloud? Non vi sono risposte predefinibili ai quesiti posti. In generale il ricorso a packages di mercato (di larga diffusione), sulla carta appare una soluzione con meno rischi di vulnerabilità rispetto alla realizzazione in house.

Per quanto relativo all’utilizzo di data center interni o data center in cloud, la soluzione molte volte è collegata alla adozione o meno di packages di eCommerce. Il ricorso a fornitori cloud non determina a priori maggiori o minori criticità rispetto a un data center interno all’azienda. La scelta dipende dalle politiche di sourcing aziendali e dal livello di sicurezza del data center. Le certificazioni di sicurezza citate e le clausole contrattuali, sono una componente fondamentale da considerare.

L’esperienza Sernet legata al risk assessment e alla sicurezza informatica

Ne parliamo con alcuni consulenti Approfondiamo il tema interpellando i consulenti di Sernet che hanno realizzato a vario titolo progetti in area Sicurezza ICT e GDPR per società commerciali con piattaforme di eCommerce già realizzate online o in via di progettazione e realizzazione.

La testimonianza di Mariangela Fagnani – Senior Advisor Sernet

Mariangela Fagnani (Senior advisor Sernet), nello svolgimento di progetti dedicati alla preparazione alla certificazione ISO 27001 per aziende commerciali e alla preparazione alla certificazione ISO 27001 estesa anche ai controlli di sicurezza e privacy per fornitori cloud (ISO 27017 e ISO 27018), ha svolto, fra l’altro, istruttorie di risk e privacy assessment, che prevedevano anche valutazioni relative alle piattaforme di eCommerce gestite sui data center aziendali.

Secondo Mariangela se l’azienda sviluppa e gestisce all’interno piattaforme di eCommerce, un aspetto rilevante da considerare è lo svolgimento di valutazioni by design per assicurare che il software sviluppato sia conforme a standard di sicurezza applicativa predefiniti (ad esempio lo standard Owasp).

Inoltre è indispensabile valutare anche la sicurezza delle piattaforme tecnologiche utilizzate nel data center.

Oltre all’approccio virtuoso di security by design è opportuno procedere anche allo svolgimento di vulnerability  assessment durante il ciclo di sviluppo del software e, successivamente, in fase di rilascio ed esercizio del sistema. Con il vulnerability assessment sono evidenziate eventuali criticità infrastrutturali e anche vulnerabilità applicative (per esempio non rispetto dei principi di programmazione software indicati da Owasp, con conseguente necessità di modificare il software con la cosidetta “code review”). In un caso, relativo ad un cliente che ha definito una strategia di protezione di alto livello della piattaforma di eCommerce, il vertice aziendale, sulla base delle valutazioni di rischio, ha deciso di svolgere, oltre al vulnerability assessment, anche istruttorie di penetration test che prevedono analisi anche sul codice sorgente, con una maggior efficacia dei controlli di vulnerabilità anticipando il processo di code review.

La testimonianza di Simona Frontini – Consulente Senior Sernet

Simona Frontini (Consulente senior Sernet) ha seguito invece alcuni progetti di eCommerce basate su piattaforme di mercato in service Cloud, per i quali il focus è sul package di eCommerce adottato, sul livello di personalizzazione del software ma, soprattutto, sulla sicurezza del data center in cloud.

In tali casi la società cliente ha richiesto al fornitore cloud lo svolgimento periodico (almeno annuale) di istruttorie di vulnerability assessment. Inoltre, in coerenza con il contratto di servizio stipulato fra cliente e fornitore cloud, è stata svolta un’istruttoria di audit sul fornitore che, nei casi specifici considerati, risultava certificato ISO 27001, mentre l’estensione di ISO 27001 ai controlli cloud ISO 27017 e 27018, alla data era solo pianificata.

La testimonianza di Riccardo Modena – Consulente Sernet

Riccardo Modena (Consulente Sernet), nell’ambito di un progetto di preparazione alla certificazione ISO 27001 di un Cliente che sta realizzando una piattaforma di eCommerce in ambiente cloud, ha svolto un’istruttoria di risk assessement finalizzata a verificare le soluzioni di “privacy/security by design” definite in fase di progettazione della piattaforma stessa.

Tali soluzioni sono state definite in seguito ad una profonda attività di modellazione delle minacce (threat modeling). Tale processo, che inizia con la rappresentazione architetturale (data flow diagram) della piattaforma di eCommerce, la mappatura degli scenari di utilizzo della stessa e l’analisi delle tecnologie utilizzate, ha consentito l’individuazione delle minacce a cui la piattaforma è esposta e delle vulnerabilità da colmare in fase di progettazione, così come la mappatura delle misure di sicurezza (adottate e da adottare) al fine di ridurre o eliminare eventuali rischi.

Un momento importante di tale analisi è l’identificazione dei possibili soggetti attaccanti (interni o esterni all’Azienda) e delle modalità di attacco ipotizzate.

Fra le contromisure identificate come risultato dell’attività di Modellazione delle Minacce rientrano:

  • l’implementazione di meccanismi di autenticazione a più fattori;
  • la raccolta e analisi dei Log;
  • l‘adozione di standard di Application Security;
  • l’applicazione della crittografia a dati “statici” (archiviati) e “dimanici” (trasmessi);
  • la gestione sicura dei pagamenti e la pianificazione delle istruttorie di Vulnerability Assessment;
  • Penetration Test e Code review in fase di sviluppo;

gestione della piattaforma di eCommerce e dell’infrastruttura ospitante.