Кибератаки на цифровые платформы как негативный фактор в сфере маркетинга

Одной из разновидностей противоправных посягательств в информационной среде можно считать атаки на вебприложения. Их сущность заключается в попытках несанкционированного доступа к цифровым платформам с целью получения конфиденциальных сведений, нарушения целостности данных, причинения ущерба как организациям, так и пользователям.

Большинство компаний разрабатывают свои онлайн-площадки с целью продвижения и привлечения новых клиентов, тем самым они выходят за пределы традиционной модели рынка товаров и услуг. В большинстве случаев коллектив компании либо разрабатывает свой собственный вебсайт или приложение на портативные мобильные устройства самостоятельно, либо поручает создание IT-специалистам. Как и во многих организациях, маркетинговая команда уделяет особое внимание брендингу, качеству, доступности своих продуктов и услуг для онлайн-покупок, а также механизму обработки информации. Процесс можно обобщенно представить как перенос в электронную форму физического воплощения того, что из представляет организация, её идея или ресурс, который подлежит коммерческой реализации. Используя различные инструменты аналитики, например, Google Analytics, команда анализирует поведение посетителей, ис- следует конверсию и определяет эффективность. Это позволяет компании постоянно улучшать свой продукт и инновационную площадку, делая всё в целом более удобным и привлекательным для потенциальных клиентов. Однако нельзя забывать об обеспечении информационной безопасности, поскольку крайне важно создавать условия для защиты персональных данных пользователей (банковских карт, иных систем платежей, паспортных и других личных сведений) не только для того, чтобы избежать проблем с утечкой информации и последующих негативных последствий, но и наперёд продумать этот момент для сохранения клиентской базы, что позволит не отвернуть пользователей не просто от площадки, а от самой организации. Главную тенденцию совершения киберпреступлений корыстной направленности является изменение направленности хищений, о чем свидетельствует выбор жертвы со стороны злоумышленника, который все чаще останавливается не на просто гражданах, а на банках, финансово-кредитных организаций, крупных компаний и иных корпорациях, так как компьютерные преступники получают больший незаконный доход при тех же ресурсно-временных затратах [1].

Таким образом, создание и поддержание качественного механизма работы вебсайта или приложения с индивидуальным интерфейсом становится ключевым элементом стратегии маркетинга и продаж компании в онлайн-среде. Разработчики веб-приложений и иных цифровых площадок должны уделять особое внимание обеспечению безопасности кода, регулярно обновлять его и проводить аудит безопасности для выявления уязвимостей. Также важно следить за актуальностью используемых библиотек и фреймворков, чтобы избежать использования устаревших и небезопасных версий.

Компании становятся мишенями для атак, что значительно сказывается на их прибыли и вызывает недоверие со стороны пользователей. Последние, в свою очередь, становятся более осторожными в отношении своих данных и могут избегать использования онлайн-сервисов, что, в свою очередь, сказывается на бизнесе. Поскольку организации теряют клиентов из-за утечек сведений и инцидентов с безопасностью, это создает замкнутый круг, где недоверие ведет к снижению прибыли, что ограничивает возможности для инвестирования в безопасность.

Существует множество типов кибератак на веб-ресурсы. Рассмотрим те, которые наиболее часто встречаются как в рыночных отношениях, так и в целом: внедрение SQL (SQL-инъекция), внедрение команд (инъекция команд), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF).

Охарактеризуем такое неправомерное вмешательство в процессы приложения, сайта или их сочетание, имеющие определенную структуру из кодов, файлов, данных и соответствующей тематики контента, с которыми пользователь может взаимодействовать на сервере для совершения каких-либо покупок, как внедрение команд (command injection). Когда пользователь вводит IP-адрес, имя домена или хоста, операционная система выполняет команду, осуществляя DNS-запрос и выдавая результат пользователю. Вполне реальны случаи, когда другое лицо с неблагоприятными намерениями ввести команду, тем самым запустить вредоносный файл или код и привести к бэкдору для сервера, а в целом к взлому приложения или сайта.

Происходит это из-за веб-разработчиков, которые создают веб-приложения или сайты, не уделяя должного внимания важным аспектам безопасности, таким как проверка входных данных.

Устаревший, но часто встречающийся способ – SQL-инъекций, подразумевающий под собой процесс, в ходе которого злоумышленник вводит вредоносный SQL-код и иные расширения в поля ввода веб-приложения, что влечет неправомерный доступ к базе данных цифровой площадки и впоследствии к краже информации.

Следующей разновидностью кибератак на веб-платформы организаций является межсайтовый скриптинг (Cross-site scripting – XSS), который осуществляется через вставку вредоносных скриптов. При посещении веб-ресурса в браузер пользователя загружается веб-страница, содержащая вредоносный код. Известны на практике два типа XSS-атак – сохраненный и отраженный. При сохраненном «сценарий» кибератаки сохраняется на взломанном веб-сервере. Это означает, что вредоносный скрипт будет выполняться в браузерах любого количества пользователей, посещающих взломанный сервер. Отраженная XSS-атака – это непостоянный тип, при котором вредоносная ссылка обычно отправляется жертве. Когда происходит переход по ссылке, загружается зараженная веб-страница с вредоносным скриптом. Затем браузер выполнит вредоносный код в фоновом режиме, позволяя злоумышленникам украсть конфиденциальные данные, хранящиеся в веббраузере.

Другим известным видом кибератак на цифровые платформы считается CSRF-атака (Cross-site Request Forgery, то есть подделка межсайтовых запросов), который осуществляется за счет использования доверия авторитетного веб-ресурса. Неправомерное вмешательство происходит многоуровневого: сперва происходит взлом другого веб-сайта посредством вредоносного скрипта CSFR, чтобы «в надежде» на посещение нужным пользователем, который пользуется заинтересованной злоумышленником площадкой, после посе- щения взломанного ресурса и входа на нужный хостинг он «отравит» и его, сам того не осознавая. Другими словами, вебсайт или приложение через свои алгоритмы и коды будут считать, что пользователь запускает атаку, но на самом деле это чистое перенаправление.

Существуют и иные разновидности (например, Dos-атака), но были охаракте- ризованы именно те, которые часто встречаются и непосредственно связаны с концепцией вмешательства в веб-ресурсы.

Неправомерные вмешательства любого типа имеют за собой одно и тоже последствие – утечку личной информации пользователей. Это не отменяет финансового мошенничества или уничтожения данных, однако именно первое «подрывает» доверие к коммерческим организациям, которые хоть и осуществляют добросовестно ведение бизнеса на рынке, продвигая идеи, товары или услуги, но всего лишаются при всех успешных качественных и количественных характеристиках из-за отсутствия или работающего не в полной мере механизма обеспечения информационной безопасности работы веб-сайта или приложения.

Необходимо считать компаниям одним из важных направлений своей деятельности и финансирования – это защиту пользователей и партнёров, которые взаимодействуют на цифровых площадках, поскольку при столкновении до определенного момента с кибератаками можно поте- рять как текущую, так и потенциальную аудиторию покупателей из-за репутационного ущерба, а он, в свою очередь, находится в прямой зависимости с получением прибыли. Стратегии предотвращения могут помочь снизить риск, связанный с компьютерными преступлениями, и защитить конфиденциальные данные. Применимы такие технические меры, как брандмауэры, шифрование, системы обнаружения вторжений, антивирусные программы [2], а также и не уступающие им другие способы по обеспечению информационной безопасности – валидация, фильтрация, использование безопасных фреймворков, мониторинг, аудит и регулярные обновления.