Günümüz dünyasının temel gerçeklerinden biri olan e-ticaret oldukça dinamik bir sektör. Pazara giren yeni oyuncularla birlikte sektörün büyümesi dünya genelinde devam ediyor. Ne var ki güvenlik konusundaki endişeler de paralel şekilde artıyor. İlerleyen teknolojiyle birlikte online satış kanallarında güvenlik ihlalleri konusunda yeni riskler oluşmakta. E-ticarete yeni başlayanlar bu risklerin farkında olmadığında sadece sitelerini tehlikeye atmış olmuyor. Aynı zamanda kullanıcılar açısından da birçok riskli durum oluşuyor. Bu yazımızda e-ticaret sitelerinde olması gereken güvenlik önlemleri hakkında faydalı bilgiler paylaşacağız.
İnternet üzerinden gerçekleşen ticari faaliyetler bir yönüyle büyük bir kolaylık sağlıyor. İster B2C (doğrudan tüketiciye) olsun, isterse C2C (tüketiciden tüketiciye) veya B2B (işletmeden işletmeye) satış kanallarıyla e-ticaret hızla büyüyen bir sektör. Ne var ki web sitelerdeki güvenlik açıkları da günümüzün önemli bir gerçeği. Özellikle ücretsiz altyapılar üzerinden hizmet veren online alışveriş sitelerinde riskler çok daha fazla. Üstelik bu açıklar sadece site güvenliğini tehdit etmiyor. Aynı zamanda kullanıcı tarafında da birçok kayba ve ihlale neden olabiliyor. Bu yüzden e-ticaret sitelerinde olması gereken güvenlik önlemleri birçok kullanıcıyı yakından ilgilendiriyor.
Son yıllarda ülkemizde e-ticaret sektörü hızlı bir gelişim ivmesi içinde. Özellikle pandemiden sonra online satış sitesi kurma çalışmaları birçok sektörde hız kazandı. Sokağa çıkma kısıtlamaları devam ederken faaliyet gösteren alışveriş siteleri binlerce kullanıcının ihtiyaçlarına erişmesini kolaylaştırdı. Bunu bir fırsata çevirmek isteyen yeni oyuncular da sektöre giriş yapmak istedi. Ne var ki ülkemizde e-ticaret için altyapı hakkındaki farkındalıklar bu kadar hızlı ilerlemiyor. Büyük oyunculardan bile çok azının kendine ait bir yazılımı varken yeni oyuncular ücretsiz altyapıların yeterli olabileceğini düşünüyor. E-ticaret sitelerinde olması gereken güvenlik önlemleri hakkında da farkındalıklar aynı hızla ilerlemiyor.
E-ticarette güvenlik konusunu etkileyen farklı birçok unsurdan bahsetmek mümkün. Aşağıda bunlar arasında en önemli olanlarına kısaca işaret edeceğiz. Bunun öncesinde güvenlik açıklarının neler olduğunu bilmenizde yarar var. Eğer bir e-ticaret siteniz varsa veya online alışveriş yapıyorsanız bu açıklar çalışmalarınızı doğrudan etkileyecektir. İleride herhangi bir mağduriyet yaşamamak için e-ticaret sitelerinde olması gereken güvenlik önlemleri konusuna özel bir önem vermeniz şart.
İnternet üzerinden herhangi bir ürün veya hizmet satışı gerçekleştiriyorsanız sitenizde güvenlik konusunda bazı açıklar olabilir. Bunlar arasında en sık karşılaştığımız durumlar şu şekildedir:
İnternet üzerinden gerçekleşen ticari faaliyetlerde oluşan güvenlik sorunları günümüz dijital dünyasının en önemli sorunları arasında yer almakta. Bu yüzden güvenlik etkinliğinin denetimi ve tüm olayları izleme birçok riski azaltıyor. E-ticaret sitelerinde erişim kontrolü ve raporlama özellikleri bu bağlamda önemli. Olağan dışı gelişmeler hakkında uyarı yapan yazılımlar sayesinde birçok saldırıyı erken aşamada fark etmek mümkün. Ayrıca üye hareketlerini takip etme, tüm dizinler için dosya bütünlüğü izlemesi gibi çalışmalar da bu bağlamda önemlidir. Aşağıda yer vereceğimiz konuların e-ticaret sitelerinde olması gereken güvenlik önlemleri hakkında birçok bakımdan sizlere fayda sağlayacağına inanıyoruz.
Bugüne kadar güvenlik duvarının ne demek olduğunu hiç merak etmemiş olabilirsiniz. Kısaca şu şekilde ifade edelim. Ağlara veya sitelere belirli özelliklere sahip kullanıcıların girmesine izin veren özel yazılım veya donanımlara güvenlik duvarı diyoruz. Kullanıcı adı, şifre, IP adresi veya domain kullanarak giriş yapılan sistemlerde özel bir güvenlik duvarı mevcuttur. E-ticaret sistemleri içinde güvenlik duvarının esas amacı, sitenin kullandığı ağ ile diğer ağlar arasında bir bariyer oluşturmaktır. Bu sayede yetkisiz kullanıcılar sitenin ağlarına erişemez. Fakat yetkili kullanıcılar diğer ağları kullanmaya devam eder. Güvenlik duvarı ayrıca site çalışanlarının bazı verilere erişimini engellemek için de kullanılır.
Söz konusu olan bir e-ticaret sitesi ise güvenlik duvarının özellikleri sitenin kullandığı altyapıya ve paketin özelliklerine göre değişir. Nitekim güvenlik duvarı önlemleri kullanılan yazılıma göre temel, orta ve ileri seviyede olabilir. Genel olarak baktığımızda, ücretsiz e-ticaret altyapılarında güvenlik duvarı özellikleri temel düzeydedir. Bu yüzden siber saldırı ve zararlı yazılımlara karşı önlemler yetersiz kalır. Orta ve ileri seviye güvenlik duvarı çözümleri için ise ücretli paketlere yönlendirme yapılır. E-ticaret sitelerinde olması gereken güvenlik önlemleri konusunda en iyi ve en ekonomik sonuçları iyi bir e-ticaret yazılımı ile elde edersiniz.
Eğer iyi bir e-ticaret altyapısı kullanırsanız ileri seviye güvenlik duvarı çözümleri paketinizin içine zaten dahil olur. Bu da sizi daha yüksek maliyetlerle uğraşmak zorunda bırakmaz. Altyapınızın sağlayacağı güvenlik çözümlerine ek olarak teknik destek hizmetleri de bu bağlamda önemlidir. Nitekim e-ticarete yeni başlayan pek çok site yöneticisi güvenliği sağlama konusunda bilgi ve yönlendirmeye ihtiyaç duyar. E-ticaret yazılım altyapısı hizmet sağlayıcısı tarafından verilen destek bu bakımdan önemli bir boşluğu doldurur. Böylelikle kullanıcılarınız için de daha güvenli bir online alışveriş deneyimi sunarsınız. Bu sayede rakiplerinize karşı avantaj elde edersiniz.
E-ticaret sitelerinde olması gereken güvenlik önlemleri arasında önemli bir diğer konu şifreleme sistemidir. Nitekim bu sistemde esas amaç, alıcıya iletilecek verileri anlamsız sayısal verilerle iletmektir. Özel şifreleme teknolojileri sayesinde verilerin ele geçmesi önlenir. Bunun yanı sıra değişime uğrama riski de azalır. Günümüzde sadece e-ticaret siteleri değil, aslında tüm web siteler özel bir şifreleme sistemine ihtiyaç duyar. Çünkü dijital dünyada artan veri paylaşımları ve güvenlik açıkları bu sisteme duyulan ihtiyacı artırmakta.
Şifreleme sistemleri konusunda farklı teknolojilerden yararlanmak mümkün. Genel olarak ifade edecek olursak bunların başlıca iki çeşidi vardır. İlki açık anahtarlı kriptografi olarak bilinir. İkincisi ise tek veya gizli anahtarlı kriptografi olarak ifade edilir. Şifreleme sistemlerinde ayrıca dijital imzalar ve sertifikalar da önemlidir. Tüm bu güvenlik çözümlerinin ortak amacı, dijital ortamlarda veri akışını daha güvenli hale getirmektir. E-ticaret sitelerinde olması gereken güvenlik önlemleri bağlamında bu sistemler birçok riski henüz ilk adımda önleme potansiyeline sahiptir.
Online alışveriş sitelerinde tarafların birbirlerine kimliğini bildirmesi gerekir. Kullanıcının hangi saatte siteyi ziyaret ettiği, hangi ürünleri sepete ekleyip ödeme adımına geldiğini bilmek gerekir. Ödeme adımında kullanıcının da bilgilerinin güvende olduğunu bilmesi gerekir. İşte internet güvenlik protokollerinden SSL ve SET bunlar arasında en önemlileridir. Kullanıcıların özellikle kredi kartı bilgilerinin korunması için internet güvenlik protokolleri kritik önemdedir. Bu yüzden e-ticaret sitelerinde olması gereken güvenlik önlemleri bağlamında bunları kesinlikle unutmamak gerekir.
Her iki güvenlik protokolünde de veri aktarımı şifrelenerek gerçekleşir. Bunlardan SSL (Secure Sockets Layer), web oturumunu ve bilgi alışverişini daha güvenli hale getirir. SET (Secure Electronic Transaction) protokolü ise kredi kartı uygulamaları içindir. Her iki protokol de verileri sadece ilgili tarafa iletir. Kullanıcı, site ve banka arasındaki veri akışı böylelikle daha güvenli hale gelir. Sanal alışveriş hizmeti veren firmalar güvenli bir veri iletişimi için her iki protokole de ihtiyaç duyar. Günde yaklaşık 30 bin web sitesinin saldırıya uğradığı günümüz dünyasında siber saldırılar bu protokoller sayesinde daha az kayıpla sonuçlanır. Dolayısıyla e-ticaret sitelerinde güvenlik protokolleri de olması gereken güvenlik önlemleri arasındadır.
Günümüz web dünyasında robot saldırıları da önemli bir diğer sorundur. Ve bu saldırılar en çok online alışveriş sitelerini etkiler. Günde binlerce kullanıcıya hizmet veren sitelerde bu saldırıların yaratacağı kayıplar da daha fazladır. Birçoğu bilgisayar korsanları tarafından düzenlenen bu saldırılar bazen istihbarat servislerinin çeşitli operasyonları sonucunda da gelişebilir. E-ticaret sitelerinde olması gereken güvenlik önlemleri işte bu yüzden önemlidir. Aylık cirosu pek çok ülkenin bütçesinden fazla olan e-ticaret siteleri bu tür saldırılara daha fazla maruz kalır.
E-ticaret altyapısında siteyi robot saldırılardan koruyacak bir güvenlik çözümü olmadığında kullanıcılar bu tür durumlarda oturum açma işlemi gerçekleştiremez. Ve bu durum siteye hem ticari kayıp yaşatır hem de müşteri kaybettirir. Ücretsiz ve yetersiz e-ticaret yazılımlarını kullanan sitelerde oturum girişini korumaya dönük yeterli önlem yoktur. Oysa işletmenin kullanacağı kaliteli bir e-ticaret yazılım paketi robot saldırılardan korunmak konusunda daha başarılı çözümlere sahiptir. Dolayısıyla e-ticaret sitelerinde olması gereken güvenlik önlemleri konusunda servis sağlayıcınızdan memnun değilseniz vakit geçirmeden yeni bir altyapıya geçmeyi düşünebilirsiniz.
E-ticaret sitelerinde oturum açma güvenliği de olması gereken güvenlik önlemleri arasındadır. Son yıllarda siber saldırıların sayısının artması, yazılım firmalarını bu alanda çalışma yapmaya teşvik ediyor. Yukarıda bahsettiğimiz önlem bunlardan sadece biridir. Bu bağlamda bir diğer önlem kayıtlı kullanıcıların giriş-çıkış tarihleri ve saatleri ile IP adreslerini kaydetmektir. Tüm işlemleri kayıt altına alan ve gelişmiş raporlama imkanları sunan yazılımlar daha yüksek bir oturum açma güvenliği sunar.
Bu bağlamda bir diğer önlem de kara liste özelliğidir. Bu özelliğe sahip yazılımlarda seçili IP adreslerini yasaklama imkanı mevcuttur. Dahası, kullanıcıların oturumda kalma sürelerini de belirlemek ve sınırlamak mümkündür. Böylelikle kullanıcılar sınırsız süreli oturum açamaz. Ki bu durum, oturumun açık kalmasından kaynaklı güvenlik risklerini ortadan kaldırır. E-ticaret sitelerinde olması gereken güvenlik önlemleri hakkında bu konu da diğerleri kadar önemlidir. Oturum açmayla ve oturum süresiyle ilgili özel kurallar oluşturmayı destekleyen yazılımlar e-ticaret site güvenliği bağlamında daha faydalıdır.
Web sitelerin trafikleri yalnızca kullanıcı kaynaklarından gelmez. Aynı zamanda kötü niyetli istekler de trafik kaynakları içinde önemli bir hacme sahiptir. Bu isteklerin bir kısmını siber korsanların kullandığı otomatik kodlar üretir. Bu noktada trafiği izleyerek kötü niyetli istekleri önleyen yazılımlar kritik bir önemdedir. Çünkü bu yazılımlar sayesinde kötü niyetli istekler amacına ulaşmaz. Trafik kotası üzerinde gereksiz bir yük oluşmaz. Dolayısıyla site trafiğini izleyip bu istekleri engelleyen yazılımlar da e-ticaret sitelerinde olması gereken güvenlik önlemleri arasındadır.
Otomatik kodların yanı sıra fake IP adresleri de web akışında ciddi bir sorundur. Nitekim bu adreslerin sayısının artması, gerçek kullanıcıların siteye erişimlerinde sorun yaratır. Sahte Google botları ve diğer botlar da online alışveriş süreçlerinde site hızını yavaşlatır. Oysa koruyucu yazılımlar güvenlik duvarının da öncesinde, site için ilk savunma hattını oluşturur. E-ticaret site güvenliği için iyi bir güvenlik yazılımı kullanıyorsanız sitenizde birden çok oturum açmaya çalışan kullanıcıları kolayca görüntülersiniz. Hatta geçersiz kullanıcı adlarını kilitlemeniz bile mümkün. Dilerseniz bu kullanıcıların listesini de alıp kara listeye ekleyebilirsiniz. E-ticarete yeni başlayan siteler için yazılım altyapısı işte bu yüzden önemlidir.
Büyük bir online alışveriş siteniz varsa operasyon tarafında geniş bir ekibe ihtiyaç duyarsınız. Bu da değişen dosyaların takibini zorlaştırır. Bu bakımdan, kullandığınız e-ticaret altyapısı güvenlik çözümlerinin değişen dosyaları anlık takibe imkan sağlaması önemli bir özelliktir. Bu sayede veri güvenliği riskleriniz minimalize olur. Yazılımda dosya bütünlüğü izlemesi olduğunda tüm değişimleri anlık olarak takip edip raporlamak kolaylaşır. Bu yüzden anlık takip sistemi de e-ticaret sitelerinde olması gereken güvenlik önlemleri içinde yer alır. Bilgi ve kontrolünüz dışındaki değişimlere müdahale etmeniz de bu sayede kolaylaşır.
E-ticarette site güvenliği ile ilgili olayların sayısı oldukça fazladır. Bunun en önemli nedeni çalışan, ziyaretçi ve sayfa sayılarının fazla olmasıdır. Bazı durumlarda site çalışanlarının çeşitli ihmalleri güvenlik açığı meydana getirir. Örneğin süresi dolan SSL sertifikasını yenilememek çok ciddi bir güvenlik ihmalidir. Bazı durumlarda ise ziyaretçilerin ihmalleri çeşitli sorunlara yol açar. Örneğin şifresini kaydetmiş ve tarayıcı geçmişini temizlememişse kullanıcının bilgisayarına giren bir korsan yazılım kişisel verilerini ele geçirebilir.
Bu gibi durumlarda güvenlik olaylarını tek bir panelden izlemek birçok sorunun kaynağını tespit etmeyi kolaylaştırır. Güvenlik sisteminin hangi noktasında saldırı veya açık varsa o noktada önlem almak sorunları hızlıca çözmeyi sağlar. Kullandığınız yazılımda tüm güvenlik olaylarını tek panelden izleme imkanı varsa bu konuda büyük bir kolaylığa sahipsiniz demektir. E-ticaret sitelerinde olması gereken güvenlik önlemleri takibi bu sayede daha başarılı şekilde gerçekleşir.
Siber saldırı sırasında bir web sitesinin kaynak kodlarının değiştirilmesi sitenin kontrolünü kaybetmeye neden olur. Bu yüzden e-ticaret sitelerinde olması gereken güvenlik önlemleri arasında PHP kodlarını koruma da önemli bir konudur. Sitenizde kullandığınız güvenlik altyapısı PHP dosya düzenlemeyi devre dışı bırakırsa siber korsanlar amaçlarına ulaşamaz. Eğer e-ticaret için iyi bir yazılım altyapısı kullanırsanız online alışveriş sitenizin veritabanı ve yazılım güvenliğini sağlamış olursunuz. Açık kaynak kodlu sistemlerde ise bir siber saldırı sırasında sitenizin tüm kontrolünü bir anda kaybetme riskiniz vardır.
Siteler Arası Komut Çalıştırma Koruması olarak da bilinen XSS koruması bir diğer güvenlik önlemidir. Bu korumada esas amaç, e-ticaret sitesine kötü amaçlı komut dosyası yerleştirmeyi önlemektir. E-ticaret siteniz farklı siteler arasında veri alışverişinde bulunuyorsa hiç farkında bile olmadan bu tür durumlara maruz kalabilirsiniz. Farklı sitelerle XML alışverişi yapan siteler bu tür risklerle daha sık karşılaşır. Dolayısıyla iyi bir e-ticaret altyapısı hizmet sağlayıcısıyla çalışmanız XSS koruması bağlamında da güzel sonuçlar verir.
E-ticaret sitelerinde olması gereken güvenlik önlemleri arasında önemli bir diğer konu da yedekleme sistemidir. Altyapı servis sağlayıcınız yedekleme konusunda hizmet veriyorsa sitenizde istenmeyen durumlar nedeniyle önemli bir kayıp yaşamazsınız. Aksi durumda ise maalesef tüm emeklerinizin boşa gitme riski oluşur. Siteniz siber saldırıyı atlatsa bile her şeye yeni baştan başlamanız gerekebilir. Bu da çok büyük bir maliyet anlamına gelir.
Yukarıda saydığımız konulara ek olarak yönetici ayrıcalıklarını belirli cihazlarla sınırlama iyi bir güvenlik önlemidir. Bu sayede sitenizde yetkisiz kişilerin değişiklik yapmasını önlemiş olursunuz. Gelişmiş tarama ve onarım seçenekleri, oluşan hasarları kolayca gidermenizi sağlar. Hotlink koruma özelliği sitede sunucu bant genişliğini kontrol konusunda etkin bir önlemdir. Böylelikle tüm web içerikleri için de koruma oluşur. Tabii düzenli aralıklarla zararlı yazılım taraması yapmak da bu bağlamda önemlidir. Sitenin içine sızan bir yazılım tüm operasyonunuza zarar verebilir.
Sektör uzmanlığı ve büyük marka deneyimi...
Hipotenüs® Yeni Nesil E-Ticaret Sistemleri ile Hazırlanmıştır.
