Le soluzioni di e-commerce si rivolgono a consumatori e aziende
Il commercio elettronico è entrato a far parte della nostra vita quotidiana. Le dimensioni di questo mercato sono tali da essere considerate un’infrastruttura critica nel mercato unico digitale europeo.
Approccio olistico alla sicurezza nel campo del commercio elettronico
Gli ecosistemi economicamente vivaci attirano sempre criminali e commercianti senza scrupoli, e l’e-commerce non è da meno. «La chiave di volta è rappresentata dalle modalità con cui garantire la fiducia», afferma il responsabile del progetto ENSURESEC Luís Sousa di INOV, in Portogallo. «Ciò significava ottenere la fiducia tra tutti i vari attori del commercio elettronico, compresi i fornitori di software, gli operatori del commercio elettronico, i fornitori di servizi di pagamento, le società di consegna e i clienti.» Sousa e i suoi colleghi ritenevano che mancasse un approccio olistico alla protezione dell’intero settore. Questo è stato il punto di partenza del progetto ENSURESEC.
Mappatura delle risorse critiche informatiche e fisiche
Il team del progetto ha iniziato a mappare le risorse più critiche dell’e-commerce, ovvero i server, i camion per le consegne, i siti web di e-commerce, ecc., per poi valutare le interconnessioni tra queste risorse allo scopo di identificare le principali vulnerabilità e minacce. «Abbiamo costruito un considerevole corpus di conoscenze grazie a questo lavoro», aggiunge Sousa. «Questo ci ha permesso di identificare le principali vulnerabilità, come i software di terze parti spesso utilizzati dalle PMI.» Sono vulnerabilità che i criminali cercano spesso di sfruttare. Un’altra area di rischio cruciale riguarda la vulnerabilità umana. Ad esempio, i criminali possono impersonare marchi noti e incoraggiare i consumatori a cliccare su un link sbagliato, oppure venditori senza scrupoli possono ingannarli con recensioni false.
Formazione dei consumatori alla consapevolezza online
Per rispondere a queste preoccupazioni, il progetto ha cercato di fornire soluzioni sia tecniche che incentrate sul consumatore. «Per affrontare il cosiddetto “fattore umano”, abbiamo lanciato una campagna di formazione e sensibilizzazione», osserva Sousa. «Volevamo aiutare i consumatori a identificare ed evitare non solo il phishing e altre minacce comuni di ingegneria sociale, ma anche le pratiche non etiche. Se riusciamo a educare meglio i cittadini a identificare e reagire alle minacce, l’intero ecosistema del commercio elettronico diventa più resiliente.» Da allora è stato lanciato un sito web dedicato ai consumatori al cui interno sono presenti video di sensibilizzazione e consigli. Si tratta di una risorsa gratuita e attualmente disponibile in sei lingue.
Un set di strumenti completo per la sicurezza nel commercio elettronico
Dal punto di vista tecnico, il team del progetto ha sviluppato una piattaforma di strumenti integrata per prevenire, monitorare, valutare e mitigare le principali vulnerabilità e minacce identificate nelle infrastrutture critiche del commercio elettronico. Tra questi, strumenti che esaminano i sistemi, verificando la presenza di difetti durante la fase di progettazione, e strumenti che mappano tutte le risorse informatiche, fisiche e umane per fornire agli utenti un feedback sui rischi potenziali. Esistono anche soluzioni che aiutano a valutare la maturità delle organizzazioni di e-commerce per quanto riguarda le pratiche di sicurezza. Diciannove strumenti sono stati progettati per monitorare le interazioni tra server, computer e risorse fisiche e per rispondere agli incidenti. Ad esempio, queste possono suggerire agli utenti una serie di azioni di mitigazione da implementare. La piattaforma è modulare, in modo che gli utenti possano scegliere gli strumenti e le configurazioni più adatte alle loro esigenze. La soluzione di ENSURESEC è stata testata in tre diversi casi d’uso che riguardavano, rispettivamente, attacchi informatici alla piattaforma di e-commerce di un grande rivenditore, attacchi fisici alla catena di approvvigionamento di una farmacia online e attacchi ciberfisici a una banca che fornisce servizi di pagamento online. Il team del progetto ha anche sviluppato raccomandazioni politiche, per aiutare i legislatori a garantire che la fiducia sia al centro delle normative riguardanti il commercio elettronico. In futuro, Sousa e i suoi colleghi intendono perfezionare alcuni di questi strumenti, con l’obiettivo di preparare la piattaforma alla commercializzazione. L’idea è quella di garantire che questa risorsa sia pienamente accessibile alle PMI.
Parole chiave
ENSURESEC, e-commerce, consumatori, ciber, sicurezza dell’e-commerce, attacco informatico, online, phishing
