Cyber security za firme: vodič za mala i srednja preduzeća u BiH
Cyber security za firme u BiH: praktičan vodič za mala i srednja preduzeća o 2FA, backupu, obuci i zaštiti od napada.
Pročitaj
Sigurnost web shopa znači zaštititi tri stvari: novčani tok kroz plaćanja, osobne i kartične podatke kupaca te samu platformu od neovlaštenog pristupa. U praksi to postižete kombinacijom ispravne konfiguracije (HTTPS, sigurni plaćeni gateway, redovita ažuriranja), kontrole pristupa (jaki računi, dvofaktorska autentikacija) i stalnog nadzora koji rano otkriva napad. Nijedna mjera nije dovoljna sama za sebe, jer je sigurnost slojevita.
Naše rješenje
eCommerce 360 - siguran webshop - kompletna zaštita poslovanja. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Online prodaja je za mnoga preduzeća u BiH i regiji postala glavni ili jedini kanal prihoda. Upravo zato je web shop privlačna meta: napadač koji ga kompromitira može ukrasti podatke o karticama, preusmjeriti plaćanja, ubaciti zlonamjerni kod ili jednostavno srušiti trgovinu u najprometnijem periodu. Ovaj vodič objašnjava, korak po korak, kako podići sigurnost web shopa na razinu koja štiti i vaše kupce i vaš posao.
Zašto je web shop posebno ranjiv
Za razliku od klasične prezentacijske web stranice, web shop obrađuje transakcije, čuva korisničke račune i često se oslanja na desetke dodataka (plugina) i integracija. Svaka od tih komponenti je potencijalna ulazna točka. Najčešći problemi koje viđamo kod online trgovina u regiji su:
- Zastarjele platforme i dodaci. WooCommerce, Magento, PrestaShop i njihovi plugini redovito dobivaju sigurnosne zakrpe. Trgovine koje ih ne primjenjuju mjesecima ostaju izložene javno poznatim ranjivostima.
- Slabi i podijeljeni pristupni podaci. Administratorski računi bez dvofaktorske autentikacije, lozinke koje se ponavljaju i pristup koji se dijeli s vanjskim agencijama bez kontrole.
- Nesigurna obrada plaćanja. Kartični podaci koji prolaze ili se pohranjuju na samom serveru umjesto da ih obrađuje certificirani plaćeni gateway.
- Ranjivosti u kodu. SQL injection, cross-site scripting (XSS) i nesigurne API rute kroz koje napadač čita ili mijenja podatke iz baze.
- Nedostatak nadzora. Napad se često otkrije tek kada kupci prijave prijevaru ili kada Google blokira stranicu, a tada je šteta već nastala.
Tri sloja zaštite koje svaki web shop treba
Praktično gledano, sigurnost dijelimo na tri sloja koja se međusobno nadopunjuju. Slabost u bilo kojem od njih ugrožava cjelinu.
1. Zaštita platforme i infrastrukture
Temelj je da sve radi na šifriranoj vezi i ažuriranom softveru. Konkretno:
- HTTPS na cijeloj stranici, ne samo na stranici za naplatu. Valjan TLS certifikat i preusmjeravanje s HTTP-a na HTTPS su obavezni, jednako kao i moderna sigurnosna HTTP zaglavlja (HSTS, Content-Security-Policy).
- Redovita ažuriranja: jezgra platforme, tema i svi dodaci. Uklonite dodatke koje ne koristite jer i neaktivni plugin može biti ulazna točka.
- Web Application Firewall (WAF), koji filtrira poznate napadačke obrasce prije nego stignu do aplikacije i ublažava automatizirane napade.
- Sigurnosne kopije: automatizirane, odvojene od produkcijskog servera i redovito testirane vraćanjem. Backup koji nikad niste pokušali vratiti nije backup u koji se možete pouzdati.
- Ojačan hosting: minimalna izloženost servisa, ograničene dozvole datoteka i odvojeno okruženje za testiranje promjena.
2. Zaštita plaćanja i podataka kupaca
Ovdje je ulog najveći jer su u igri novac i osobni podaci. Osnovno pravilo: vaš web shop ne bi smio sam pohranjivati kartične podatke. Prepustite to certificiranom plaćenom gatewayu koji je usklađen sa standardom PCI DSS. Time se najosjetljiviji dio izmješta iz vašeg sustava, a vama ostaje manje odgovornosti i manja površina za napad.
Dodatno vrijedi:
- Koristite provjerene gatewaye i 3-D Secure autentikaciju za kartična plaćanja kako biste smanjili prijevare i povrate.
- Šifrirajte osjetljive podatke u bazi i ograničite tko im može pristupiti.
- Uskladite obradu osobnih podataka s GDPR-om i domaćim propisima o zaštiti podataka: jasna privatnost, suglasnost i minimizacija prikupljanja.
- Ne ostavljajte testne podatke, debug ispise ni izvozne datoteke s podacima kupaca na javno dostupnim lokacijama.
3. Kontrola pristupa i ljudski faktor
Velik dio incidenata ne počinje sofisticiranim hakiranjem, nego ukradenom ili pogođenom lozinkom. Zato:
- Dvofaktorska autentikacija (2FA) obavezna je za sve administratorske i uredničke račune.
- Princip najmanjih privilegija: svaki zaposlenik i vanjska agencija dobivaju samo prava koja im stvarno trebaju, ništa više.
- Upravljanje vanjskim pristupom: gasite račune bivših suradnika i agencija odmah po prestanku suradnje.
- Edukacija o phishingu: lažni mailovi koji oponašaju hosting, banku ili dobavljača i dalje su jedan od najuspješnijih načina ulaska.
Usporedba: osnovna higijena i zrela zaštita
Sljedeća tablica pokazuje razliku između minimuma koji bi svaki web shop trebao imati i razine koju preporučujemo trgovinama s ozbiljnim prometom.
| Područje | Osnovna higijena (minimum) | Zrela zaštita (preporuka) |
|---|---|---|
| Šifriranje | HTTPS na cijeloj stranici | HTTPS, sigurnosna zaglavlja i redovita provjera TLS konfiguracije |
| Plaćanja | Vanjski plaćeni gateway | PCI DSS usklađen gateway, 3-D Secure i nadzor prijevara |
| Pristup | Jake lozinke | 2FA, najmanje privilegije, upravljanje vanjskim pristupom |
| Ažuriranja | Ručno, povremeno | Planiran proces zakrpa i uklanjanje nekorištenih dodataka |
| Nadzor | Bez nadzora | WAF i stalni SOC nadzor s alarmiranjem |
| Provjera | Nema | Periodični penetracijski test web shopa |
Napadi na poslovnu logiku, često zanemareni rizik
Mnogi vlasnici trgovina misle da je sigurnost web shopa isključivo pitanje virusa i hakiranja servera. Jednako opasna, a teže uočljiva, jest zlouporaba poslovne logike same trgovine, dakle funkcija koje rade točno onako kako su isprogramirane, ali ih napadač iskoristi protiv vas. Tipični primjeri:
- Manipulacija cijenom i količinom: mijenjanje vrijednosti u zahtjevu kako bi se proizvod platio jeftinije ili kupila negativna količina za umjetni popust.
- Zlouporaba kupona i poklon-bonova: višestruko iskorištavanje istog koda, slaganje popusta koji se ne bi smjeli zbrajati ili pogađanje valjanih kodova automatiziranim alatom.
- Preuzimanje tuđih računa: slabosti u zaboravljenoj lozinki, prijavi ili upravljanju sesijama koje napadaču daju pristup narudžbama i adresama drugih kupaca.
- Testiranje ukradenih kartica (carding): automatizirana sitna plaćanja kroz vaš gateway radi provjere koje su ukradene kartice još aktivne, što vam donosi troškove i povrate.
Ove se ranjivosti ne otkrivaju antivirusom ni rutinskim skeniranjem jer aplikacija formalno radi ispravno. Otkrivaju se ručnim, stručnim testiranjem koje gleda na trgovinu očima napadača.
Zaštita od botova i napada uskraćivanja usluge
Web shop je izložen i automatiziranom prometu koji ne traži ranjivost u kodu, nego iskorištava sam volumen. Botovi pune košarice da blokiraju zalihe, prikupljaju cijene konkurencije, probijaju lozinke kroz tisuće pokušaja prijave (credential stuffing) ili preplave trgovinu zahtjevima dok ne padne, što je klasičan DDoS. Posljedica je izgubljena prodaja upravo onda kada vam je promet najvažniji.
Praktične protumjere uključuju ograničavanje broja pokušaja prijave (rate limiting), CAPTCHA na osjetljivim formama, blokiranje sumnjivih IP raspona te uslugu zaštite od DDoS-a na razini mreže ili CDN-a. Web Application Firewall ovdje dodatno pomaže jer prepoznaje i filtrira poznate obrasce automatiziranih napada prije nego opterete vlastiti server.
Treća strana je dio vaše napadne površine
Moderni web shop rijetko stoji sam, jer je povezan s dobavljačima, sustavima za isporuku, alatima za analitiku i marketinškim skriptama. Svaka vanjska skripta koja se učitava na stranici za naplatu može, ako je njezin izvor kompromitiran, krasti unesene podatke (tzv. napadi na opskrbni lanac i web skimming). Zato držite popis svih vanjskih skripti, učitavajte ih samo gdje su nužne, koristite Content-Security-Policy da ograničite što se smije izvršavati i redovito preispitujte trebaju li vam svi ti dodaci i integracije uopće. Manje povezanih sustava znači manju površinu za napad.
Kako otkriti rupe prije nego ih otkrije napadač
Konfiguracija i dobre prakse smanjuju rizik, ali ne dokazuju da je trgovina zaista sigurna. Jedini pouzdan način da to provjerite jest da netko pokuša provaliti, kontrolirano i uz vašu dozvolu. Tu pomaže penetracijski test: stručnjak simulira napadača i traži ranjivosti u plaćanju, prijavi, košarici, API-ju i administratorskom sučelju, a zatim vam dostavi izvještaj s konkretnim nalazima i prioritetima za popravak.
Za web shop su posebno važni testovi koji ciljaju logiku narudžbe (npr. manipulacija cijenom ili količinom), upravljanje sesijama i autorizaciju, dakle propusti koji se ne vide golim okom, ali ih napadač lako iskoristi. Ako želite procijeniti gdje vam je trgovina ranjiva, započnite s našim upitnikom za penetracijski test i pregledom svih NeoBit usluga.
Što kada napad ipak uspije
Nijedna obrana nije savršena, pa je dio sigurnosti i spremnost na incident. Web shop koji obrađuje plaćanja trebao bi imati barem osnovni plan odgovora:
- Rana detekcija: stalni nadzor (SOC / MDR) koji prepozna sumnjivu aktivnost u realnom vremenu umjesto da na nju čekate danima.
- Definirane uloge: tko izolira sustav, tko obavještava banku i procesora plaćanja, tko komunicira s kupcima.
- Postupak oporavka: vraćanje iz čistih sigurnosnih kopija i provjera da napadač više nema pristup.
- Obavještavanje: ako su pogođeni osobni podaci, propisi traže obavještavanje nadležnih i, prema potrebi, samih kupaca u zadanom roku.
Za preduzeća u Mostaru i ostatku regije koja nemaju vlastiti sigurnosni tim, ovo se najčešće rješava kroz vanjski nadzor i podršku za odgovor na incidente. Ako želite porazgovarati o tome što vašem web shopu treba, javite nam se.
Praktičan kontrolni popis za vlasnika web shopa
Prođite kroz ovaj popis još danas. Većina stavki ne traži velik budžet, samo dosljednost:
- Cijela stranica radi na HTTPS-u i preusmjerava s HTTP-a.
- Platforma, tema i svi dodaci su ažurni; nekorišteni dodaci uklonjeni.
- Plaćanja idu kroz certificirani gateway, kartični podaci se ne pohranjuju lokalno.
- 2FA je uključena za sve administratorske račune.
- Postoje automatizirane sigurnosne kopije i barem jednom ste testirali vraćanje.
- Aktivan je WAF ili sličan sloj filtriranja prometa.
- Postoji osnovni plan: što radite ako trgovina bude kompromitirana.
- Planirate periodičnu neovisnu provjeru (penetracijski test).
Sigurnost web shopa nije jednokratan projekt nego proces. Platforme se mijenjaju, dodaci se ažuriraju, napadači mijenjaju taktike, pa je kombinacija ispravne konfiguracije, stalnog nadzora i povremene neovisne provjere najbolja zaštita vaše online prodaje.
Često postavljana pitanja
Je li dovoljno imati SSL certifikat da bi web shop bio siguran?
Ne. SSL/TLS certifikat (HTTPS) šifrira promet između kupca i trgovine i nužan je, ali štiti samo prijenos podataka. Ne brani od ranjivosti u kodu, zastarjelih dodataka, slabih lozinki ni napada na logiku narudžbe. HTTPS je temelj, a ne potpuna zaštita.
Smije li web shop sam pohranjivati podatke o karticama kupaca?
Snažno se ne preporučuje. Pohrana kartičnih podataka nosi stroge PCI DSS obveze i veliku odgovornost. Praktično rješenje je prepustiti obradu plaćanja certificiranom plaćenom gatewayu, čime se najosjetljiviji podaci uopće ne zadržavaju u vašem sustavu.
Koliko često treba raditi penetracijski test web shopa?
Preporuka je barem jednom godišnje te dodatno nakon svake veće promjene: nove platforme, redizajna naplate, integracije novog gatewaya ili većih izmjena koda. Tako provjeravate sigurnost na stvarnoj, aktualnoj verziji trgovine.
Što da napravim ako sumnjam da je moj web shop hakiran?
Ograničite štetu: promijenite administratorske lozinke, uključite 2FA, po potrebi privremeno isključite trgovinu i kontaktirajte procesora plaćanja. Zatim angažirajte stručnjake za odgovor na incidente koji će utvrditi opseg, ukloniti pristup napadaču i sigurno vratiti trgovinu iz čistih kopija. Za hitnu podršku obratite se NeoBit timu.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnost zaposlenika: najslabija karika u cyber obrani · Kako odabrati cyber security firmu - 7 kriterija za 2026.
