Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Wpisy otagowane : inwestycje

Bezpieczne biuro to podstawa

pfornalski

Mało kto, nawet pracownicy IAI nie wiedzą, że jednym z ważnych powodów przeprowadzki we wrześniu 2013 całej firmy do nowego biurowca klasy A+ było makabryczne zdarzenie jednego z moich znajomych, również prezesa firmy IT. Jego firma mieściła się w typowym, tanim biurowcu, takim jak wcześniejsza siedziba IAI. Pewnego sobotniego wieczora, jego firmę okradziono, a będąc bardziej dosadnym wyczyszczono mu ją z całego sprzętu. Nie było to włamanie w stylu akcji filmu „Mission Impossible”. Po prostu złodzieje podstawili drabinę pod okno, wyważyli je i weszli. Słysząc to dotarło do mnie, że w sumie podobny poziom bezpieczeństwa mamy w biurze jakie wtedy okupowaliśmy. Odwlekana decyzja o zmianie biura, stała się w tym momencie nieodwołalna i parę miesięcy później całe IAI było w nowej, znacznie bezpieczniejszej lokalizacji.

Biuro (sam czynsz i opłaty) jest jednym z ważnych składników kosztowych. W IAI to około 10% kosztów. Tańsze biuro pozwoliło by tę liczbę obniżyć o 30%, ale czy warto? Moim zdaniem nie i chciałbym wszystkich przed taką oszczędnością przestrzec. Biuro do którego w sobotnie popołudnie może wejść złodziej i wynieść wszystko oferuje podobny poziom bezpieczeństwa jak laptop zostawiony na tylnim siedzeniu samochodu. Podczas takiego włamania:

  1. Tracisz wszystkie komputery – a więc zdolność produkcyjną odzyskasz najwcześniej za parę tygodni.
  2. Narażasz się na utratę płynności finansowej
  3. Tracisz wszystkie dane przechowywane w biurze (np. repozytoria kodu źródłowego)
  4. Włamywacz ma dostęp do Twojej infrastruktury.

W przypadku firm dostarczających usługi IT lub sklepów internetowych, punkt 4 jest najgorszy. Mając dane w bezpiecznej, publicznej chmurze, zaszyfrowane dyski komputerów i bardzo dobre ubezpieczenie lub oszczędności możesz w miarę szybko odkupić komputery i wrócić do gry. Nie bierzesz jednak pod uwagę tego, co może zrobić włamywacz mając dostęp do Twojej infrastruktury.

Typowy sklep internetowy np. na Magento lub Presta jest zabezpieczony w ten sposób, że panel administracyjny dostępny jest tylko z jednego IP, biura. Hasła są zapisane przynajmniej w jednej przeglądarce komputera znajdującego się w tym biurze.

Podam więc prosty przepis na włam znacznie bardziej opłacalny niż obrabowanie wszystkich kiosków z gazetami w mieście. Stąd jest to dosyć kuszący scenariusz dla potencjalnego złodzieja aby po prostu go zrealizować. A że to się dzieje, polecam historię jednego ze sklepów opisaną w „O czym należy wiedzieć wdrażając do swojego sklepu internetowego Magento? [Część 3/4]”, przy czym w przypadku tego rodzaju ataku rodzaj oprogramowania nie ma żadnego znaczenia:

  1. Wyszukujesz dobrze prosperujący sklep internetowy – powiedzmy taki z obrotami 2-3mln zł miesięcznie.
  2. Przychodzisz do biura podając się jako przedstawiciel handlowy nowej firmy kurierskiej. Czasami nawet nie musisz kłamać, bo w takich biurowcach często pokoje są zostawione bez nadzoru, brak jest recepcji. Więc bez żadnego problemu do jednego z komputerów w port USB wpinasz tzw. Keylogger, czyli urządzenie, które zapisuje wszystko co wpisujesz, alternatywnie instalujesz to jako przejściówkę klawiatury. Możesz też podpiąć się do portu LAN ze swoim urządzeniem (również małym komputerem-serwerem) lub instalujesz swoją przejściówkę pomiędzy kablem jednego z komputerów a gniazdem sieciowym. Okazji aby to zrobić jest wiele. Przecież w sali konferencyjnej zostajesz na dobrych 5 minut, zanim przyniosą zamówioną kawę, albo idąc do toalety, musisz przejść przez całe biuro, przemykając pomiędzy biurkami pracowników.
  3. Jeżeli nie udało Ci się podpiąć niczego co wysyła dane przez sieć, to pojawiasz się w biurze ponownie, zabierasz Keyloger i analizujesz to co dla Ciebie zapisało.
  4. Mając hasło dostępowe, potrzebujesz tylko ponownie podpiąć się do sieci firmy (o ile nie podpiąłeś jakiegoś serwera na który nikt w tym bałaganie nie zwróci uwagi przez rok). Jeżeli nie udało Ci się podłożyć jakiegoś access pointa, możesz po prostu się włamać np. w piątek wieczorem i podmienić przez panel admina numer konta do wpłat. W sklepie tego rozmiaru, zanim ktoś się zorientuje co się stało, uda Ci się ukraść około 400 tys. zł.

Scenariusz 2 to powiedzmy dostawca systemu dla sklepów internetowych w SaaS. Wszystkie repozytoria kodu źródłowego znajdują się na serwerze jaki zlokalizowany jest w biurze tej firmy, powiedzmy tanim biurowcu klasy C/D. Załóżmy, że chcesz zniszczyć firmę a przy okazji jej wszystkich klientów zostawić bez opieki. Więc robisz klasyczne włamanie podczas którego kradniesz wszystkie komputery. Aha i dodajesz coś jeszcze: kasujesz wszystko z jej serwerów. Najczęściej tego typu firmy znajdują się w tanich biurowcach, o wspólnym korytarzu i mało bezpiecznych drzwiach. Ich dane na serwerach dedykowanych np. OVH lub innej podobnej firmy. Z oszczędności nie ma w nich ochrony, czasami jest stróż który w nocy kimie. Podstawiasz więc drabinę i wyłamujesz okno. Wchodzisz do środka zaczynając od pokoju programistów. Z oszczędności firma nie założyła w nim alarmu, montując go tylko w pokoju prezesa, u którego w szafie telekomunikacyjnej ulokowany jest serwer backupu i repozytoria kodu źródłowego. Kradniesz więc wszystkie komputery programistów (wszystkich 4), następnie bez problemu solidnym kopem wchodzisz do pokoju prezesa który nawet jeżeli włączył alarm wychodząc z biura, to albo będzie wył bez cel, albo ściągnie firmę ochroniarską za 5-10 minut. To wystarczy aby stłuc szklaną szybę szafy serwerowej (zanim to zrobisz upewnij się, czy kluczyk od niej nie został w zamku lub nie leży na szafie; przegrzewający się sprzęt potrzebuje przecież częstych restartów). Następnie wyciągasz serwer i oddalasz się z miejsca włamania. W poniedziałek tej firmy nie będzie już na rynku.

To co opisałem, to są scenariusze na poziomie 2 nastolatków, którzy za kilkaset złotych mogą zakupić cały potrzebny do włamania sprzęt. Pomijam takie oczywiste kwestie jak możliwość ustawienia kamery video w pobliskim budynku i filmowanie tego co wpisują pracownicy na klawiaturach. Służą one jedynie ilustracji tego, że brak bezpieczeństwa w biurze, przekreśla większość zabezpieczeń jakie mała i średnia firma jest w stanie uruchomić. Zazwyczaj dostęp do biura, i możliwość robienia w nim przez więcej niż godzinę co się chce, sprawia że stosunkowo łatwe staje się skompromitowanie praktycznie wszystkich zabezpieczeń. Scenariusze tego rodzaju służyły nam do analizy ryzyka kilka lat temu, i były realnymi słabymi punktami IAI jeszcze kilka lat temu.

 

Krótka checklista o czym m.in. warto pamiętać i co od tej pory poprawiliśmy:

  1. Solidne drzwi i okna, oraz budynek który łatwo sforsować to podstawa. Np. Jedna z większych firm hostingowych w Polsce ma swoje biura na parterze kamienicy, w lokalu typu handlowego więc wielkie szklane witryny bardzo łatwo sforsować np. wjeżdżając do środka samochodem.
  2. Ochrona nie może być świadczona przez tylko 1 firmę. Jedna powinna ochraniać stale budynek biura. Druga, niezależna (od firmy która ochrania budynek) powinna przyjeżdżać w nie dłużej niż 10 minut od powiadomienia przez alarm.
  3. Wszystkie komputery w firmie powinny mieć zaszyfrowane dyski twarde. W trakcie weekendu nie tylko ktoś może chcieć coś ukraść. Może też włamać się aby tylko skopiować wszystko co jest na dysku twardym komputera, by następnie spokojnie to sobie przeanalizować.
  4. Sale konferencyjne muszą być podłączone niezależnie od reszty firmy lub osobnym VLANem. A gniazda sieciowe i komputery pracowników muszą być zabezpieczone, najlepiej w osobnej części firmy lub drzwiami do których goście nie mają dostępu.
  5. Wejście do biura musi mieć co najmniej 2 niezależne zabezpieczenia. Nie chodzi tu np. o karty i klucze. Można bowiem założyć, że jeżeli ktoś jest w stanie ukraść kartę pracownikowi (np. w autobusie), to i klucze. Dlatego otwarcie biura może być zabezpieczone np. kartą lub kluczem i biometrycznie.
  6. Wszyscy pracownicy Twojej firmy i ochrona budynku musi być przeszkolona i zwracać uwagę na np. długie ogony w drzwiach, czy poruszające się po korytarzach nieznane im osoby. W tym muszą być wyczuleni na tych, których zazwyczaj ignorujemy (np. w kurtkach kuriera).
  7. Nie pozwól aby fotografowano Twoje zabezpieczenia. Czasami pracownicy wrzucają na portale społecznościowe zdjęcia z firmy, które przedstawiają np. lokalizację kamer, czujek itp. Zadbaj też o to, aby goście nie mogli sfotografować niczego, co może Ci zaszkodzić. Czasami na tablicach korkowych nad biurkami pracownikow wiszą naprawdę ciekawe informacje ;).
  8. Wymuszaj regularne zmiany haseł. Nie wierz, że ktoś kogo nie zmusisz do zmiany hasła uzna, że warto to robić częściej niż raz na kilka lat. Nie pozwól też aby więcej niż jedna osoba posługiwała się danym kontem lub hasłem (np. do alarmu).
  9. Pamiętaj, że prostsze od kradzieży jest podpalenie. Twoje biuro musi być bezwzględnie zabezpieczone przed pożarem, w tym mieć profesjonalny system gaśniczy. W tym nie może polać wszystkich komputerów wodą, w przypadku gdy np. ktoś podpali tylko wejście do którego ma dostęp. To częsty słaby punkt biur – podpalasz jego kawałek (np. dostępną przestrzeń) a zamknięta za stalowymi drzwiami serwerownia również będzie zlana wodą.

To tylko kilka wybranych rad. Nie warto na bezpieczeństwie oszczędzać. Jeżeli myślisz o nim poważnie, niestety przeprowadzka do biurowca klasy A lub A+ może być nieodzowna, a też nie każdy biurowiec klasy A+ jest równie bezpieczny. Zwracaj np. uwagę na to, czy pod drzwi Twojej firmy można dostać się bez żadnej kontroli lub czy z parkingu podziemnego można się dostać do windy z pominięciem recepcji. W biurowcach typu klasa C lub „substandard” zapewnienie tego wszystkiego nie jest po prostu możliwe. Odwiedzając jakąś firmę w celach handlowych, warto przyglądać się nie tylko kolorowym meblom i designerskim stołom, ale też zwracaj uwagę na to, czy można do tej firmy wtargnąć i zrobić coś złego. Jeżeli ta firma ma być strategicznym partnerem, odpowiedzialnym za krytyczną część biznesu, warto to przemyśleć ponownie. Jeżeli nie, warto zastanowić się, czy jest coś co od tej firmy możesz zgapić i podnieść poziom bezpieczeństwa swojej firmy. Warto być paranoicznym i warto zawsze myśleć, że coś jeszcze się przegapiło. Jest bowiem na świecie grupa ludzi, która żyje z okradania lub szkodzenia innym. A im więcej błędów popełnisz, tym tańsze i prostsze będzie to zadanie. Bo historie takie jak mojego znajomego się wydarzają. To, że nikt ich nie nagłaśnia, wynika z tego, że nie są one powodem do dumy, a poszkodowani ze wstydu wolą milczeć. Warto też pomyśleć, czy niewielka oszczędność na bezpieczeństwie nie zemści się w myśl zasady, że „chytry 2 razy traci”.

iaioffice

Jeżeli jesteś ciekawy jak to wygląda w IAI w praktyce, możesz chcieć zerknąć na http://www.idosell.com/pl/corp/aboutus/gallery/

Czy inwestycja IAI w CupSell - to zmiana polityki firmy?

pfornalski

Informacja o nabyciu wczoraj 35% udziałów w Cupsell sp. z o.o. (dostawcy platformy do produkcji produktów personalizowanych np. Cupsell.pl) obiegła wczoraj wieczorem dosłownie całą e-commersową społeczność. Sam się zdziwiłem jak dużym wydarzeniem medialnym się to stało, czego dowodzi nawet informacja na Reutersie. Spotkałem się z obawami, że inwestycja w CupSell to zmiana polityki IAI i wejście w segment sklepów internetowych. Ta informacja prasowa powinna rozwiać wątpliwości.

Tworząc IAI sformułowałem 2 jasne zasady jakie nam mają przyświecać w przyszłości:

1. Nie zajmujemy się bezpośrednio marketingiem klientów, aby móc uczciwie obsługiwać konkurujące ze sobą firmy gdy korzystają z naszych systemów. Z tego powodu, w poprzednim roku zainwestowaliśmy w Traffic Trends celowo z mniejszościowym udziałem (49%) aby odseparować marketing od dostarczania narzędzi. Myślę, że ponad rok potwierdził, że dla TT klienci IAI to mniej niż połowa wolumenu obrotów a klienci mogą nadal korzystać z dowolnej firmy pozycjonującej i wykonującej SEM.

2. Nie konkurujemy z naszymi klientami, czyli nie prowadzimy sami sklepów. To dlatego z Sebastianem Mulińskim, 5 lat temu sprzedaliśmy z żalem świetną markę Skateshop.pl która stworzyła naszą firmę. Mimo iż sami nie prowadziliśmy tego sklepu, a jedynie wykonywaliśmy marketing i "wynajmowaliśmy" ją różnym operatorom, taka decyzja zwiększyła transparentność naszego biznesu.

I teraz czas wyjaśnić, czemu zdecydowałem się zainwestować niemałe pieniądze w Cupsell. Ano dlatego, że to nie jest sklep internetowy, tylko platforma do prowadzenia sklepu internetowego. Każdy, dosłownie, bo nawet nie posiadając firmy, może uruchomić darmowy sklep internetowy i sprzedawać na nim koszulki z własnymi wzorami. Po koszulkach przyszedł szereg innych produktów i zapewne pojawi się wiele nowych. To CupSell produkuje to co sprzedaje klient, wysyła tanio i szybko do klienta, dbając fanatycznie o jakość. A więc jest to połączenie platformy sklepowej, z produkcją just-in-time, usługą logistyczną i programem partnerskim. I zdecydowanie nie jest to sklep internetowy.

Zarząd IAI i Cupsell w dniu podpisania umowy inwestycyjnej

Druga rzecz jaka odróżnia 2 dotychczasowe inwestycje to, że inwestujemy w mniejszościowe udziały. Dodatkowo obie firmy są w innym mieście (z Poznania) niż IAI (ze Szczecina). To stwarza dobre warunki do tego, aby każdy skupił się operacyjnie na tym co go odróżnia od innych biznesów, nie wpadając w pułapkę zbyt dużego zespołu i utrzymywania unikalnej kultury każdego z biznesów.

Uważam, że jasne zasady należą się klientowi każdego rozwiązania do prowadzenia jego e-biznesu. Pytanie czy masz takie zasady w swoim rozwiązaniu? Bo póki co, raczej na rynku dominują rozwiązania z kategorii "Pecunia non olet" (łac. Pieniądze nie śmierdzą). Czyli nasi konkurenci raz przedstawiają się jako platforma sklepowa, raz jako agencja od wdrożeń sklepów internetowych, a w konkursach startują na najlepszą agencję marketingową. Czyli same nie wiedzą kim są? Czy zajmują się warstwą programistyczną, czy są od marketingu? Przecież obiecując klientowi, że się poprowadzi jego biznes, chyba wiedzą czy dadzą mu wyłączność i gwarancję uczciwych warunków czy nie.

Tego niestety w polskim e-commerce brakuje. Ale i też nie tylko w Polskim, bo widzę że np. w Brytyjskim jeszcze bardziej tych zasad brakuje. Mam zatem nadzieję, że te 2 deklaracje zapisane na piśmie będą gwarantem tego, że IAI to firma której można ufać bezgranicznie i 15 lat biznesu w Polsce udowodniło, że etyka biznesu to nie jest dla nas tylko modne hasło pod publikę. Pytaj się o zasady i profil działalności swoich dostawców. Inaczej może się okazać, że kupiłeś coś zupełnie innego niż myślałeś, że kupujesz.

A na koniec, gdyby kogoś zdziwiło to co napisałem polecam obejrzenie 2 wywiadów z sierpnia tego roku, w ktorych prezes CupSell u Artura Kurasińskiego, w wywiadzie o tym wszystkim opowiada:

I na koniec coś co publikowałem na moim profilu na Facebooku, artykuł z lipca tego roku z Pulsu Biznesu pt. "IAI nie wyklucza kolejnych przejęć". Patrząc wstecz powinno być łatwiej zrozumieć, że IAI chce na prawdę obsługiwać 50% polskiego e-biznesu a potem w każdym kolejnym kraju. Mam nadzieję, że już nie tylko ja i Sebastian w to wierzymy, ale także inwestorzy giełdowi. Zresztą historycznie wysoki kurs na poziomie 5,00zł za akcję i nominacja 4 raz z rzędu do grona 50 najdynamiczniej rozwijających się firm Europy Środkowej i Wschodniej (Deloitte Technology Fast50) potwierdzają, że profesjonaliści już w to nie wątpią. A nasi klienci, mogą się czuć bezpieczniej niż gdziekolwiek indziej.

p.s. Do "branżuni" małe przesłanie: jak już oglądajcie i sharujecie jakieś filmy na Youtube, czy lajkujecie jakieś artykuły, to przynajmniej wyciągajcie wnioski z tego co z nich wynika ;)

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci