Raport Bezpieczna firma. Domek z kart
Cyberbezpieczeństwo, fot. Adobe Stockz miesięcznika „My Company Polska”, wydanie 2/2022 (77)
Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!
Błędy zdarzają się najlepszym. I najpotężniejszym. Przykłady? W grudniu 2021 r. Amazon, czyli największa firma z rynku e-commerce na świecie i jednocześnie technologiczny gigant (Amazon Web Services), miała ogromny problem. Użytkownicy, którzy zaktualizowali swoje telefony i tablety do nowej wersji systemu Android, nie mogli korzystać z aplikacji Amazon Appstore. W dodatku przestała działać większość programów i gier ściągniętych z tego sklepu. Naprawienie tego błędu zajęło firmie aż trzy tygodnie.
Jednak oczywiście może być jeszcze lepiej, a raczej gorzej, jak to miało miejsce podczas globalnego wyłączenia Facebooka w minionym roku. Tu realna strata reklamowa przekroczyła 80 mln dol., a strata wynikająca ze spadku cen akcji aż 6 mld dol.
Sam prowadzisz e-sklep? Spróbuj policzyć, ile stracisz, jeśli będziesz offline przez kilka godzin. A teraz pomyśl, że przez niespodziewane wyłączenie serwera i brak planu awaryjnego wyłączona zostanie strona twojego fintechowego startupu. I dokładnie kilka minut później chce na nią wejść inwestor, do którego wysłałeś przed chwilą swój pitch deck.
Po pierwsze: prewencja
Awaria albo atak, który doprowadzi do wstrzymania działalności strony internetowej, może zdarzyć się w każdej chwili. Podjęcie pilnych działań staje się wtedy niezbędne. Wcześniej należy zrobić wszystko, by do najgorszego scenariusza po prostu nie doszło. Tym bardziej że wiele awarii zdarza się w czasie sporego oblężenia strony, wynikającego np. z prowadzonej kampanii reklamowej czy specyficznego okresu w roku – np. z okazji Cyber Monday, czyli internetowych wyprzedaży.
Pamiętaj, że twoja infrastruktura jest tak silna, jak jej najsłabszy element. Co to mogą być za elementy? Przede wszystkim sama strona internetowa. Aby ją wzmocnić, możesz użyć CDN, czyli systemu bazującego na serwerach rozmieszczonych w wielu miejscach na świecie i których przeznaczeniem jest wsparcie obsługi strony. Zabezpiecza on głównie przed atakami typu DDOS (np. poprzez maskowanie miejsca, w którym znajduje się główny serwer), ale to również rozwiązanie na błyskawiczny wzrost popularności e-sklepu.
Usługa CDN oferowana jest przez hostingodawców serwerów. Ma ona swoje zalety, które można odkryć nawet bez sytuacji krytycznej – przyspiesza działanie strony poprzez obsługę pewnych elementów statycznych przez zewnętrzne serwery. Dodatkowo poprawia wydajność strony dla użytkowników korzystających z serwisu daleko od lokalizacji głównego serwera. To kolejna korzyść dla e-sklepów działających np. w całej Europie. CDN odciąża również oryginalny serwer z konieczności generowania elementów statycznych.
W przypadku CDN absolutnie kluczowy jest proces konfiguracji. Ewentualne błędy mogą doprowadzić do spadku wydajności całej strony lub też po prostu do niewykorzystania atutów CDN w obszarze ochrony przed atakami i nadmiernym ruchem.
Inny możliwy najsłabszy element? Oczywiście serwery. Jeśli opierasz się np. na hostingu w jednej firmie, ewentualna awaria serwera może wyłączyć także twój serwis. Rozwiązaniem jest hosting oparty o chmurę. Plusem jest tu elastyczność, głównie kosztowa, bo płacimy za realnie wykorzystane miejsce oraz ruch. Zaletą jest także większa odporność na miejscowe awarie, chociaż oczywiście problemy mogą pojawić się także i w chmurze. Inny pomysł to hosting współdzielony, czyli wykorzystanie konkretnego serwera dla kilku podmiotów. Plus to niższy koszt, minus ograniczone pole manewru, jeśli chodzi o skalowanie.
Każde rozwiązanie odpowiednio kosztuje. Aby wybrać to, które jest nam najpotrzebniejsze, warto odkryć co jest tym naszym najsłabszym ogniwem. Jak to zrobić? Po pierwsze, testuj stronę i nie bój się ponosić porażki. Bo to właśnie odsłoni słabe strony serwisu. Rób tzw. stress testy, czyli duże obciążenia serwisu, nawet do poziomu, w którym padnie. To pokaże, na ile zastosowane technologie i rozwiązania są w stanie poradzić sobie z nieprzewidzianymi okolicznościami. W dodatku jeśli taka kontrolowana awaria wydarzy się wcześniej niż zakładałeś, możesz bez większej straty dla własnego biznesu przeprowadzić zmiany i naprawić błędy, które doprowadziły do upadku strony.
W podobny sposób powinieneś podejść do oceny bezpieczeństwa danych na stronie internetowej. Zatrudnienie „białych kapeluszy”, czyli osób, które na zlecenie testują bezpieczeństwo stron jest dość drogie, ale nawet własnymi siłami możesz sprawdzić, czy z poziomu zwykłego użytkownika można dostać się np. do ukrytych plików na serwerach.
Warto także pamiętać o posiadaniu wsparcia technicznego. Małe firmy czy też początkujące e-sklepy nie stać na własny zespół IT zajmujący się wyłącznie utrzymaniem strony internetowej. Częstym błędem jest stworzenie serwisu, a następnie poszukiwanie kogoś, kto pomoże nam z problemami. Lepiej jest znaleźć kogoś, kto nie tylko przygotuje stronę, ale także będzie o nią dbał. Podpisując umowę z taką firmą, trzeba pamiętać o zagwarantowaniu nie tylko określonej liczby roboczogodzin poświęconych na prace nad serwisem, ale także jak najszybszej reakcji na problemy. Oczywiście wszystko sprowadza się tu do pieniędzy. Pytanie: Czy warto oszczędzić i wydłużyć czas reakcji np. do czterech godzin, by w przypadku awarii stracić wielokrotnie więcej pieniędzy?
Po drugie: monitoring
Jeśli nawet dojdzie do awarii, absolutnie kluczowym punktem jest szybkie działanie. Aby zareagować, trzeba jednak mieć informację o problemie. Stąd niezbędne jest wdrożenie narzędzi do monitoringu strony internetowej. Najbardziej zaawansowane są rozwiązania płatne, ale na szczęście podstawowe funkcjonalności dostępne są za darmo. To np. Uptime Robot czy Better Uptime.
Monitoring jest ważny także w kontekście poznania ścieżki zakupowej klienta. Po pierwsze, zwiększa to konwersję, bo możemy np. poprawić te elementy strony, które odpychają potencjalnych kupujących. Po drugie, możemy poprawić jakość strony tak, by w newralgicznych miejscach jej wydajność była jak najwyższa. Przykładowo nasza strona ładuje się szybko, ale zdjęcia już nie. Jeśli w porę nie wykryjemy problemu, który powstał np. przez błędy serwerów albo pomyłkę przy aktualizacji strony, możemy po prostu stracić klientów.
Monitoring powinien być także dopasowany do struktury naszych użytkowników. Strona może bowiem funkcjonować normalnie np. w Polsce, ale przez błąd konfiguracji już nie działać w Niemczech.
Takie błędy mogą także doprowadzić do poważnej awarii, zwłaszcza pod dużym obciążeniem strony. Jak im zaradzić? Przez przygotowanie testów. Serwisy funkcjonujące na mniejszą skalę powinny zapoznać się z narzędziami oferowanymi przez Google, np. PageSpeed Insights. Takich darmowych narzędzi jest więcej, np. tools.keycdn.com albo nieco bardziej rozbudowane Web.dev. Większe e-sklepy muszą poszukać zaawansowanych rozwiązań – albo najlepiej zbudować sprawny zespół IT.
Po trzecie: nie zapominaj o mobile
Większość ruchu w e-commerce już dziś przechodzi przez urządzenia mobilne. Częstym problemem, zwłaszcza początkujących właścicieli firm, jest brak świadomości, że wersja na urządzenia mobilne może znacząco różnić się do tej na komputerze. To również źródło awarii – może nie tak poważnej jak całkowite wyłączenie strony, ale np. błędne wyświetlanie obrazków lub też niewyświetlanie ważnych elementów strony.
Należy także pamiętać, że urządzenia mobilne są bardziej wymagające jeśli chodzi o szybkość ładowania strony. Im więcej „przeszkadzajek”, tym strona ładuje się wolniej i wymaga od użytkownika ściągnięcia większej liczby danych. Technicznie nie jest to awaria, ale tworząc serwis internetowy, trzeba o tym pomyśleć. Z pomocą służą gotowe technologie – np. zastosowania PWA, czyli progressive web application. W wielkim skrócie PWA znacząco poprawia wydajność strony na urządzeniach mobilnych. Dodatkowo dzięki niej możemy mieć pewność, że strona wygląda podobnie na dużym i małym ekranie. I wyświetla się również wtedy, kiedy nie ma internetu.
PWA docenili giganci. Starbucks po uruchomieniu PWA zanotował podwójny (!) wzrost liczby zamówień. W dodatku wielu użytkowników wolało PWA niż klasyczną aplikację Starbucksa. Podobne doświadczenia miało BMW. Po uruchomieniu PWA nie dość, że strona mobilna ładowała się czterokrotnie szybciej niż przez poprzednią aplikację, to w dodatku firma odnotowała czterokrotny wzrost liczby użytkowników wchodzących na część sprzedażową strony.
Po czwarte: zadbaj o bramki płatności
Nawet najlepiej przygotowany serwis internetowy może ponieść porażkę nie ze swojej winy. Wszędzie wykorzystywane są pliki „osób trzecich”. Przykładowo wtyczki Facebooka czy Twittera, ramki YouTube’a czy reklamy Google’a – w przypadku awarii tych części strony niewiele możemy zrobić. Jest jednak jedno miejsce, które powinno być dla nas absolutnie kluczowe. To bramki płatności.
Sprawa jest bardzo delikatna. Nie ma bowiem bardziej wrażliwego miejsca w internecie niż obszar płatności za towary. Jeśli chcemy, by klient traktował nas poważnie, to właśnie dobrze przygotowana, sprawna i bezpieczna płatność jest absolutną podstawą. Jakikolwiek problem, który pojawi się w tym obszarze, grozi nie tylko utratą pojedynczego zakupu. Klient, którego to spotka, może już nigdy do nas nie wrócić.
Niezależnie od tego, jakie rozwiązanie już przygotowałeś na stronie, warto przygotować… kolejne. Może to być korzystne również z tego względu, że nowa bramka może mieć szersze spektrum sposobów wykonania płatności. Zróżnicowanie systemów w tym kontekście jest plusem. W dodatku dzięki alternatywnej wersji bramki możemy lepiej otworzyć się na zagranicznych klientów, np. umożliwiając transakcję za pomocą PayPala albo kart kredytowych. Opłaty startowe najbardziej popularnych polskich bramek płatności są niewielkie (albo w ogóle ich nie ma). Trzeba oczywiście zwrócić uwagę na kwestię konfiguracji na stronie.
Musimy także pamiętać o tym, że płatności działające na jednym komputerze niczego jeszcze nie przesądzają. Problemy mogą pojawić się przy korzystaniu z różnych przeglądarek czy systemów. Koniecznością jest sprawdzenie ich wszystkich.
Co więcej, bramki płatności także się rozwijają. W Polsce dostępne są już rozwiązania, które nie wymagają od przedsiębiorcy posiadania rozbudowanych serwisów. To pay-by-linki, które umożliwiają wysłanie linku do strony płatności nawet za pomocą e-maila.
Więcej możesz przeczytać w 2/2022 (77) wydaniu miesięcznika „My Company Polska”.