Безпека будь-якої системи електронної комерції в цілому полягає в захисті від різного роду втручань в її дані. Всі ці втручання можна розділити на кілька категорій:
— розкрадання даних (наприклад, розкрадання номерів кредитних карток з бази даних);
— втручання (наприклад, перевантаження даними сайту, не призначеного для такого великого обсягу інформації);
— спотворення даних (наприклад, зміна сум у файлах платежів і рахунків-фактур або створення неіснуючих сертифікатів або сайтів для перекачування інформації, що йде на певний сайт);
— руйнування даних (наприклад, при передачі з сайту або сайту від користувача);
відмова від вироблених дій (наприклад, від факту оформлення замовлення або отримання товару);
— ненавмисне неправильне використання коштів сайту сумлінним користувачем;
— несанкціонований доступ до інформації:
несанкціоноване копіювання, оновлення або інше використання даних;
несанкціоновані транзакції;
несанкціонований перегляд або передача даних (наприклад, відображення справжніх імен відвідувачів замість псевдонімів в чаті або форумі).

При цьому не можна не враховувати, що в питаннях безпеки у даній сфері є ряд об’єктивних проблем правового характеру — технології розвиваються значно швидше законодавчої бази, зловмисника важко спіймати на місці злочину, а докази та сліди злочинів легко можуть бути безслідно знищено. Все це обумовлює необхідність ретельної розробки компаніями політики захисту свого електронного бізнесу. Повна і абсолютна безпека недосяжна, так як системи електронного бізнесу побудовані на базі безлічі готових та зроблених на замовлення програмних додатків різних постачальників і значної кількості зовнішніх сервісів, що надаються провайдерами відповідних послуг або бізнес-партнерами. Значна частина цих компонент і сервісів зазвичай непрозорі для IT-фахівців компанії-замовника, крім того, багато з них часто модифікуються і вдосконалюються їх творцями. Все це неможливо ретельно перевірити на предмет потенційних дефектів захисту, і ще складніше всі ці дефекти усунути. І навіть якщо б це було можливо, не можна виключити так званий людський фактор, так як всі системи створюються, змінюються і управляються людьми, а згідно з дослідженнями Інституту комп’ютерної безпеки 81% респондентів зазначили, що найбільше занепокоєння у компаній спричинює саме внутрішня загроза — навмисні або ненавмисні дії власних співробітників.

У проблемі захисту від внутрішніх загроз є два аспекти: технічний та організаційний. Технічний аспект полягає в прагненні виключити будь-яку ймовірність несанкціонованого доступу до інформації. Для цього застосовуються такі відомі засоби, як:

— підтримка паролів і їх регулярне зміна;
— надання мінімуму прав, необхідних для адміністрування системи;
— наявність стандартних процедур своєчасного зміни групи доступу при кадрових змінах або негайного знищення доступу по звільненні співробітника.

Організаційний аспект полягає в розробці раціональної внутрішньої політики захисту, перетворює в рутинні операції такі рідко використовувані компаніями способи захисту і запобігання хакерських атак, як:

— введення загальної культури дотримання безпеки в компанії;
— тестування програмного забезпечення на предмет хакінгу;
— відстеження кожної спроби хакінгу (не залежно від того, наскільки успішно вона завершилася) і її ретельне дослідження;
— щорічні тренінги для персоналу з питань безпеки та кіберзлочинності, що включають інформацію про конкретних ознаках хакерських атак, щоб максимально розширити коло співробітників, які мають можливість виявити такі дії;
— запровадження чітких процедур відпрацювання випадків ненавмисного зміни чи руйнування інформації.

Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, що по суті є різного роду фільтрами, що допомагають виявити спроби хакінгу на ранніх етапах і по можливості не допустити зловмисника в систему через зовнішні мережі. До таких засобів належать:

— маршрутизатори — пристрої керування трафіком мережі, розташовані між мережами другого порядку і керуючі вхідним і вихідним трафіком приєднаних до нього сегментів мережі;
— брандмауери — кошти ізоляції приватних мереж від мереж загального користування, що використовують програмне забезпечення, що відстежує і нищівне зовнішні атаки на сайт за допомогою певного контролю типів запитів;
— шлюзи додатків — засоби, за допомогою яких адміністратор мережі реалізує політику захисту, якою керуються маршрутизатори, які здійснюють пакетну фільтрацію;
— системи відстеження вторгнень (Intrusion Detection Systems, IDS) — системи, що виявляють навмисні атаки і ненавмисне неправильне використання системних ресурсів користувачами;
— оцінки захищеності (спеціальні сканери, ін) — програми, регулярно скануючі мережу на предмет наявності проблем і тестуючі ефективність реалізованої політики безпеки.

В цілому, перше, що слід зробити — це розібратися, що і від кого має бути захищене. В якості основних гравців на цьому полі виступають акціонери компанії, споживачі, співробітники і бізнес-партнери, і для кожного з них необхідно розробити власну схему захисту. Всі вимоги безпеки повинні бути задокументовані, щоб надалі служити керівництвом для всіх реалізацій електронно-комерційних додатків і засобів їх захисту в різних напрямках діяльності компанії. Крім того, це дозволить сформувати окремий бюджет для обслуговування проблем безпеки в рамках компанії і оптимізувати витрати на ці потреби, виключивши дублювання будь-яких питань захисту при розробці кожного окремого бізнес-проекту.

На жаль, сьогодні практика така, що політика захисту віддається керівниками на відкуп IT-підрозділу, працівники якого вважають що технологічні питання важливіше якихось там «паперових» приписів, і до того ж, не є фахівцями в окремих областях бізнесу, також потребують чітких процедур захисту в рамках компанії.

Крім того, при сполученні різного програмного забезпечення можуть з’явитися специфічні проблеми, не відомі виробникам кожного з інтегрованих продуктів. Дослідження таких взаємодій повинно передувати будь-які технологічні та бюджетні рішення. І цього поки також приділяється занадто мало уваги.