ความปลอดภัยของข้อมูลเป็นความรับผิดชอบที่ยิ่งใหญ่สำหรับบริษัทที่หลงระเริงในการซื้อขายออนไลน์ มีหลายวิธีที่สามารถเจาะระบบความปลอดภัยได้ ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ การศึกษาในอเมริกาพบว่าเมื่อระบบรักษาความปลอดภัยของบริษัทถูกละเมิดทางออนไลน์ มูลค่าตลาดของบริษัทจะลดลง 2.1% ภายใน 2 วันหลังจากประกาศการละเมิด และสูญเสียโดยเฉลี่ย 1.65 พันล้านดอลลาร์ (ผลกระทบของการประกาศการละเมิดความปลอดภัยทางอินเทอร์เน็ตต่อมูลค่าตลาด: ทุน ปฏิกิริยาของตลาดสำหรับบริษัทที่ถูกละเมิดและผู้พัฒนาความปลอดภัยทางอินเทอร์เน็ต) การฉ้อโกงบัตรเครดิตเพิ่มขึ้น 29% ในปีที่ผ่านมา ตามรายงานของ Association of Payment Clearing Services (Apacs) การฉ้อโกงเกิดขึ้นทางโทรศัพท์ จดหมาย และอินเทอร์เน็ต เห็นได้ชัดว่ามีความท้าทายหลายประการที่บริษัทต้องเผชิญเพื่อรักษาข้อมูลให้ปลอดภัยและรักษาความไว้วางใจจากลูกค้า ความปลอดภัยออนไลน์หมายถึง “…การปกป้องทรัพย์สินบนอินเทอร์เน็ตจากการเข้าถึง การใช้ การเปลี่ยนแปลง หรือการทำลายโดยไม่ได้รับอนุญาต” การรักษาความปลอดภัยมีอยู่ 2 ประเภท คือ ฟิสิคัลและโลจิคัล ความปลอดภัยทางกายภาพประกอบด้วยยาม ประตูกันไฟ รั้วรักษาความปลอดภัย เป็นต้น ความปลอดภัยของข้อมูลบนอินเทอร์เน็ต เห็นได้ชัดว่าเกี่ยวข้องกับความปลอดภัยเชิงตรรกะ
อินเทอร์เน็ตไม่เคยออกแบบมาเพื่อแลกเปลี่ยนมูลค่าเช่นเงิน สิ่งนี้ทำให้มีความท้าทายมากขึ้น นอกจากนี้ อินเทอร์เน็ตยัง ‘เปิดอยู่เสมอ’ ด้วยบรอดแบนด์และอินเทอร์เน็ตไร้สาย ซึ่งหมายความว่าบริษัทต่าง ๆ ต้องเผชิญกับปัญหาด้านความปลอดภัยที่ซับซ้อนกว่ามาก หนึ่งในวิธีการที่ใหญ่ที่สุดและเป็นที่นิยมมากขึ้นของผู้โจมตีในการรับข้อมูลคือวิธีการที่เรียกว่า “ฟิชชิ่ง” ในเดือนกันยายน พ.ศ. 2548 มีรายงานถึง 106 แบรนด์ที่ถูกฟิชชิ่ง การใช้ชื่อธนาคารที่ใหญ่กว่ารวมถึงเครดิตยูเนี่ยนจำนวนมากเพิ่มขึ้นอย่างเห็นได้ชัด บริการทางการเงินคิดเป็น 81.2% ของเหตุการณ์ที่รายงาน ผู้ให้บริการอินเทอร์เน็ตคิดเป็น 11.8% การค้าปลีก 3.5% และรายงานสุดท้าย 3.5% เป็นเบ็ดเตล็ด ฟิชชิงเกี่ยวข้องกับลูกค้าที่ส่งอีเมล ‘ปลอมแปลง’ จากสถาบันที่พวกเขาติดต่อด้วย อีเมลมักจะอธิบายว่ามีปัญหากับบัญชีของพวกเขา และขอให้ลูกค้าคลิกที่ลิงก์ซึ่งจะนำพวกเขาไปยังไซต์หลอกลวง ตัวอย่างเช่น พวกเขาอาจส่งอีเมลจาก Natwest ให้คุณโดยแจ้งว่ามีกิจกรรมที่น่าสงสัยในบัญชีธนาคารของคุณ ดังนั้นคุณจึงคลิกและลงชื่อเข้าใช้โดยไม่รู้ตัว จากนั้นระบบจะส่งอีเมลพร้อมรายละเอียดทั้งหมดของคุณไปยังมิจฉาชีพ การละเมิดความปลอดภัยประเภทนี้ค่อนข้างยากที่จะป้องกัน วิธีเดียวที่บริษัทจะสามารถเอาชนะระบบนี้ได้คือการให้ความรู้แก่ลูกค้าถึงวิธีการจดจำเว็บไซต์ที่ปลอดภัย มีวิธีการติดตามว่าอีเมลมาจากที่ใด โดยการทำเช่นนี้จะสามารถค้นหาแหล่งที่มาของอีเมลและดำเนินคดีได้ บริษัททั่วไปที่เป็นเป้าหมายคือ Visa, eBay และ PayPal
ภัยคุกคามอีกอย่างที่บริษัทต้องเผชิญคือภัยคุกคามจาก “เด็กสคริปต์” Script Kiddies เป็นแฮ็กเกอร์ที่ไม่มีประสบการณ์ซึ่งใช้เครื่องมือแฮ็คทั่วไปเพื่อค้นหาช่องโหว่ที่รู้จักในเว็บเซิร์ฟเวอร์หรือความปลอดภัยของเครือข่ายและใช้ประโยชน์จากช่องโหว่เหล่านั้น เมื่อแฮ็กเข้าไปในระบบ พวกเขาสามารถแก้ไขข้อความหรือกราฟิกอย่างมุ่งร้าย และเข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้ Script kiddies สามารถเข้าถึงข้อมูลบัตรเครดิตและข้อมูลที่ละเอียดอ่อนอื่นๆ ได้ ขึ้นอยู่กับว่าเว็บไซต์หรือเครือข่ายมีความปลอดภัยเพียงใด สคริปต์ตัวเล็กใช้การแฮ็คขั้นพื้นฐานเพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต อย่างไรก็ตาม การแฮ็กยังมีอีกหลายรูปแบบ หนึ่งในนั้นคือ Packet Sniffing Packet คือส่วนของข้อมูล การส่งข้อมูลแบ่งออกเป็นแพ็กเก็ต แต่ละแพ็คเก็ตประกอบด้วยส่วนหนึ่งของข้อมูลที่ถูกส่งเช่นเดียวกับข้อมูลส่วนหัวซึ่งรวมถึงที่อยู่ปลายทาง” เดิมที ดมกลิ่นแพ็คเก็ตได้รับการออกแบบมาสำหรับผู้ดูแลระบบเพื่อตรวจสอบเครือข่ายและค้นหาแพ็คเก็ตที่มีปัญหาและป้องกันปัญหาคอขวดในเครือข่ายและ เพื่อให้แน่ใจว่าการส่งข้อมูลเป็นไปอย่างราบรื่น อย่างไรก็ตาม ยังสามารถใช้ packet sniffer เพื่อประสงค์ร้ายได้อีกด้วย sniffer จะอ่านชุดข้อมูลซึ่งอาจมีรหัสผ่านและชื่อผู้ใช้ซึ่งมักเป็นข้อความธรรมดา โดยปกติ packet sniffer จะจับเฉพาะชุดข้อมูลที่มีไว้สำหรับ เครื่องนั้น อย่างไรก็ตาม สามารถตั้งค่าการดักจับแพ็กเก็ตเพื่อสกัดกั้นแพ็คเกจทั้งหมดที่เคลื่อนที่ไปทั่วเครือข่ายโดยไม่คำนึงถึงปลายทาง เห็นได้ชัดว่า การดมกลิ่นแพ็กเก็ตเป็นความเสี่ยงต่อลูกค้าที่ซื้อจากบริษัทออนไลน์ เนื่องจากรหัสผ่านของพวกเขาสามารถดูได้และเข้าถึงบัญชีของพวกเขาได้
เพื่อให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลที่ปลอดภัยได้ พวกเขาต้องใช้เทคนิคที่เรียกว่า “IP Spoofing” ก่อน โดย IP Spoofing แฮ็กเกอร์จะส่งข้อความไปยังคอมพิวเตอร์ที่ต้องการ คอมพิวเตอร์ที่รับสัญญาณคิดว่ามาจากแหล่งที่ปลอดภัย เนื่องจากคอมพิวเตอร์ของแฮ็กเกอร์ใช้ IP ของคอมพิวเตอร์ที่เชื่อถือได้ การใช้การปลอมแปลง IP ทำให้แฮ็กเกอร์สามารถเข้าถึงแพ็กเก็ตที่ออกแบบมาสำหรับคอมพิวเตอร์เครื่องอื่นได้ แฮ็กเกอร์สามารถขัดขวางการเชื่อมต่อระหว่างลูกค้ากับธนาคาร เช่น ธนาคาร จากนั้นจึงเข้าไปติดต่อสื่อสารกับธนาคาร ระบบของธนาคารเชื่อว่ากำลังสื่อสารกับลูกค้า เนื่องจากคอมพิวเตอร์ที่โจมตีได้ขโมย IP ของคอมพิวเตอร์ของลูกค้าไป
ระบบการละเมิดความปลอดภัยของบริษัททั้งหมดนี้ถูกใช้เพื่อให้ได้มาซึ่งข้อมูลที่ละเอียดอ่อน บริษัทอาจสูญเสียธุรกิจและรายได้จำนวนมากจากการก่อวินาศกรรมเว็บไซต์ การโจมตีด้วยซอมบี้หรือที่เรียกว่าการโจมตีแบบ DoS (การปฏิเสธการให้บริการ) เป็นวิธีที่สามารถเปิดการโจมตีซึ่งทำให้เว็บไซต์เป็นอัมพาตชั่วคราว ผู้โจมตีส่ง ‘ซอมบี้’ ผ่านพอร์ตเปิด จากนั้นผู้โจมตีจะสั่งให้คอมพิวเตอร์ผีดิบนั้นส่งแพ็กเก็ตข้อมูลที่ไร้ประโยชน์จำนวนมากไปยังระบบเป้าหมาย โดยปกติประมาณ 500 แพ็กเก็ตต่อวินาที แพ็กเก็ตจำนวนมากล้นระบบเนื่องจากพยายามรับข้อมูลทั้งหมดและค้นหาข้อมูลที่เหมาะสม ในช่วงเวลานี้ ระบบไม่สามารถดำเนินการได้ และด้วยเหตุนี้จึง ‘ขัดข้อง’ เห็นได้ชัดว่าสิ่งนี้จะทำให้เกิดปัญหาใหญ่สำหรับบริษัทที่ทำการค้าออนไลน์ เพราะพวกเขาไม่สามารถทำยอดขายได้จนกว่าปัญหาจะได้รับการแก้ไข มีการโจมตี DoS ประมาณ 4,000 ครั้งต่อสัปดาห์ โดยมุ่งเป้าไปที่ผู้ใช้ตามบ้าน ผู้ให้บริการอินเทอร์เน็ตต่างประเทศรายเล็ก แม้ว่าบริษัทขนาดใหญ่ เช่น AOL และ Amazon จะได้รับผลกระทบก็ตาม แม้ว่าการโจมตีแบบ DoS เหล่านี้จะก่อให้เกิดปัญหาใหญ่แก่บริษัทต่างๆ แต่จริงๆ แล้วการโจมตีเหล่านั้นไม่ได้ผิดกฎหมาย ในคดีที่กำลังดำเนินอยู่ในสหราชอาณาจักร เด็กวัยรุ่นคนหนึ่งถูกตั้งข้อหาฐานใช้คอมพิวเตอร์ในทางที่ผิด เพราะเขาส่งอีเมลถึงอดีตเจ้านายจำนวน 5 ล้านฉบับ และด้วยเหตุนี้จึงบังคับให้เซิร์ฟเวอร์อีเมลออฟไลน์ กระบวนการส่งอีเมลสแปมไปยังที่อยู่อีเมลของผู้บริโภคนั้นผิดกฎหมาย พ.ร.บ.คอมพิวเตอร์ไม่คุ้มครองธุรกิจ เห็นได้ชัดว่า ในกรณีนี้ บริษัทที่ตกเป็นเป้าหมายจะขาดการติดต่อกับลูกค้าทางอีเมล ผู้คนจะไม่สามารถติดต่อบริษัทผ่านทางอีเมลได้ และลูกค้าอาจถูกเลื่อนออกจากการทำธุรกิจกับพวกเขาเนื่องจากปัญหา
วิธีอื่นที่แฮ็กเกอร์สามารถส่งผลกระทบต่อเครือข่ายหรือคอมพิวเตอร์คือการใช้ม้าโทรจัน ม้าโทรจันถูกส่งไปยังผู้คนและพวกมันถูกหลอกให้เปิดโดยปลอมตัวเป็นโปรแกรมที่ไม่เป็นอันตราย ม้าโทรจัน เช่น เวิร์มและไวรัส มีความรุนแรงต่างกันไป บางตัวอาจมีเอฟเฟกต์ที่น่ารำคาญ เช่น การเปลี่ยนแปลงคุณสมบัติเดสก์ท็อป และเอฟเฟกต์อื่น ๆ อาจรุนแรงกว่า เช่น การลบไฟล์ และทำให้ฮาร์ดแวร์และซอฟต์แวร์เสียหาย โทรจันยังสามารถ “สร้างแบ็คดอร์บนคอมพิวเตอร์ของคุณ ซึ่งทำให้ผู้ใช้ที่ประสงค์ร้ายสามารถเข้าถึงระบบของคุณ ซึ่งอาจทำให้ข้อมูลที่เป็นความลับหรือข้อมูลส่วนบุคคลถูกบุกรุกได้” เห็นได้ชัดว่าสิ่งนี้สามารถทำลายรายละเอียดของลูกค้าในคอมพิวเตอร์ของพวกเขา หรืออาจเข้าถึงเครือข่ายที่มีข้อมูลของลูกค้าอยู่ในนั้น
เห็นได้ชัดว่ามีความท้าทายหลายประการที่บริษัทต้องเผชิญเมื่อพยายามรับประกันความปลอดภัยทางอินเทอร์เน็ต วิธีที่ง่ายที่สุดคือทำให้แน่ใจว่าลูกค้าของบริษัทที่ใช้บริการออนไลน์ของตนได้รับความรู้ด้านความปลอดภัยทางอินเทอร์เน็ต ตัวอย่างเช่น ธนาคารเกือบทั้งหมดมีคำเตือนบนเว็บไซต์ของตน พวกเขามีข้อความว่า “โปรดจำไว้ว่า NatWest จะไม่ขอ PIN หรือรหัสผ่านของคุณทางอีเมล เว็บไซต์ยังให้ข้อมูลอื่นๆ แก่ลูกค้าเกี่ยวกับการออนไลน์อย่างปลอดภัย โดยจะเตือนเกี่ยวกับการพึ่งพาไอคอนแม่กุญแจที่ด้านล่างของ หน้าต่างเมื่อเข้าถึงเว็บไซต์ เพื่อตัดสินว่าปลอดภัยหรือไม่ ไอคอนนี้เพียงอย่างเดียวไม่สามารถพิสูจน์ความปลอดภัยได้ ลูกค้าต้องดูที่แถบที่อยู่ด้านบนของหน้าต่างด้วย ‘http://’ ไม่ปลอดภัย ไซต์ ในขณะที่ ‘https://’ คือ เว็บไซต์ http ใช้ซ็อกเก็ตระบบข้อความล้วนซึ่งเป็นรูปแบบข้อความที่ง่ายที่สุดในการถ่ายโอนเนื่องจากแอปพลิเคชันเกือบทั้งหมดบนคอมพิวเตอร์ใช้ อย่างไรก็ตาม มันยังอ่านได้ง่าย โดยแฮ็กเกอร์ ดังนั้นระบบ https จึงได้รับการพัฒนา ข้อมูลถูกเข้ารหัสโดยโปรโตคอล Secure Socket Layer (SSL) หรือโปรโตคอล Transport Layer Security (TLS) สิ่งนี้ทำให้มั่นใจได้ว่าลูกค้าจะได้รับการปกป้องจากผู้ที่พยายามเข้าถึงข้อมูลที่ละเอียดอ่อน ข้อมูล การเข้ารหัสนี้เรียกว่าการเข้ารหัส
พื้นฐานที่สุดของการเข้ารหัสคือการเข้ารหัสคีย์เดียว วิธีการเข้ารหัสนี้ใช้คีย์เดียวในการเข้ารหัสและถอดรหัสข้อความ ตัวอย่างเช่น หากผู้ใช้ A กำลังส่งข้อความถึงผู้ใช้ B ผู้ใช้ A จะต้องส่งรหัสของเขา/เธอให้กับผู้ใช้ B ผู้ใช้ B จะเข้ารหัสข้อความและส่งไปยังผู้ใช้ A ซึ่งจะถอดรหัสข้อความ วิธีนี้มีปัญหาหลายอย่างอย่างชัดเจน หนึ่งในนั้นคือผู้ใช้ต้องเชื่อถือบุคคลที่ตนส่งรหัสไปให้ พวกเขาสามารถส่งกุญแจให้คู่แข่งได้อย่างง่ายดาย ระบบขั้นสูงสำหรับการเข้ารหัสคือโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ระบบนี้ใช้คีย์สองคีย์ โดยคีย์หนึ่งมีให้ใช้ฟรี (คีย์สาธารณะ) ดังนั้นลูกค้าจึงใช้เพื่อส่งข้อมูลและเข้ารหัส ข้อมูลนี้สามารถถอดรหัสได้ด้วยคีย์อีกอันหนึ่งซึ่งเป็น ‘คีย์ส่วนตัว’ เท่านั้น บริษัทที่รับข้อมูลมีคีย์นั้น และแน่นอนว่าหากไม่มีคีย์นี้ ข้อมูลที่ส่งจะไม่สามารถถอดรหัสได้ ดังนั้นจึงป้องกันไม่ให้ใครก็ตามเข้าถึงคีย์นั้นโดยไม่ได้รับอนุญาต
วิธีการรักษาความปลอดภัยทั้งหมดนี้ป้องกันแฮ็กเกอร์จากการดักจับแพ็กเก็ตและเข้าถึงข้อมูลที่ปลอดภัย อย่างไรก็ตาม เพื่อให้ระบบมีความปลอดภัยมากขึ้น ผู้ใช้ต้องป้องกันตนเองด้วยไฟร์วอลล์ด้วย ไฟร์วอลล์มีอยู่ทั่วไปและเป็นหนึ่งในวิธีการป้องกันที่เป็นที่รู้จักมากที่สุด ไฟร์วอลล์ใช้เพื่อสแกนข้อความทั้งหมดที่เข้าและออกจากเครือข่ายหรือคอมพิวเตอร์ และจะตรวจสอบเพื่อให้แน่ใจว่าตรงตามข้อกำหนดด้านความปลอดภัยตามที่ผู้ใช้เลือก ไฟร์วอลล์มีหลายวิธีในการปกป้องลูกค้า ซึ่งวิธีหนึ่งคือการกรองแพ็คเก็ต ไฟร์วอลล์จะตรวจสอบแต่ละแพ็กเก็ตที่เข้าหรือออกจากเครือข่าย และจะอนุญาตหรือปฏิเสธการเข้าถึง ขึ้นอยู่กับการตั้งค่าของผู้ใช้ การกรองแพ็คเก็ตมีข้อเสีย เช่น การปลอมแปลง IP บางครั้งอาจเอาชนะไฟร์วอลล์ได้ และการตั้งค่ายังค่อนข้างซับซ้อนอีกด้วย อีกเทคนิคหนึ่งที่ไฟร์วอลล์ใช้คือ Application Gateway เกตเวย์แอปพลิเคชัน
ใช้กลไกความปลอดภัยกับแอปพลิเคชันเฉพาะ เช่น เซิร์ฟเวอร์ FTP และ Telnet สิ่งนี้มีประสิทธิภาพมาก แต่อาจทำให้ประสิทธิภาพลดลง
เห็นได้ชัดว่ามีปัญหามากมายที่บริษัทและลูกค้าต้องเผชิญเพื่อให้แน่ใจว่าข้อมูลมีความปลอดภัย การสำรวจล่าสุดในอเมริการะบุว่า ลูกค้า 1 ใน 4 จะไม่ซื้อของออนไลน์เนื่องจากปัญหาด้านความปลอดภัย จากนี้ เป็นที่ชัดเจนว่าแม้จะมีมาตรการรักษาความปลอดภัยทั้งหมด แต่ลูกค้าก็ไม่มีความเชื่อมั่นในความปลอดภัยทั้งหมด แม้ว่าการสำรวจเดียวกันพบว่า 81% ของผู้ให้สัมภาษณ์ใช้การรักษาความปลอดภัยรูปแบบใดรูปแบบหนึ่งบนคอมพิวเตอร์ของตน สิ่งนี้แสดงให้เห็นว่าลูกค้าตระหนักถึงอันตรายของการรักษาความปลอดภัยบนอินเทอร์เน็ต สิ่งที่สำคัญที่สุดสำหรับทั้งลูกค้าและบริษัทคือต้องแน่ใจว่าคุณลักษณะความปลอดภัยทางอินเทอร์เน็ตของพวกเขาเป็นปัจจุบัน เป็นไปไม่ได้ที่จะมีเว็บไซต์ที่ปลอดภัยอย่างสมบูรณ์ให้ปลอดภัยจากแฮ็กเกอร์ เนื่องจากแฮ็กเกอร์มักจะค้นหาวิธีใหม่ๆ ในการเอาชนะระบบรักษาความปลอดภัย ดังนั้นผู้ที่ให้ความปลอดภัยทางอินเทอร์เน็ตและต่อสู้กับแฮ็กเกอร์จึงต้องหาวิธีใหม่ๆ เพื่อต่อสู้กับพวกเขาต่อไป