Ce amenință datele magazinului și de unde să începeți protecția
Baza de date cu produse, clienți și istoricul vânzărilor pentru un magazin are aceeași valoare ca și marfa de pe rafturi. Poate fi pierdută într-o singură seară: din cauza unui virus ransomware, a unei parole furate sau a unei greșeli a angajatului. În acest articol analizăm ce amenințări sunt relevante pentru retailul ucrainean în 2026, ce trebuie făcut în timpul unui incident și cum să configurați protecția fără personal IT.
Dacă atacul are loc chiar acumDeconectați computerul afectat de la rețea și de la internet (scoateți cablul de rețea, opriți Wi-Fi-ul), dar nu opriți alimentarea cu energie. Nu ștergeți fișiere, nu rulați „tratamentul” și nu conectați discul cu copiile de rezervă. Fotografiați ceea ce vedeți pe ecran și contactați un specialist. Puteți raporta incidentul la CERT-UA: incidents@cert.gov.ua, +38 (044) 281-88-25.
De ce se aplică acest lucru tocmai magazinelor mici
Ideea răspândită că „suntem prea mici pentru a fi atacați” nu corespunde realității. Conform raportului Verizon DBIR 2025, programele ransomware au fost prezente în 88% din breșele întreprinderilor mici și mijlocii, față de 39% în marile companii. Motivul este simplu: în micile afaceri rar există un specialist IT dedicat, actualizările sunt instalate neregulat, iar copiile de rezervă sunt adesea stocate pe același computer ca și datele principale.
Contextul ucrainean adaugă riscuri. Potrivit Serviciului de Stat de Comunicații Speciale, în 2025 CERT-UA a procesat aproape 6.000 de incidente cibernetice, iar numărul atacurilor inamice a crescut cu 37% față de anul precedent. În raportul analitic pentru a doua jumătate a anului 2025, CERT-UA notează că atacatorii caută tot mai des să obțină acces ascuns pe termen lung la sisteme și atacă cutiile poștale personale ale angajaților pentru a ocoli protecția e-mailurilor corporative.
Pentru un magazin, consecințele sunt aceleași indiferent de cine a atacat: casa de marcat nu funcționează, stocurile sunt necunoscute, iar datoriile către furnizori și comenzile clienților sunt refăcute din memorie.
Principalele amenințări pentru magazin
Virușii ransomware
Programul malware criptează fișierele de pe computer și din folderele de rețea accesibile, apoi cere o răscumpărare pentru decriptare. Angajatul vede că documentele și baza de date nu se deschid, iar pe ecran sau în fișiere apare o cerere de plată. Pentru un magazin, aceasta înseamnă oprirea vânzărilor: fără bază de date nu există prețuri, stocuri și istoric de decontări. Conform Verizon DBIR 2025, valoarea mediană a răscumpărării plătite a fost de 115 mii de dolari, în timp ce 64% dintre organizațiile afectate au refuzat să plătească. Plata nu garantează returnarea datelor, așa că protecția principală împotriva ransomware-ului este o copie de rezervă validă, creată înainte de infectare.
Furtul de parole și date
O clasă separată de malware (infostealers) colectează în mod invizibil parolele, fișierele cookie și documentele salvate în browser. Angajatul nu vede nimic: computerul funcționează ca de obicei. După un timp, datele furate sunt folosite pentru a accesa e-mailul, conturile bancare, panoul de administrare al magazinului online sau programul de contabilitate. De aici regula: parolele pentru serviciile critice nu se salvează în browserul computerului de la casa de marcat.
Phishing
Atacatorii trimit e-mailuri sau mesaje care se maschează sub forma unei bănci, serviciu de livrare, furnizor, administrație fiscală sau marketplace. Scopul este de a vă forța să accesați un link către un site fals și să introduceți login-ul, parola sau datele cardului. Poliția Cibernetică constată că escrocii creează copii ale site-urilor băncilor și marketplace-urilor pentru a obține acces la conturile altor persoane. O adresă falsă este trădată de litere sau cifre în plus în domeniu, prin urmare adresa site-ului trebuie verificată înainte de introducerea datelor.
Spargerea conturilor de lucru
E-mailul, paginile magazinului pe rețelele sociale, conturile de marketplace și mesageria sunt, de asemenea, active ale afacerii. Un cont spart este folosit pentru a trimite mesaje frauduloase clienților din partea magazinului sau pentru revânzarea accesului. Poliția Cibernetică recomandă pentru protecția conturilor utilizarea parolelor complexe și a autentificării cu doi factori.
Atacuri prin intermediul contractorilor și programelor
Magazinul este conectat cu zeci de servicii externe: banca, sistemele de plată, serviciile de livrare, marketplace-urile, găzduirea site-ului, contractorii IT cu acces de la distanță. Potrivit Verizon DBIR 2025, ponderea breșelor care implică părți terțe s-a dublat într-un an. Concluzie practică: orice acces al unui contractor trebuie să fie nominal, limitat în timp și dezactivat imediat după finalizarea lucrărilor.
| Amenințare | Cum ajunge în magazin | Ce are de suferit |
|---|---|---|
| Ransomware | Atașament în e-mail, acces de la distanță spart, programe piratate | Baza de date, documentele, funcționarea casei de marcat |
| Furt de parole | Fișier infectat, extensie de browser rău intenționată | E-mail, cont bancar, panoul de administrare al site-ului, rețele sociale |
| Phishing | E-mail sau mesaj cu un link fals | Banii din conturi, datele cardurilor, conturile |
| Spargerea conturilor | Parolă slabă, lipsa autentificării cu doi factori | Reputația, baza de clienți, vânzările online |
| Atac prin contractor | Acces de la distanță permanent, parole comune | Toată infrastructura magazinului |
Cum pătrund atacatorii în computerele magazinului
Principalii vectori de penetrare în micile afaceri sunt bine cunoscuți și se repetă an de an:
- E-mailul și mesageria. Atașamente cu „factură”, „act de reconciliere”, „CV” sau linkuri către un „document”. Acesta este cel mai ieftin mod pentru un atacator, prin urmare cel mai răspândit.
- Acces de la distanță deschis. Accesul direct prin RDP la server de pe internet este găsit de atacatori prin scanare automată și forțarea parolei.
- Programe piratate și „activatoare”. Odată cu programul spart, adesea se instalează și cod malițios.
- Stick-uri USB și unități externe. Un dispozitiv care a fost conectat la un computer infectat transferă programul malițios pe computerul de la casa de marcat sau pe server.
- Wi-Fi-ul magazinului. Dacă rețeaua pentru vizitatori nu este separată de cea de lucru, oricine se află în raza de acțiune a routerului poate obține acces la computerele de lucru.
- Căsuțele personale ale angajaților. CERT-UA raportează trimiterea de e-mailuri malițioase direct pe e-mailurile personale, pe care angajații le accesează și de pe computerele de lucru.
Greșeli tipice care fac posibil un atac
CERT-UA, pe baza analizei incidentelor reale, a numit cele mai tipice greșeli ale organizațiilor, din cauza cărora atacurile devin un succes:
- lipsa autentificării multifactoriale — o parolă furată oferă imediat acces complet;
- acces de la distanță nesecurizat — RDP și interfețele de administrare sunt deschise pentru tot internetul în loc de anumiți utilizatori și adrese;
- lipsa izolării sistemelor — compromiterea unui computer permite dezvoltarea atacului în întreaga rețea;
- angajații lucrează cu drepturi de administrator în sarcinile de zi cu zi;
- copiile de rezervă pe același computer sau pe un disc conectat permanent — ransomware-ul le distruge împreună cu datele principale.
La această listă ar trebui adăugate greșelile organizaționale caracteristice comerțului cu amănuntul: o parolă comună pentru toți vânzătorii, parole pe notițe adezive lângă casa de marcat, angajați concediați care încă au acces și lipsa unei persoane responsabile care să controleze cele de mai sus.
Ce să faceți în timpul unui incident
Ordinea acțiunilor depinde de tipul atacului, dar logica generală este aceeași: opriți răspândirea, păstrați dovezile, implicați un specialist, restaurați dintr-o copie verificată.
- Izolați computerele afectate. Deconectați cablul de rețea și opriți Wi-Fi-ul pe computerul cu semne de infecție. Acest lucru oprește criptarea folderelor de rețea și transferul datelor furate.
- Nu opriți alimentarea fără a fi necesar. În memoria RAM pot rămâne date utile pentru analiză și recuperare.
- Salvați dovezile. Fotografiați mesajul de pe ecran, salvați e-mailul suspect, notați ora evenimentelor. Acest lucru va fi necesar specialiștilor și poliției.
- Schimbați parolele de pe un dispozitiv curat. E-mail, cont bancar, panoul de administrare al site-ului, rețele sociale — în această ordine. Parolele se schimbă de pe un telefon sau computer care cu siguranță nu a fost afectat.
- Anunțați banca. Dacă există suspiciunea compromiterii datelor de plată, contactați banca pentru a bloca operațiunile.
- Implicați specialiștii. Anunțați contractorul IT. O plângere privind o infracțiune cibernetică poate fi depusă la Poliția Cibernetică, iar incidentul poate fi raportat la CERT-UA.
Ce NU trebuie să faceți
- Nu plătiți răscumpărarea imediat. Plata nu garantează decriptarea și marchează afacerea ca „victimă solvabilă” pentru atacuri viitoare.
- Nu conectați discul cu copiile de rezervă la computerul infectat — copia va fi criptată împreună cu restul datelor.
- Nu reinstalați sistemul și nu formatați discurile înainte de a consulta un specialist: odată cu sistemul vor dispărea dovezile și, posibil, șansa de a recupera fișierele.
- Nu rulați „decriptoare” aleatorii de pe internet — noile programe malițioase se maschează adesea sub forma acestora. Decriptoare verificate și gratuite pentru unele ransomware-uri sunt publicate de proiectul Europol No More Ransom.
- Nu ascundeți incidentul de angajații care lucrează cu sistemele afectate: ei trebuie să știe ce nu pot utiliza.
Cum să restabiliți activitatea după un atac
Recuperarea tehnică se efectuează în următoarea ordine:
- Specialistul determină cum a intrat atacatorul în sistem. Fără acest pas, sistemul restaurat va fi spart din nou în același mod.
- Computerele afectate sunt curățate sau sistemul este reinstalat de la zero. CERT-UA, în raportul său pentru a doua jumătate a anului 2025, subliniază că recuperarea superficială nu este suficientă: fără o curățare profundă a sistemelor, organizațiile rămân expuse atacurilor repetate.
- Sunt schimbate toate parolele care ar fi putut fi compromise și este activată autentificarea multifactorială.
- Datele sunt restaurate dintr-o copie de rezervă validă, creată înainte de intruziune. Copia este mai întâi verificată pe un computer separat.
- Se închide vectorul de atac descoperit: se actualizează programele, se limitează accesul de la distanță, se modifică setările de roluri.
Prevenție: un plan de protecție pentru magazin
Centrul Național de Securitate Cibernetică din Marea Britanie, în ghidul pentru întreprinderile mici, reduce protecția la cinci domenii: copii de rezervă, protecție împotriva malware, protecția dispozitivelor, parole și combaterea phishing-ului. Mai jos, aceste direcții sunt adaptate la realitățile unui magazin ucrainean.
Protejarea serverului cu programul de contabilitate
Serverul Torgsoft este, de obicei, un computer cu Windows, pe care rulează programul și baza de date. Reguli de bază pentru el:
- utilizați acest computer doar pentru lucrul cu programul de contabilitate: fără e-mail, mesagerie, navigare pe site-uri și instalarea programelor terțe;
- instalați actualizările Windows și protecția antivirus în mod regulat, conform unui program;
- lucrați sub un cont de utilizator fără drepturi de administrator; drepturile de administrator — un cont separat cu o parolă separată pentru setări;
- dezactivați rularea automată a stick-urilor USB și limitați utilizarea lor pe server;
- în programul de contabilitate în sine, configurați rolurile: vânzătorul vede doar ceea ce este necesar pentru tura sa, în timp ce rapoartele, stocurile din depozite și datele clienților sunt disponibile doar proprietarului sau administratorului. În Torgsoft, în acest scop există setări de roluri și restricții de acces.
Acces de la distanță
- nu deschideți acces RDP direct la server din internetul public;
- oferiți acces de la distanță prin VPN sau programe de suport la distanță, separat pentru fiecare persoană, cu autentificare multifactorială dacă serviciul o suportă;
- activați accesul contractorului doar pe durata lucrărilor și dezactivați-l după finalizare;
- păstrați o listă: cine, de unde și la ce are acces de la distanță. Revizuiți-o trimestrial și după fiecare concediere.
Parole și autentificare cu doi factori
- fiecare angajat are propriul său cont și propria parolă în Windows și în programul de contabilitate;
- parolele trebuie să fie lungi și unice pentru fiecare serviciu; un manager de parole este convenabil pentru stocarea lor;
- autentificarea cu doi factori este obligatorie pentru e-mail, contul bancar, panoul de administrare al site-ului, conturile de pe marketplace și rețele sociale;
- accesul angajaților concediați este dezactivat în ziua concedierii.
Backup conform regulii 3-2-1
Regula 3-2-1 înseamnă: trei copii ale datelor, pe două tipuri diferite de medii, una dintre copii — în afara magazinului (în stocare în cloud sau pe un disc într-o altă încăpere). O copie pe același computer protejează împotriva ștergerii accidentale a unui fișier, dar nu împotriva unui ransomware, incendiu sau furt de echipamente. CERT-UA, în recomandările sale, pune un accent deosebit pe păstrarea copiilor de rezervă pe unități de stocare separate.
Pentru baza de date Torgsoft, configurați arhivarea zilnică a bazei de date. Copierea automată a arhivei în stocarea în cloud este realizată de opțiunea „Arhivă în cloud”: copia este creată conform unui program și stocată în afara magazinului.
Recuperare de testO copie de rezervă este considerată funcțională doar după verificare. O dată pe trimestru, implementați arhiva bazei de date pe un computer separat și asigurați-vă că programul se deschide și că datele sunt actuale. Notați data verificării și cât a durat recuperarea.
Suportul tehnic Torgsoft vă va ajuta să instalați programul pe un computer nou sau curățat și să implementați o copie de rezervă validă a bazei de date. Suportul nu poate decripta fișierele deteriorate de un virus ransomware: pentru recuperare este necesară o copie funcțională creată înainte de infectare. De aceea, arhivarea zilnică și stocarea copiei în afara magazinului sunt responsabilitatea proprietarului.
Cine și de ce răspunde
Protecția funcționează atunci când o persoană anume răspunde de fiecare domeniu. Pentru un magazin fără specialist IT pe statul de plată, distribuția ar putea arăta astfel:
| Domeniu | Responsabil | Periodicitate |
|---|---|---|
| Copiile de rezervă și verificarea lor | Proprietarul sau administratorul magazinului | Copii zilnic, recuperare de test trimestrial |
| Actualizarea Windows și a programelor | Contractorul IT sau administratorul | Lunar |
| Revizuirea accesului și a rolurilor | Proprietarul | Trimestrial și după fiecare concediere |
| Accesul de la distanță al contractorilor | Proprietarul sau administratorul | La activare pe durata lucrărilor |
| Instruirea angajaților despre phishing | Proprietarul sau administratorul | La angajare și o dată la jumătate de an |
| Reacționarea la incident | Proprietarul împreună cu contractorul IT | Conform planului stabilit în prealabil |
Angajații nu sunt pedepsiți pentru o greșeală pe care au raportat-o ei înșiși. Altfel, data viitoare, despre un e-mail suspect sau un comportament ciudat al computerului, proprietarul va afla ultimul.
Lista de verificări pentru proprietarul magazinului
- Baza de date este arhivată zilnic, o copie este păstrată în afara magazinului.
- Recuperarea de test din arhivă a fost efectuată în ultimele trei luni.
- Serverul cu programul de contabilitate este utilizat doar pentru rularea programului.
- Accesul RDP direct la server de pe internet este închis.
- Fiecare angajat are un cont propriu fără drepturi de administrator.
- Autentificarea cu doi factori este activată pentru e-mail, bancă, site și rețele sociale.
- Rolurile în programul de contabilitate limitează accesul vânzătorilor la rapoarte și datele clienților.
- Wi-Fi-ul pentru oaspeți este separat de rețeaua de lucru.
- Există o listă a tuturor acceselor de la distanță, accesele persoanelor concediate sunt dezactivate.
- Angajații știu cui să raporteze e-mailurile suspecte și defecțiunile.
- Sunt notate contactele pentru situații de urgență: contractor IT, banca, Poliția Cibernetică, CERT-UA.
Concluzia principalăProtecția absolută nu există, dar majoritatea atacurilor asupra micilor afaceri folosesc aceleași lacune: parole slabe fără un al doilea factor, acces de la distanță deschis și copii de rezervă alături de datele principale. Închizând aceste trei puncte, magazinul elimină cele mai probabile scenarii de pierdere a datelor.
Surse
- Serviciul de Stat de Comunicații Speciale. CERT-UA a procesat aproape 6.000 de incidente cibernetice în 2025
- Raportul analitic CERT-UA „Amenințări cibernetice: Ucraina” pentru a doua jumătate a anului 2025 (rezumat al Cabinetului de Miniștri al Ucrainei)
- CERT-UA. Cele mai tipice greșeli ale întreprinderilor și organizațiilor în cazul atacurilor cibernetice
- Recomandările Centrului de Stat pentru Protecție Cibernetică privind consolidarea protecției sistemelor informatice
- Serviciul de Stat de Comunicații Speciale. Cum reacționează CERT-UA la incidentele cibernetice: de la sesizare la lichidarea consecințelor
- Verizon. 2025 Data Breach Investigations Report: concluzii cheie
- Verizon 2025 Data Breach Investigations Report (raport complet, PDF)
- NCSC. Small Business Guide: Cyber Security
- Poliția Cibernetică. Scheme frauduloase și cum să vă protejați în lumea digitală
- Poliția Cibernetică. Phishing și conturi false: cum să vă protejați de escrocii de pe internet
- The No More Ransom Project (Europol și partenerii)

Reveniți la pasul anterior