Navigation path

Jak mohu zabezpečit svoje webové stránky?

Jak mohu zabezpečit svoje webové stránky?

Ať již vyvíjíte svoje webové stránky sami, nebo využíváte služeb třetí strany, měli byste vývoji a údržbě svých webových stránek věnovat značnou pozornost. Řešení incidentů kybernetické zločinnosti může mít velký vliv na vaše podnikání nebo na vaši značku (např. může snížit pověst značky), jelikož tyto incidenty mohou narušit vaše služby, vést ke ztrátě důvěry ze strany zákazníků a mohou vést dokonce až k regulačním sankcím a soudním sporům. Mezi podobné případy může patřit například krádež údajů o zákaznících, změna informací na vaší platformě, výpadek vašich stránek, únik důvěrných informací o vaší organizaci atd.

Je také velmi důležité, abyste si předem udělali inventuru, ještě před narušením zabezpečení. Které informace jsou nezbytné pro provoz vaší organizace? Kde jsou uloženy? Jak rychle je možné je obnovit, pokud při nějakém útoku dojde k jejich odcizení? Měli byste provést kompletní audit svých systémů, všimnout si nejdůležitějších komponentů a vše sledovat. Zajistěte, abyste nebyli jedinou osobou, která o tomto dokumentu ví.

Ochrana informací na vašich webových stránkách

Než zahájíte diskuzi s poskytovateli hostingu, měli byste se zaměřit na tři základní aspekty zabezpečení informací, tj. požadavky na důvěrnost, integritu a dostupnost vašich webových stránek a služeb, a určit požadavky na úroveň služeb.

Má-li být design vašeho systému bezpečný, potřebujete přísné záruky a ujištění, že jsou chráněny tyto aspekty webu:

Důvěrnost, tj. ochrana informací (např. čísel kreditních karet, osobních údajů) před zveřejněním neoprávněným stranám. Toho lze dosáhnout například nastavením správného mechanismu ověřování (jako jsou třeba dvoufaktorová řešení ověřování). Další možností je pomocí šifrovaných připojení (HTTPS; bezpečnostní protokol SSL) zajistit, aby měli přístup ke čtení konkrétních informací pouze ti správní lidé.
Integrita, tj. ochrana informací před změnou ze strany neoprávněných stran. Jen tak lze zajistit přesnost a důvěryhodnost informací. To lze zajistit každodenními kontrolami, zda nedošlo ke změně souborů, prozíravým bezpečnostním testováním webových stránek i služeb (abyste se vyhnuli všem jednoduchým útokům, jako jsou například injektáže SQL), nebo nastavením systému bránícího před neoprávněným vniknutím. 
Dostupnost, tj. zajištění, aby byly vaše stránky neustále funkční a k dispozici. Dvěma klíčovými opatřeními jsou implementace záložního napájecího systému pro případ mimořádné události a pečlivá údržba veškerého hardwaru.

Mají-li být splněny všechny výše uvedené podmínky, měl by být přístup ke všem datovým systémů přidělován pouze na základě principu „přístup jen k tomu, co daná osoba potřebuje vědět“.

Reakce na bezpečnostní incidenty

Od chvíle, kdy došlo k narušení bezpečnosti, je ohrožena důvěra zákazníků, kterou ve vás vložili. Pokud chcete omezit negativní účinky na minimum, je třeba rychle reagovat. Důležité je informovat vaše zákazníky o tom, co se stalo. Pokud jsou například zasažena hesla, musíte o této skutečnosti uvědomit zákazníky, aby si je mohli změnit, jelikož tato hesla se ve většině případů nepoužívají pouze na vašich stránkách. 

Jak bylo uvedeno výše, jakmile víte, co je nejdůležitější, zajistěte, aby se to dozvěděli také všichni příslušní aktéři. Z tohoto důvodu doporučujeme jmenovat jednu osobu jako vlastníka IT pro případ, že bude zjištěn problém v oblasti zabezpečení. Tento člověk musí být v naléhavém případě pohotově k dispozici a musí být vybaven tak, aby zvládnul ty mnohé interní technické komponenty spojené s obnovou po narušení bezpečnosti.

Doporučujeme také vytvořit zásady oznamování pro případ narušení bezpečnosti dat (které lze zahrnout do vašeho oznámení o ochraně soukromých údajů). V nich by mělo být uvedeno, jak a kdy budete oznamovat svým zákazníkům (např. prostřednictvím pošty/e-mailu), že došlo k narušení bezpečnosti osobních údajů. Je pravděpodobné, že se tato osvědčená metoda v budoucnu stane zákonnou povinností ve všech zemích EU (a bude doplněna o povinnost oznamovat vše i Úřadu na ochranu dat ihned po zjištění narušení bezpečnosti dat).

Dále určete příčinu narušení bezpečnosti. Zajistěte, abyste to provedli způsobem, který by se případně dal využít jako důkaz u soudu (např. zda lze stanovit, že k narušení bezpečnosti nedošlo kvůli tomu, že byla zavedena nedostatečná bezpečnostní opatření). Pokud jsou zasaženy finanční údaje, jako jsou například informace o kreditní kartě, informujte poskytovatele, který má na starosti vaše finanční transakce, aby mohl přijmout nezbytná opatření.

Stručně řečeno, je skutečně důležité, aby byl vytvořen proveditelný plán uvádějící specifická a konkrétní opatření a postupy následující po bezpečnostním incidentu. Postupy by měly určit, kdo je zodpovědný za vedení, jak kontaktovat kritický personál a které údaje, sítě a služby by měly mít při obnově prioritu nebo koho je nutné informovat (vlastníci údajů, zákazníci nebo partnerské společnosti), pokud došlo k odhalení jejich údajů nebo údajů ovlivňujících jejich sítě.

Uveďte, že narušení bezpečnosti bylo výsledkem neúmyslného pochybení lidského faktoru. Zajistěte školení svých zaměstnanců, díky kterému budou vědět, jak identifikovat a hlásit případná narušení bezpečnosti, a budou opatrní. Jednou z nejrozšířenějších příčin narušení bezpečnosti dat je nedbalost zaměstnanců (např. protože je ukraden notebook či mobilní telefon).

Vyberte svoji zemi a najděte národní webové stránky organizace Computer Emergency Response Team (CERT), což je tým odborníků na zabezpečení odpovědný za správu bezpečnostních incidentů (jako je například hlášení a reagování na bezpečnostní hrozby). Zde vám poskytnou informace o tom, co dělat a na koho se obrátit se žádostí o pomoc, pokud se stanete obětí jakéhokoli typu kybernetického útoku. Rovněž publikují výstrahy týkající se slabých stránek a hrozeb ve vaší zemi.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Česká republika Skupina pro reakci na počítačové hrozby v České republice: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Zdroje informací

Ochrana informací na vašich webových stránkách
Samara Hart (není k dispozici), How can I be sure my website is secure, k dispozici na adrese http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
Justin Stravarius (2010), 15 great ways to secure your website, k dispozici na adrese http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, k dispozici na adrese http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Reakce na bezpečnostní incidenty
Experian® Data Breach Resolution (vydání 2013-2014), Data Breach Response Guide
Carl Niedbala (2014), How a Data Breach can Destroy your Startup, k dispozici na adrese http://foundershield.com/data-breach-can-destroy-startup-infographic/
Handbook on European Data Protection Law: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, k dispozici na adrese http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington