Navigation path

Hvordan kan jeg sikre mit websted?

Hvordan kan jeg sikre mit websted?

Uanset om du selv udvikler dit websted eller benytter dig af en tredjepart, bør du være meget opmærksom på både udviklingen og vedligeholdelsen af dit websted. Cybersikkerhedsrelaterede hændelser kan have en stor indvirkning på din virksomhed eller dit brand (f.eks. forringet brand-omdømme), da de kan forstyrre dine tjenester, føre til et tillidstab fra dine kunder og måske endda lovgivningsmæssige sanktioner og retssager. Sådanne hændelser kan omfatte tyveri af dine kunders data, ændringer af oplysninger om din platform, lukning af dit websted, læk af fortrolige oplysninger om din organisation osv.

Det er også særdeles vigtigt, at du inden en eventuel sikkerhedsbrist på forhånd har lavet et overblik. Hvilke oplysninger er særligt vigtige for, at din organisation kan fungere? Hvor forefindes de? Hvor hurtigt kan de genskabes, hvis de forsvinder under et angreb? Du bør foretage en komplet gennemgang af dine systemer, finde de vigtigste elementer, og skrive det hele ned. Sørg for, at du ikke er den eneste person, der har kendskab til dette dokument.

Beskyt oplysninger på dit websted

Før du indtræder i drøftelser med hostingudbydere, bør du overveje tre centrale aspekter af informationssikkerhed, nemlig krav til fortrolighed, integritet og tilgængelighed på dit websted og tjenester, og fastlægge de nødvendige krav til serviceniveau.

For at dit systems design er sikkert, skal du kræve nogle strenge garantier, og sikre at følgende facetter beskyttes:
•    fortrolighed, dvs. at beskytte information (f.eks. kreditkortnumre, personlige oplysninger) mod videregivelse til uautoriserede parter. Dette kan gøres for eksempel ved at oprette en egentlig godkendelsesmekanisme (såsom to-faktorgodkendelsesløsninger). En anden mulighed er at bruge krypterede forbindelser (HTTPS, SSL-sikkerhedsprotokol) til at sikre, at kun de rette personer har adgang til/kan læse oplysningerne
•    integritet, dvs. beskytte oplysninger mod at blive ændret af uautoriserede parter for at sikre, at oplysningerne er korrekte og troværdige. Gennemførelse af en daglig kontrol for ændrede filer, planlægning af sikkerhedstest til dit websted og tjenester (for at undgå simple angreb såsom SQL-injektioner) eller oprettelse af et intrusion prevention-system kan alle hjælpe til at opnå dette
•    tilgængelighed, dvs. at sikre at dit websted kører konstant. Etablering af et nødstrømsystem og streng vedligeholdelse af al hardware er to af nøglerne til dette. 

Adgang til alle datasystemer bør kun gives på en »behovsmæssig« basis for at sikre, at de tre facetter overholdes.

Reager på sikkerhedshændelser

Fra det øjeblik et brud finder sted, er kundernes tillid til dig i spil, og der er behov for en hurtig reaktion for at begrænse skadevirkningerne. Det er vigtigt, at du informerer dine kunder om, hvad der skete. Hvis det for eksempel er adgangskoder, der er blevet berørt, bør du gøre dine kunder opmærksomme på dette, så de kan ændre dem, da de sjældent udelukkende anvendes til dit websted. 

Som tidligere nævnt, skal du, når du ved, hvad der er vigtigst, sørge for, at alle relevante aktører også er klar over dette. Til dette formål tilrådes det, at én person udnævntes som data-ansvarlig, hvis der skulle vise sig at være et sikkerhedsproblem. Denne person skal være hurtig at få fat på, hvis en nødsituation opstår, og vedkommende skal have udstyr til at kunne håndtere alle de interne, tekniske elementer, som det kræver at komme på fode igen efter et brud. Det anbefales også at udarbejde en notifikationspolitik for databrud (som kan være inkluderet i din fortrolighedspolitik ). Denne bør beskrive, hvordan og hvornår du vil underrette dine kunder (f.eks. via e-mails), når personoplysninger er blevet krænket. Det er sandsynligt, at denne gode praksis bliver en juridisk forpligtelse i alle EU-lande i fremtiden (og vil være ledsaget af en forpligtelse til at underrette databeskyttelsesmyndigheden  , når du bliver klar over bruddet).

Fastslå også årsagen til bruddet. Sørg for, at dette sker på en sådan måde, at bevismateriale i sidste ende kan anvendes i retten (f.eks. hvis det kan fastslås, at overtrædelsen ikke opstod, fordi der ikke er indført tilstrækkelige sikkerhedsforanstaltninger). Hvis finansielle oplysninger, såsom kreditkortoplysninger, er berørt, skal du underrette den tjenesteudbyder, der håndterer dine finansielle transaktioner, så denne kan træffe de nødvendige foranstaltninger.

Kort sagt er det vigtigt, at der er udarbejdet en handlingsplan, som angiver specifikke, konkrete foranstaltninger og procedurer i forbindelse med en sikkerhedshændelse. Procedurerne skal fastslå, hvem der har hovedansvaret, hvem der kontakter det relevante personale, og hvilke data, netværk og tjenester, der skal prioriteres i forhold til genskabelse, samt hvem der skal have besked (dataindehavere, kunder og partnervirksomheder), hvis deres data eller data, som påvirker deres netværk, bliver afsløret.

Bemærk, at brud på sikkerheden simpelthen kan være resultatet af en utilsigtet menneskelig/personalerelateret fejl. Sørg for at uddanne medarbejdere, så de kan identificere og rapportere om overtrædelser samt udviser forsigtighed. Uagtsomhed fra medarbejdernes side (f.eks. fordi en bærbar computer eller mobiltelefon bliver stjålet) er en massiv årsag til brud på datasikkerheden.

Vælg dit land , og besøg det nationale websted for Computer Emergency Response Team (CERT), som er et team af sikkerhedseksperter, der har ansvaret for forvaltningen af sikkerhedshændelser (såsom rapportering og reaktion på trusler mod sikkerheden). De kan give dig oplysninger om, hvad du skal gøre, og hvem du skal henvende dig til for at få hjælp, hvis du er under en eller anden form for cyberangreb. De offentliggør også advarsler om sårbarheder og trusler i dit land.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Danmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Kildeoversigt

Beskyt oplysninger på dit websted
•    Samara Hart (n/a) , How can I be sure my website is secure, tilgængelig på http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/ 
•    Justin Stravarius (2010), 15 great ways to secure your website, tilgængelig på http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, tilgængelig på http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Sikkerhedsblog

Reager på sikkerhedshændelser
•    Experian® Data Breach Resolution (2013-2014 edition),  Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, tilgængelig på http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Håndbog om europæisk databeskyttelseslovgivning: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Artikel 29 Working Party Publishes Guidance on Data Breach Notification, tilgængelig på http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington