Navigation path

Πώς μπορώ να κάνω ασφαλή τον ιστότοπό μου;

Πώς μπορώ να κάνω ασφαλή τον ιστότοπό μου;

Είτε σκοπεύετε να αναπτύξετε τον ιστότοπό σας μόνοι σας είτε χρησιμοποιώντας τις υπηρεσίες τρίτων, θα πρέπει να επιδεικνύετε ιδιαίτερη προσοχή όσον αφορά τόσο την ανάπτυξη όσο και τη συντήρηση του ιστότοπού σας. Τα περιστατικά που σχετίζονται με την κυβερνοασφάλεια και η αντιμετώπισή τους είναι πιθανό να έχουν σημαντικές επιπτώσεις στην επιχείρηση ή την εμπορική επωνυμία σας (π.χ. μείωση της φήμης της εμπορικής επωνυμίας), καθώς μπορεί να προκαλέσουν προβλήματα στην παροχή των υπηρεσιών σας, να οδηγήσουν σε απώλεια εμπιστοσύνης από την πλευρά των πελατών σας και ενδεχομένως, ακόμα και σε νομικές κυρώσεις και αγωγές. Τέτοιου είδους περιστατικά μπορεί να περιλαμβάνουν, μεταξύ άλλων, κλοπή των δεδομένων των πελατών σας, παραποίηση των πληροφοριών που τηρούνται στην πλατφόρμα σας, διακοπές λειτουργίας του ιστότοπού σας, διαρροή εμπιστευτικών πληροφοριών για τον οργανισμό σας κ.λπ.

Είναι επίσης πολύ σημαντικό να κάνετε απογραφή εκ των προτέρων, πριν την παραβίαση ασφαλείας. Ποιες πληροφορίες είναι σημαντικές για την επίτευξη της αποστολής του οργανισμού σας; Πού βρίσκονται; Πόσο γρήγορα μπορούν να ανακτηθούν εάν χαθούν σε περίπτωση επίθεσης; Οφείλετε να πραγματοποιήσετε πλήρη έλεγχο των συστημάτων σας, να σημειώσετε τα πιο σημαντικά στοιχεία και να παρακολουθείτε τα πάντα. Σιγουρευτείτε ότι δεν είστε το μόνο άτομο που γνωρίζει την ύπαρξη αυτού του εγγράφου.

Προστασία των πληροφοριών που υπάρχουν στον ιστότοπό σας

Προτού ξεκινήσετε τις συζητήσεις με υποψήφιους παρόχους υπηρεσιών φιλοξενίας ιστοτόπων, καλό θα είναι να αναλογιστείτε τις τρεις θεμελιώδεις παραμέτρους που σχετίζονται με την ασφάλεια των πληροφοριών, δηλαδή τις απαιτήσεις αναφορικά με την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα του ιστότοπου και των υπηρεσιών σας, καθώς και να προσδιορίσετε τις απαιτήσεις που πρέπει να πληρούνται για το επίπεδο υπηρεσιών που παρέχετε.

Για να είναι ασφαλής η σχεδίαση του συστήματός σας, θα πρέπει να απαιτήσετε ορισμένες αυστηρές εγγυήσεις και να διασφαλίσετε ότι υπάρχει πράγματι προστασία στα εξής επίπεδα:
•    Εμπιστευτικότητα, δηλαδή προστασία πληροφοριών (π.χ. αριθμών πιστωτικών καρτών, προσωπικών στοιχείων) από τυχόν γνωστοποίηση σε μη εξουσιοδοτημένους τρίτους. Αυτό μπορεί να γίνει, για παράδειγμα, εγκαθιστώντας έναν κατάλληλο μηχανισμό ελέγχου ταυτότητας (όπως π.χ. είναι οι λύσεις ελέγχου ταυτότητας δύο παραγόντων). Μια άλλη δυνατότητα είναι η χρήση κρυπτογραφημένων συνδέσεων (πρωτόκολλα ασφάλειας HTTPS, SSL κ.λπ.) με τις οποίες διασφαλίζεται ότι μόνο τα άτομα που πρέπει μπορούν να έχουν πρόσβαση στις πληροφορίες ή/και να τις διαβάζουν.
•    Ακεραιότητα, δηλαδή προστασία των πληροφοριών από τυχόν παραποίηση από μη εξουσιοδοτημένους τρίτους προκειμένου να διασφαλίζεται ότι οι πληροφορίες είναι πάντοτε ακριβείς και αξιόπιστες. Η διενέργεια καθημερινού ελέγχου για παραποιημένα αρχεία, η πρόβλεψη για ένα σύστημα δοκιμών ασφάλειας για τον ιστότοπο και τις υπηρεσίες σας (με σκοπό την αποφυγή οποιωνδήποτε απλών επιθέσεων, όπως είναι οι εισβολές SQL) ή η εγκατάσταση ενός συστήματος προστασίας από ηλεκτρονικές παρεισφρήσεις είναι λύσεις που μπορούν να σας βοηθήσουν να το επιτύχετε αυτό. 
•    Διαθεσιμότητα, δηλαδή διασφάλιση ότι ο ιστότοπός σας λειτουργεί όπως πρέπει και χωρίς προβλήματα ανά πάσα στιγμή. Η υλοποίηση ενός συστήματος εφεδρικής τροφοδοσίας για περιπτώσεις έκτακτης ανάγκης και η σχολαστική συντήρηση όλου του υλικού (hardware) είναι δύο λύσεις-κλειδιά για την επίτευξη του σκοπού αυτού. 

Η πρόσβαση σε όλα τα συστήματα δεδομένων θα πρέπει να παραχωρείται μόνο με βάση την «ανάγκη γνώσης» προκειμένου να διασφαλίζεται η συμμόρφωση με τις τρεις παραμέτρους που αναφέρθηκαν παραπάνω.

Αντιμετώπιση περιστατικών κινδύνου ασφάλειας

Από τη στιγμή που θα εκδηλωθεί οποιαδήποτε παραβίαση της ασφάλειας, η εμπιστοσύνη που σας δείχνουν οι πελάτες σας τίθεται αμέσως σε κίνδυνο, επομένως απαιτείται ταχύτατη παρέμβαση εκ μέρους σας για να περιοριστούν οι αρνητικές επιπτώσεις. Είναι σημαντικό να ενημερώνετε τους πελάτες σας για το τι έχει συμβεί. Για παράδειγμα, εάν έχουν παραβιαστεί κωδικοί πρόσβασης, θα πρέπει να φροντίσετε οπωσδήποτε να το μάθουν οι πελάτες σας, ώστε να τους αλλάξουν το συντομότερο δυνατό, καθώς, συνήθως, αυτοί δεν χρησιμοποιούνται αποκλειστικά και μόνο για τον ιστότοπό σας. 

Όπως αναφέρθηκε παραπάνω, αφού κατανοήσετε ποιες είναι οι πιο σημαντικές πληροφορίες, σιγουρευτείτε ότι όλοι οι σχετικοί παράγοντες έχουν επίσης ενημερωθεί. Για αυτόν τον σκοπό, σας συνιστούμε να διορίσετε ένα άτομο υπεύθυνο ΤΠ στην περίπτωση που ανιχνευτεί πρόβλημα ασφαλείας. Αυτό το άτομο οφείλει να είναι έγκαιρα διαθέσιμο σε περίπτωση έκτακτης ανάγκης, και να είναι σε θέση να διαχειριστεί τα πολλά εσωτερικά τεχνικά ζητήματα που σχετίζονται με την αντιμετώπιση μιας παραβίασης. Επιπλέον, σας συνιστούμε να καταρτίσετε μια πολιτική ειδοποίησης για παραβίαση δεδομένων (η οποία θα μπορούσε να συμπεριληφθεί στη δήλωσή εχεμύθειας). Η πολιτική αυτή θα πρέπει να καθορίζει το πότε και το πώς θα ειδοποιείτε τους πελάτες σας (π.χ. ειδοποιήσεις μέσω ταχυδρομικής αλληλογραφίας/e-mail) σε περιπτώσεις παραβίασης δεδομένων προσωπικού χαρακτήρα. Είναι πολύ πιθανό αυτή η ορθή πρακτική να γίνει νομική υποχρέωση σε όλες τις χώρες της ΕΕ στο μέλλον (και να συνοδεύεται και από την υποχρέωση ειδοποίησης της Αρχής Προστασίας Δεδομένων, αμέσως μόλις αντιληφθείτε ότι έχει σημειωθεί παραβίαση δεδομένων).

Επιπρόσθετα, θα πρέπει να εντοπίσετε τα αίτια της παραβίασης. Βεβαιωθείτε ότι αυτό γίνεται με τρόπο τέτοιο που τυχόν αποδεικτικά στοιχεία να μπορούν μελλοντικά να χρησιμοποιηθούν στο δικαστήριο (π.χ. εάν μπορεί να τεκμηριωθεί ότι η παραβίαση δεν συνέβη επειδή δεν εφαρμόζονταν επαρκή μέτρα προστασίας και ασφάλειας). Εάν εκδηλωθεί παραβίαση οικονομικών πληροφοριών, όπως π.χ. στοιχείων πιστωτικής κάρτας, ενημερώστε τον πάροχο που χειρίζεται τις οικονομικές συναλλαγές σας προκειμένου να λάβει τα απαιτούμενα μέτρα.

Με λίγα λόγια, αυτό που είναι πραγματικά σημαντικό είναι να υπάρχει ένα σχέδιο δράσης που να περιλαμβάνει συγκεκριμένα και σαφή μέτρα και διαδικασίες που θα πρέπει να ακολουθούνται σε περίπτωση περιστατικού ασφαλείας. Οι διαδικασίες θα πρέπει να καθορίζουν ποιος έχει την ευθύνη, πώς να επικοινωνήσετε με βασικό προσωπικό και σε ποια δεδομένα, δίκτυα και υπηρεσίες θα πρέπει να δοθεί προτεραιότητα για ανάκτηση ή ποιος θα πρέπει να ειδοποιηθεί (υποκείμενα δεδομένων, πελάτες ή συνεργαζόμενες εταιρίες) εάν τα δεδομένα τους ή δεδομένα που επηρεάζουν τα δίκτυά τους, είναι εκτεθειμένα.

Έχετε υπόψη σας ότι οι παραβιάσεις της ασφάλειας, κάποιες φορές, μπορεί να είναι απλώς αποτέλεσμα ακούσιου ανθρώπινου σφάλματος/σφάλματος προσωπικού. Βεβαιωθείτε ότι έχετε εκπαιδεύσει τους υπαλλήλους σας, εάν έχετε, στο να εντοπίζουν και να αναφέρουν παραβιάσεις, καθώς και στο να είναι ιδιαίτερα προσεκτικοί. Η αμέλεια εκ μέρους των υπαλλήλων (π.χ. λόγω κλοπής ενός φορητού υπολογιστή ή κινητού τηλεφώνου) αποτελεί πολύ σημαντική αιτία εκδήλωσης περιστατικών παραβίασης δεδομένων.

Επιλέξτε τη χώρα  σας και επισκεφτείτε τον εθνικό σας ιστότοπο της Ομάδας Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική (CERT), μιας ομάδας ειδικών σε θέματα ασφάλειας που είναι υπεύθυνη για τη διαχείριση περιστατικών παραβίασης ασφάλειας (όπως υποβολή αναφορών και αντιμετώπιση απειλών κατά της ασφάλειας). Η ομάδα αυτή μπορεί να σας δώσει πληροφορίες σχετικά με το τι να κάνετε και πού να απευθυνθείτε για βοήθεια, εάν δεχτείτε οποιονδήποτε τύπο κυβερνοεπίθεσης. Επίσης, δημοσιεύει προειδοποιήσεις σχετικά με τρωτά σημεία συστημάτων και απειλές που έχουν εντοπιστεί στη χώρα σας.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Κύπρος δεν διατίθεται
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Ελλάδα Ομάδα Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική της Ελλάδας: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Πηγές πληροφοριών

Προστασία πληροφοριών στον δικτυακό τόπο σας
•    Samara Hart (n/a) , How can I be sure my website is secure (Πώς μπορώ να είμαι σίγουρος ότι ο δικτυακός τόπος μου είναι ασφαλής), διαθέσιμο στο http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), 15 great ways to secure your website (15 καλοί τρόποι να διατηρήσετε ασφαλή τον δικτυακό τόπο σας), διαθέσιμο στο http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad (Εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα: Οι τρεις παράμετροι της τριάδας ΕΑΔ), διαθέσιμο στο http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/,, IT Security Community Blog

Αντιμετώπιση περιστατικών κινδύνου ασφάλειας
•    Experian® Data Breach Resolution (έκδοση 2013-2014),  Data Breach Response Guide (Οδηγός Αντιμετώπισης Παραβιάσεων Δεδομένων)
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup (Πώς μια παραβίαση δεδομένων μπορεί να καταστρέψει τη νεοσύστατη επιχείρησή σας), διαθέσιμο στο http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Εγχειρίδιο για την Ευρωπαϊκή Νομοθεσία περί Προστασίας Δεδομένων: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), Η ομάδα εργασίας του άρθρου 29 της ΕΕ δημοσιεύει οδηγό για τη γνωστοποίηση παραβιάσεων δεδομένων, διαθέσιμο στο http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington