Navigation path

Miten voin turvata verkkosivustoni?

Miten voin turvata verkkosivustoni?

Verkkosivuston kehittämiseen ja ylläpitoon on syytä kiinnittää tarkkaa huomiota, olipa sivusto laadittu itse tai kolmannen osapuolen palveluja käyttäen. Kyberturvallisuusongelmilla voi olla suuri vaikutus liiketoimintaanne tai brändiinne (esim. brändin maineen heikkeneminen), sillä ne voivat häiritä palvelujanne, saada asiakkaanne menettämään luottamuksensa ja johtaa jopa sanktioihin ja oikeusjuttuihin. Tällaisia ongelmia voivat olla muun muassa asiakastietojen varastaminen, muutokset sivuston tietoihin, sivuston kaataminen sekä luottamuksellisten tietojen vuotaminen yrityksestä.

On hyvin tärkeää tehdä käydä omat tiedot läpi etukäteen ennen mahdollisia tietoturvaloukkauksia. Mitkä tiedot ovat organisaatiollenne kriittisen tärkeitä? Missä tietoja säilytetään? Kuinka nopeasti tiedot saadaan palautettua, jos hakkeri poistaa ne? Tehkää järjestelmille kattava tarkastus. Merkitkää muistiin tärkeimmät osa-alueet ja seuratkaa kaikkea. Varmistakaa, että myös muut ovat tietoisia tästä asiakirjasta.

Suojatkaa sivustonne tiedot

Ennen kuin aloitatte neuvottelut hosting-palvelun tarjoajien kanssa, kannattaa miettiä tietoturvallisuuden kolmea avainasiaa eli luottamuksellisuutta, koskemattomuutta ja saatavuutta sekä sivustonne ja palvelujenne näitä koskevia vaatimuksia ja päättää tarvittavat palvelutasovaatimukset.

Jotta järjestelmänne arkkitehtuuri olisi turvallinen, teidän on vaadittava tiukkoja takeita ja varmistettava, että seuraavat seikat suojataan:
•    Luottamuksellisuus eli tietojen (esim. maksukorttinumeroiden ja henkilötietojen) suojaaminen luvattomilta käyttäjiltä. Tämän voi tehdä esimerkiksi asianmukaisella tunnistautumismekanismilla (kuten kaksivaiheisella tunnistuksella). Toinen mahdollisuus on käyttää salattuja yhteyksiä (HTTPS, SSL-salausprotokolla) takaamaan, että vain oikeilla ihmisillä on pääsy lukemaan ja käsittelemään tietoja.
•    Koskemattomuus eli tietojen suojaus luvattomien käyttäjien tekemiltä muutoksilta niiden luotettavuuden ja paikkansapitävyyden varmistamiseksi. Tietoja voidaan suojella esimerkiksi tarkistamalla päivittäin, ettei tietoja ole muutettu, varmistamalla etukäteen sivuston ja palvelujen turvallisuus (jotta vältetään yksinkertaiset hyökkäykset, kuten SQL-injektiot) tai käyttämällä hyökkäysten estojärjestelmiä. 
•    Saatavuus eli sen varmistaminen, että sivustonne on aina toiminnassa. Varavirtajärjestelmä ja laitteistojen huolellinen ylläpito ovat tässä avainasemassa. 

Kaikkiin tietojärjestelmiin tulisi myöntää pääsy vain tiedontarpeen mukaan, jotta taataan näiden kolmen seikan toteutuminen.

Reagoikaa tietoturvaongelmiin

Tietoturvaloukkaus vaarantaa asiakkaiden luottamuksen organisaatioonne, joten loukkauksiin on reagoitava nopeasti haittojen rajoittamiseksi. On tärkeää, että tiedotatte asiakkaillenne tapahtuneesta. Jos esimerkiksi salasanat ovat vaarantuneet, ilmoittakaa siitä asiakkaillenne, jotta he voivat vaihtaa salasanansa, sillä samoja salasanoja käytetään usein muillakin sivustoilla.

Kuten edellä mainittiin, selvitettyänne tärkeimmät osa-alueet on tärkeä varmistaa, että muutkin toimintaan osallistuvat henkilöt ovat ajan tasalla. Siksi on suositeltavaa nimetä yksi henkilö IT-vastaavaksi siltä varalta, että turvallisuusongelma havaitaan. Tämän henkilön on oltava helposti tavoitettavissa hätätilanteessa, ja hänen on kyettävä hallitsemaan niitä lukuisia sisäisiä teknisiä komponentteja, joita tarvitaan loukkauksesta selviämiseen.

On suositeltavaa luoda käytäntö tietoturvaloukkauksista ilmoittamiseen (sen voi sisällyttää organisaationne tietosuojaselosteeseen ). Siinä pitäisi määrittää, miten ja milloin ilmoitatte asiakkaillenne (esim. postitse/sähköpostitse), jos henkilötietoihin on murtauduttu. Tulevaisuudessa tämä hyvä käytäntö on todennäköisesti lakisääteinen velvollisuus kaikissa EU-maissa (ja siihen liittyy myös velvollisuus ilmoittaa tietosuojaviranomaiselle  havaitusta tietoturvaloukkauksesta).

Määrittäkää tietoturvaloukkauksen syy. Varmistakaa, että syy selvitetään niin, että todistusaineistoa voidaan käyttää myöhemmin oikeudessa (esim. sen osoittamiseksi, ettei tietoturvaloukkaus johtunut riittämättömistä turvatoimista). Jos tilitiedot – kuten luottokorttitiedot – vaarantuvat, ilmoittakaa siitä pankki- ja tilitapahtumienne käsittelijälle, jotta he voivat ryhtyä tarvittaviin toimenpiteisiin.
Tärkeintä on laatia toimintasuunnitelma, jossa määritellään tarkat ja konkreettiset toimenpiteet ja käytännöt tietoturvaloukkausten sattuessa. Toimenpiteissä tulisi määrittää, kenellä on pääasiallinen vastuu, miten tarvittavaan henkilöstöön saadaan yhteys ja mitkä tiedot, verkot ja palvelut tulisi palauttaa ensisijaisesti tai kenelle on ilmoitettava (tietojen omistajat, asiakkaat tai kumppaniyritykset), jos heidän tietonsa tai heidän verkkoihinsa liittyvät tiedot altistuvat murrolle.

Huomatkaa, että turvallisuus voi vaarantua myös työntekijän tahattomasta inhimillisestä virheestä. Kouluttakaa mahdolliset työntekijänne tunnistamaan loukkaukset ja ilmoittamaan niistä sekä olemaan varovaisia. Tietoturvaloukkausten syynä on usein työntekijän huolimattomuus (esim. sylimikron tai puhelimen varkaus).

Valitkaa maanne  ja käykää Computer Emergency Response Teamin (CERT) maakohtaisella sivulla, jolla tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä asiantuntijaryhmä raportoi ja ohjeistaa vastaamaan turvallisuusuhkiin. He voivat antaa tietoa siitä, mitä tehdä ja keneltä pyytää apua, jos joudutte kyberhyökkäyksen kohteeksi. He julkaisevat myös varoituksia haavoittuvuuksista ja uhista maassanne.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Suomi Kyberturvallisuuskeskuksen CERT-toiminto: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Tietolähteet

Suojatkaa sivustonne tiedot
•    Samara Hart (n/a) , How can I be sure my website is secure, osoitteessa http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/ 
•    Justin Stravarius (2010), 15 great ways to secure your website, osoitteessa http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, available at http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Reagoikaa tietoturvaongelmiin
•    Experian® Data Breach Resolution (2013-2014 edition), Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, osoitteessa http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Handbook on European Data Protection Law: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, osoitteessa http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington