Navigation path

Kako zaštititi web-mjesto?

Kako zaštititi web-mjesto?

Bilo da sami izrađujete svoju web-mjesto ili se koristite uslugama treće osobe, trebate posebno pripaziti na izradu i održavanje Vašeg web-mjesta. Rješavanje incidenata u online sigurnosti može znatno utjecati na Vaše poslovanje i brend (primjerice, može narušiti ugled Vašeg brenda) tako što može poremetiti uslugu, dovesti do gubitka povjerenja od strane kupaca te čak i do regulatornih sankcija i tužbi. Takvi incidenti uključuju krađu podataka o kupcima, izmjene podataka na Vašoj platformi, gašenje web-mjesta, curenje povjerljivih informacija o organizaciji itd.

Također je iznimno važno unaprijed napraviti inventuru, prije povrede sigurnosti. Koje su informacije neophodne za Vašu organizaciju? Gdje se nalaze? Kako se brzo mogu vratiti u prvotno stanje u slučaju napada? Morate provesti kompletnu reviziju svojih sustava, zabilježiti najvažnije komponente i sve pratiti. Pobrinite se da niste jedina osoba koja zna za taj dokument.

Zaštitite podatke na svojem web-mjestu

Prije početka pregovora s pružateljima usluge hostinga, trebali biste razmisliti o tri temeljna aspekta sigurnosti podataka, tj. zahtjevima za povjerljivosti, integritetom i dostupnosti Vašeg web-mjesta i usluga te odlučiti o zahtjevima ovisnima o nivou usluge.

Kako bi dizajn Vašeg sustava bio siguran, morate nabaviti stroga jamstva i zaštititi sljedeće aspekte:
•    Povjerljivost, tj. zaštita podataka (npr. broja kreditne kartice, osobnih podataka) od neovlaštenih osoba. To se može postići postavljanjem ispravnog mehanizma za provjeru autentičnosti (kao što je opcija „dvostruke provjere autentičnosti“). Druga opcija je korištenje šifriranih veza (HTTPS, sigurnosni protokol SSL) kako biste samo određenim ljudima osigurali pristup podacima.
•    Integritet, tj. zaštita podataka od izmjene od strane neovlaštene osobe kako bi se osigurala točnost i vjerodostojnost podataka. Svakodnevna provjera izmijenjenih podataka, predviđanje sigurnosnih testova za Vaše web-mjesto i usluge (kako bi se izbjegli jednostavni napadi kao što je ubrizgavanje SQL-a) ili postavljanje sustava za prevenciju uljeza, također mogu pomoći. 
•    Dostupnost, tj. osiguravanje ispravnog rada Vašeg web-mjesta u bilo koje doba. Implementiranje pomoćnog sustava napajanja za slučaj opasnosti te rigorozno održavanje hardvera, ključni su za to.

Pristup svim sustavima podataka treba se odobriti samo u slučaju da su ti podaci ključni za održavanje sva tri navedena aspekta.

Odgovori na sigurnosne incidente

Od trenutka kršenja sigurnosnih mjera, povjerenje koje kupci imaju u Vas postaje upitno te je potreban brz odgovor kako bi se smanjile negativne posljedice. Važno je obavijestiti kupce o onome što se dogodilo. Na primjer, ako su lozinke pod prijetnjom, upozorite kupce kako bi ih promijenili, s obzirom da ih često upotrebljavaju i za neka druga web-mjesta. 

Kao što je prethodno navedeno, nakon što utvrdite ono najvažnije, pobrinite se da su s tim upoznati i svi relevantni akteri. U tu se svrhu preporučuje da se jednu osobu odredi kao vlasnika IT-a u slučaju otkrivanja sigurnosnog problema. Ta osoba mora biti lako dostupna u slučaju nužde te opremljena za upravljanje brojnim internim tehničkim komponentama u vezi s oporavkom od kršenja.

Također se preporučuje izraditi pravilnik o obavještavanju o kršenju privatnosti podataka (koji ćete uključiti u pravilnik o privatnosti ). On bi trebao sadržavati vrijeme i način obavještavanja kupaca (npr. putem pošte/e-pošte) o kršenju podataka. Vjerojatno je da će ovo postati zakonski obavezno u svim državama Europske unije (te će biti popraćeno obaveznim obavještavanjem nadležnog tijela za zaštitu podataka  istog trena kada postanete svjesni da je došlo do prekršaja).

Također ustanovite uzrok prekršaja. Napravite to na takav način da učinite dokaze upotrebljivima na sudu (npr. za slučaj da se može dokazati da se prekršaj nije dogodio zbog nedostatnih mjera zaštite). Ako su pod prijetnjom financijski podaci poput onih s kreditne kartice, obavijestite pružatelja koji rukovodi Vašim financijskim transakcijama kako bi poduzeo potrebne mjere.

U konačnici, ključno je da je razvijen plan koji se može provesti, a kojim su osigurane konkretne mjere i postupci nakon sigurnosnog incidenta. U postupcima se mora znati tko ima vodeću odgovornost, kako kontaktirati ključno osoblje te obnovi kojih podataka, mreža i usluga treba dati prvenstvo ili koga je potrebno obavijestiti (vlasnike podataka, kupce ili partnerska poduzeća) ako dođe do otkrivanja njihovih podataka ili podataka koji utječu na njihove mreže.

Imajte na umu da kršenja sigurnosnih mjera mogu biti tek rezultat nenamjerne ljudske greške / greške osoblja. Dobro obučite zaposlenike ako ih imate kako bi identificirali i prijavili prekršaje te bili na oprezu. Nemar zaposlenika (npr. uslijed krađe mobilnog uređaja ili prijenosnog računala) velik je povod kršenju sigurnosti podataka.

Odaberite Vašu zemlju i posjetite nacionalno web-mjesto tima za reagiranje na hitne računalne slučajeve (CERT), tj. tima računalnih stručnjaka odgovornih za upravljanje sigurnosnim incidentima (kao što su prijava i odgovor na sigurnosne prijetnje). Oni Vam mogu pružiti informacije o tome što napraviti i kome se obratiti za pomoć ako ste pod nekom vrstom cyber napada. Također Vas obavještavaju o propustima i prijetnjama u Vašoj zemlji.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Hrvatska  Računalni tim za hitne intervencije u Hrvatskoj: www.cert.hr/​​​​​​​
Cyprus n/a.
Česká republika Skupina pro reakci na počítačové hrozby v České republice: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Izvori informacija

Zaštitite podatke na svojem web-mjestu
•    Samara Hart, Kako biti siguran da je moje web-mjesto sigurno (How can I be sure my website is secure), dostupno na http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/ 
•    Justin Stravarius (2010.), 15 odličnih načina za zaštitu Vašeg web-mjesta (15 great ways to secure your website), dostupno na http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012.), Povjerljivost, integritet, dostupnost: tri komponente trijade CIA (Confidentiality, Integrity, Availability: The three components of the CIA Triad), dostupno na http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Odgovori na sigurnosne incidente
•    Rezolucija o povredi podataka Experian® (izdanje 2013.-2014.),  Vodič za odgovor na povredu podataka (Experian® Data Breach Resolution (2013-2014 edition),  Data Breach Response Guide)
•    Carl Niedbala (2014.), Kako povreda podataka može uništiti Vaše novoosnovano poduzeće (How a Data Breach can Destroy your Startup), dostupno na http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Priručnik o europskom zakonodavstvu o zaštiti podataka: http://www.echr.coe.int/Documents/Handbook_data_protection_HRV.pdf
•    Ezra Steinhardt (2014.), Radna skupina EU-a iz članka 29. objavljuje smjernice o obavješćivanju o povredi podataka (EU Article 29 Working Party Publishes Guidance on Data Breach Notification), dostupno na http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington