Navigation path

Kaip užtikrinti savo interneto svetainės saugumą?

Kaip užtikrinti savo interneto svetainės saugumą?

Nesvarbu, ar sukuriate interneto svetainę pats, ar naudojatės trečiųjų šalių paslaugomis, turite kreipti ypatingą dėmesį tiek į interneto svetainės kūrimą, tiek į jos priežiūrą. Kibernetiniai incidentai gali turėti didelės įtakos jūsų įmonei ar prekių ženklui (t. y. pakenkti prekių ženklo reputacijai), kadangi jie gali sutrikdyti jūsų paslaugų teikimą ir lemti klientų pasitikėjimo praradimą ar netgi reguliavimo sankcijas bei ieškinius. Tokie incidentai – tai jūsų klientų duomenų vagystė, informacijos pakeitimas platformoje, interneto svetainės uždarymas, konfidencialios informacijos apie organizaciją nutekinimas ir pan.

Taip pat labai svarbu iš anksto atlikti inventorizaciją prieš bet kokį saugumo pažeidimą. Kokia informacija jūsų organizacijai yra labai svarbi? Kur ji yra? Kaip greitai ji gali būti atkurta, jei bus sunaikinta išpuolio metu? Turėtumėte atlikti visišką savo sistemų auditą, atkreipdami dėmesį į svarbiausius komponentus, ir viską stebėti. Pasirūpinkite, kad būtumėte ne vienintelis asmuo, žinantis apie šį dokumentą.

Apsaugokite savo svetainės informaciją

Prieš pradėdami tartis su svetainių prieglobos paslaugų teikėjais, turite apgalvoti tris pagrindinius informacijos saugumo aspektus, t. y. savo interneto svetainės ir paslaugų konfidencialumo, vientisumo ir pasiekiamumo reikalavimus, bei nuspręsti, kokio paslaugų lygio jums reikia.

Norėdami užtikrinti savo sistemos saugumą, turite reikalauti griežtų garantijų ir įsitikinti, kad atsižvelgta į šiuos aspektus:
•    konfidencialumą, t. y. informacijos (pvz., kredito kortelių numerių, asmeninės informacijos) apsauga nuo atskleidimo neįgaliotosioms šalims. Tai galima atlikti, pavyzdžiui, įdiegiant tinkamą tapatumo nustatymo mechanizmą (dviejų dalių tapatumo nustatymo sprendimą). Taip pat galima naudoti šifruotas jungtis (HTTPS; SSL apsaugos protokolą) siekiant užtikrinti, kad tik įgaliotieji asmenys turėtų prieigą ir galėtų perskaityti informaciją;
•    vientisumą, t. y. informacijos apsauga nuo neįgaliotųjų šalių keitimo siekiant užtikrinti, kad informacija yra tiksli ir patikima. Siekiant šio tikslo būtina kasdien tikrinti, ar nėra pakeistų failų, numatyti interneto svetainės ir paslaugų saugos patikrą (kad išvengtumėte tokių paprastų atakų kaip SQL injekcijos) arba įdiegti nuo įsilaužimų apsaugančią sistemą;
•    prieinamumą, t. y. užtikrinimas, kad jūsų interneto svetainė visada veikia. Tai galima užtikrinti įdiegus atsarginę (avarinę) energijos sistemą ir kruopščiai prižiūrint visą aparatinę įrangą.

Prieiga prie visų duomenų sistemų turėtų būti suteikiama vadovaujantis „būtina žinoti“ principu siekiant užtikrinti, kad laikomasi visų trijų aspektų.

Reaguokite į su saugumu susijusius incidentus

Įvykus pažeidimui jūsų patikimumas pastatomas ant kortos, todėl privalote greitai reaguoti, kad sumažintumėte neigiamą poveikį. Svarbu, kad praneštumėte klientams apie tai, kas įvyko. Pavyzdžiui, jei pažeisti slaptažodžiai, turėtumėte informuoti apie tai klientus, kad jie galėtų juos pasikeisti, kadangi jie dažnai naudojami ne tik jūsų interneto svetainėje.

Kaip jau minėta, kai tik sužinote, kas yra svarbiausia, pasirūpinkite, kad visi atitinkami dalyviai taip pat apie tai žinotų. Tuo tikslu, jei nustatoma saugumo problema, patartina, kad vienas asmuo būtų paskirtas IT savininku. Šis asmuo turi būti lengvai pasiekiamas ypatingos padėties atveju ir turi būti pasirengęs tvarkyti daugybę vidinių techninių komponentų, susijusių su atkūrimo darbais po pažeidimo.

Taip pat patariama sukurti politiką dėl informavimo apie duomenų pažeidimą (tai galėtų būti įtraukta į jūsų privatumo pranešimą ). Jame turėtų būti nurodyta, kaip ir kada informuosite savo klientus (pvz., pašto arba el. pašto pranešimu), kai bus pažeistas asmeninių duomenų saugumas. Tikėtina, kad ši praktika ateityje taps teisiniu įsipareigojimu visose ES šalyse (ir sužinojus apie duomenų pažeidimą bus privaloma informuoti duomenų apsaugos instituciją .

Be to, būtina nustatyti pažeidimo priežastį. Tai atlikite taip, kad įkalčius galėtumėte panaudoti teisme (pvz., jei galima įrodyti, kad pažeidimas įvyko ne dėl to, jog įdiegta nepakankamai apsaugos priemonių). Jei pažeista finansinė informacija, pavyzdžiui, kredito kortelės informacija, informuokite savo finansinių paslaugų teikėją, kad jis galėtų imtis atitinkamų priemonių.

Apibendrinant, iš tiesų svarbiausia tai, kad būtų sukurtas veiksmų planas, kuriame numatytos konkrečios priemonės ir procedūros saugumo incidentui stebėti. Procedūrose turi būti numatyta, kam tenka pagrindinė atsakomybė, kaip susisiekti su atsakingais darbuotojais ir kokie duomenys, tinklai ir paslaugos turėtų būti atkuriami pirmiausiai arba kam turėtų būti pranešta (duomenų savininkams, klientams ar partnerių įmonėms), jei jų duomenys ar jų tinklams įtakos turintys duomenys yra atskleisti.

Atkreipkite dėmesį, kad pažeidimai gali tiesiog būti netyčinės žmogaus arba darbuotojo klaidos rezultatai. Būtinai apmokykite darbuotojus, jei jų turite, atpažinti ir pranešti apie pažeidimus, taip pat įspėkite juos būti atsargiais. Darbuotojų neatsargumas (pvz., nešiojamojo kompiuterio arba mobiliojo telefono vagystė) yra didžiausia priežastis, dėl ko įvyksta duomenų pažeidimo incidentai.
Pasirinkite savo šalį ir apsilankykite Kompiuterinių incidentų tyrimo tarnybos (CERT) nacionalinėje interneto svetainėje. Tai saugumo ekspertų komanda, atsakinga už saugumo incidentų valdymą (pranešimus apie saugumo grėsmes ir reagavimą į juos). Jie gali jums suteikti informacijos apie tai, ką daryti ir į ką kreiptis pagalbos, jei susidūrėte su bet kokia kibernetine ataka. Jie taip skelbia įspėjimus apie pažeidimus ir grėsmę jūsų šalyje.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lietuva Kompiuterinių incidentų tyrimų tarnyba Lietuvoje: www.cert.lt
Apsilankykite interneto svetainėje http://www.esaugumas.lt, kurioje pateikiama informacija apie tai, kaip apsaugoti kompiuterį ir jaustis saugiai internete (tik Lietuvoje). 
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Informacijos šaltiniai

Apsaugokite savo interneto svetainės informaciją
•    Samara Hart (n/a), „Kaip žinoti, kad mano interneto svetainė yra saugi“, adresu http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), „15 puikių būdų apsaugoti savo interneto svetainę“, adresu http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), „Konfidencialumas, vientisumas, prieinamumas: trys CŽV triados sudedamosios dalys“, adresu http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/,, IT saugumo bendruomenės tinklaraštis

Reaguokite į su saugumu susijusius incidentus
•    „Experian®“, Duomenų saugumo pažeidimo rezoliucija (2013–2014 m. leidimas), Reagavimo į duomenų saugumo pažeidimą gidas
•    Carl Niedbala (2014), „Kaip duomenų saugumo pažeidimas gali sunaikinti jūsų startuolį“, adresu http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Europos duomenų apsaugos įstatymo vadovas: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), ES 29 straipsnio darbo grupės gairės dėl pranešimų apie duomenų saugumo pažeidimus, adresu http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Covington