Navigation path

Cum pot să-mi protejez site-ul web?

Cum pot să-mi protejez site-ul web?

Fie că sunteți chiar dumneavoastră creatorul site-ului web, fie că utilizați serviciile oferite de o parte terță, ar trebui să acordați atenție sporită dezvoltării și întreținerii site-ului dumneavoastră. Incidentele legate de securitatea cibernetică ar putea avea un mare impact asupra afacerii sau mărcii dumneavoastră (de exemplu, prin diminuarea reputației mărcii), având în vedere că acestea pot întrerupe desfășurarea serviciilor, pot cauza o pierdere a încrederii clienților și chiar posibile sancțiuni de reglementare și procese. Astfel de incidente ar putea presupune furtul de date aparținând clienților dumneavoastră, modificarea informațiilor existente pe platformă, închiderea site-ului web, scurgerea de informații confidențiale privind organizația etc.

Este, de asemenea, important să realizați un inventar în avans, înainte de producerea oricărei încălcări a securității. Ce informații lipsesc care sunt foarte importante pentru organizația dvs.? Unde sunt localizate? Cât de repede poate fi restabilit sistemul dacă este dezactivat în cadrul unui atac? Ar trebui să efectuați un audit complet al sistemelor dvs., să notați componentele cele mai importante și să monitorizați totul. Asigurați-vă că nu sunteți singura persoană care este conștientă de acest document. 

Protejați informațiile existente pe site-ul dumneavoastră

Înainte de a începe discuțiile cu furnizorii de găzduire web, ar trebui să reflectați asupra a trei aspecte principale privind securitatea informației, și anume cerințele privind confidențialitatea, integritatea și disponibilitatea site-ului web și a serviciilor pe care le oferiți și determinarea cerințelor necesare privind nivelul serviciilor.

Pentru ca sistemul dumneavoastră să fie gândit astfel încât să fie sigur, trebuie să solicitați câteva garanții stricte și să vă asigurați că următoarele aspecte sunt protejate:

•    Confidențialitatea – adică protejarea informațiilor (de exemplu: numerele cardurilor de credit, date personale) împotriva publicării de către părți neautorizate. Acest lucru poate fi realizat prin implementarea unui mecanism de autentificare corespunzător (precum soluțiile de autentificare în doi pași). O altă posibilitate constă în utilizarea conexiunilor criptate (HTTPS; protocolul de securitate SSL) pentru a vă asigura că doar persoanele autorizate pot accesa/citi informațiile.
•    Integritatea – adică protejarea informațiilor împotriva modificării acestora de către părți neautorizate, pentru a asigura corectitudinea și fiabilitatea acestora. Efectuarea unor verificări zilnice a fișierelor afectate, realizarea de teste preventive privind securitatea site-ului web și a serviciilor (pentru a evita atacurile simple de tipul injecțiilor SQL) sau implementarea unui sistem de prevenire a intruziunilor – toate pot contribui la menținerea integrității informațiilor. 
•    Disponibilitatea – adică asigurarea faptului că site-ul dumneavoastră web este accesibil și funcționează tot timpul. Implementarea unui sistem de alimentare de rezervă pentru cazuri de urgență și întreținerea riguroasă a componentelor hardware sunt două dintre metodele pentru a îndeplini această cerință.
 

Pentru a vă asigura că cele trei cerințe sunt îndeplinite, accesul către toate sistemele de date ar trebui să fie acordat numai bazat pe principiul nevoii de a cunoaște.

Cum să reacționați în cazul unor incidente de securitate

Din momentul în care are loc o încălcare a securității, încrederea acordată de către clienți este în joc și este necesară o reacție rapidă pentru a limita efectele adverse. Este important să vă informați clienții cu privire la cele întâmplate. De exemplu, în cazul în care parolele sunt afectate de acest incident, aveți responsabilitatea de a aduce acest lucru la cunoștința clienților pentru ca aceștia să le modifice, având în vedere că, adesea, parolele nu sunt utilizate numai pe site-ul dumneavoastră. 

Astfel cum s-a menționat anterior, de îndată ce cunoașteți aspectele cele mai importante, asigurați-vă că toți actorii relevanți sunt și ei conștienți de acestea. În acest scop, se recomandă să se numească un responsabil IT în cazul detectării unei probleme legate de securitate. Această persoană trebuie să fie imediat disponibilă în cazul unei situații de urgență și capabilă să gestioneze diversele componente tehnice implicate în recuperarea în urma unei încălcări de securitate. De asemenea, se recomandă crearea unei politici de notificare privind încălcarea securității datelor (care poate fi inclusă în notificarea privind confidențialitate a). Această politică ar trebui să indice cum și când veți notifica clienții (de exemplu prin poștă/e-mail) atunci când are loc o încălcare a securității sistemului de date personale. În viitor, probabil că această bună practică va deveni o obligație legală în toate țările UE (și va fi însoțită de obligația de a notifica autoritatea de protecție a datelor , odată ce ați luat la cunoștință de încălcarea securității datelor).

În plus, determinați cauza acestei încălcări. Asigurați-vă că acest lucru este realizat astfel încât să puteți utiliza probele eventual și în fața unei instanțe (de exemplu, dacă se poate stabili că această încălcare nu a avut loc datorită unor măsuri de securitate insuficiente). Dacă sunt afectate informații financiare, precum informații legate de cardul de credit, notificați furnizorul care vă gestionează tranzacțiile financiare, pentru ca acesta să aplice măsurile necesare.

Pe scurt, cel mai important este să existe un plan de acțiune care să ofere măsuri și proceduri specifice și concrete de luat în urma unui incident de securitate. Procedurile ar trebui să clarifice cine este principalul responsabil, cum să se contacteze personalul critic și ce date, rețele și servicii ar trebui să fie prioritare pentru recuperare sau cine trebuie notificat (titularii datelor, clienții sau companiile partenere) dacă datele acestora, sau date care le afectează rețelele, sunt expuse.

Rețineți că încălcările de securitate pot fi pur și simplu rezultate ale unor erori umane/erori ale personalului neintenționate. Asigurați-vă că vă instruiți angajații (dacă este cazul) pentru a identifica și a raporta astfel de încălcări, dar și pentru a fi precauți. Neglijența angajaților (de exemplu, în cazul în care este furat un laptop sau un telefon mobil) reprezintă cauza principală pentru incidentele legate de încălcarea securității datelor.

Selectați țara  dumneavoastră și vizitați site-ul național al Centrului de răspuns la incidente de securitate cibernetică (CERT), o echipă de experți în securitate, responsabili cu gestionarea incidentelor privind securitatea (cum ar fi raportarea și intervenția în caz de încălcări ale securității). Aceștia vă pot informa ce trebuie să faceți și cui trebuie să vă adresați în cazul oricărui tip de atac cibernetic. Tot ei sunt cei care publică alerte privind vulnerabilitățile și amenințările din țara dumneavoastră.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
România  Centrul Național de Răspuns la Incidente de Securitate Cibernetică: https://cert.ro/ 
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Surse de informații

Protejați informațiile de pe site-ul dvs.
•    Samara Hart (n/a) , Cum pot să mă asigur că site-ul meu este sigur, disponibil la http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/ 
•    Justin Stravarius (2010), 15 modalități excelente pentru a asigura siguranța site-ului dvs., disponibil la http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidențialitatea, Integritatea, Disponibilitatea: Cele trei componente ale triadei CID, disponibil la http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog
 

Răspuns la incidentele de securitate
•    Experian® Data Breach Resolution (ediția 2013-2014), Ghid de răspuns la încălcarea securității datelor
•    Carl Niedbala (2014), Cum poate o încălcare a securității datelor să vă distrugă start-upul, disponibil la http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Manual privind Legislația europeană în materie de protecție a datelor: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), Grupul de lucru UE pentru articolul 29 publică orientări privind încălcarea securității datelor, disponibil la http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington