Navigation path

Kako varno je moje spletno mesto?

Kako varno je moje spletno mesto?

Ne glede na to, ali sami razvijate svoje spletno mesto ali uporabljate storitve drugih oseb, morate biti pozorni tako na razvoj kot na vzdrževanje svojega spletnega mesta. Ukrepanje ob incidentih s področja kibernetske varnosti lahko močno vpliva na vaše poslovanje ali znamko (npr. slabši ugled znamke), saj lahko tovrstni dogodki ovirajo vaše storitve, povzročijo izgubo zaupanja pri vaših strankah, morda celo regulativne sankcije in tožbe. Tovrstni incidenti so lahko kraja podatkov vaših strank, prirejanje informacij na vaši platformi, izpad spletnega mesta, uhajanje zaupnih informacij o organizaciji itd.

Zelo pomembno je tudi, da vnaprej, še pred kakršno koli kršitvijo varnosti, pripravite seznam. Katere informacije so ključnega pomena za vašo organizacijo z vidika izvajanja nalog? Kje se nahajajo? Kako hitro jih je mogoče obnoviti, če so bile tarča napada? Opraviti morate popoln pregled svojih sistemov, se seznaniti z najpomembnejšimi komponentami in slediti vsemu. Poskrbite, da niste edini, ki ve za ta dokument.

Zaščitite podatke na svojem spletnem mestu

Pred pogovori s ponudniki gostovanja morate razmisliti o treh ključnih vidikih informacijske varnosti, tj. o zahtevah po zaupnosti, celovitosti in razpoložljivosti vašega spletnega mesta in storitev, ter določiti potrebne zahteve o ravni storitev.

Da bi bila zasnova vašega sistema varna, morate zahtevati določena stroga jamstva, zagotovljene pa morajo biti tudi naslednje zaščite:

•    zaupnost, tj. zaščita podatkov (npr. številk kreditnih kartic, osebnih podatkov) pred razkritjem nepooblaščenim osebam: to lahko na primer storite tako, da vzpostavite ustrezen sistem preverjanja pristnosti (kot je dvojno preverjanje pristnosti). Druga možnost je uporaba šifriranih povezav (HTTPS; varnostni protokol SSL), ki zagotavljajo, da imajo dostop po podatkov/lahko berejo podatke samo ustrezne osebe;
•    celovitost, tj. zaščita podatkov pred spreminjanjem s strani nepooblaščenih oseb, da se zagotovi točnost in zanesljivost informacij: k temu lahko prispeva izvajanje dnevnih preverjanj, ali so bile datoteke spremenjene, načrtovanje varnostnih preizkusov spletišča in storitev (da se preprečijo vsakršni preprosti napadi, kot so vrivanja kode SQL) ali vzpostavitev sistema za preprečevanje vdorov; 
•    razpoložljivost, tj. zagotavljanje, da spletno mesto nemoteno deluje brez prekinitev: uvajanje rezervnega napajalnega sistema za nujne primere in strogo vzdrževanje strojne opreme sta dva izmed ključnih ukrepov. 

Dostop do vseh podatkovnih sistemov mora biti dodeljen izključno tistim, ki ga potrebujejo za izvajanje dela, da se zadosti trem zgoraj opisanim zahtevam.

Odzivanje na varnostne dogodke

Od trenutka kršitve je zaupanje, ki vam ga stranke izkazujejo, na tehtnici, in za omejitev neugodnih učinkov je hiter odziv nujen. Pomembno je, da stranke o dogodku obvestite. Če so na primer ogrožena gesla, morate svoje stranke o tem obvestiti, da lahko zamenjajo svoja gesla, saj jih pogosto uporabljajo tudi drugje, ne le na vašem spletnem mestu.

Ko torej ugotovite, kaj je najpomembnejše, poskrbite, da bodo o tem seznanjeni tudi vsi zadevni akterji. Zato je priporočljivo, da se ena oseba določi kot lastnika informacijskih sistemov v primeru varnostnih težav. Ta oseba mora biti vedno na voljo v nujnih primerih in ustrezno opremljena za upravljanje številnih notranjih tehničnih komponent, ki so potrebne za okrevanje po kršitvi.Priporočljivo je tudi, da pripravite pravilnik o obveščanju o kršitvah varnosti podatkov (lahko je tudi del vaše izjave o zasebnosti ). Pravilnik mora navajati, kako in kdaj boste obvestili svoje stranke (npr. prek pošte/elektronskih obvestil) v primeru kršitve varnosti osebnih podatkov. Možno je, da bo ta dobra praksa v prihodnje postala zakonsko zahtevana v vseh državah EU (skupaj z obveznostjo, da se ob ugotovitvi kršitve varnosti osebnih podatkov obvesti tudi organ za varstvo podatkov) .

Poleg tega morate ugotoviti vzrok kršitve. Zagotovite, da poteka ugotavljanje na način, ki omogoča morebitno uporabo dokazov na sodišču (če je na primer mogoče ugotoviti, da do kršitve ni prišlo zaradi nezadostnih varnostnih ukrepov). Če so ogroženi finančni podatki, kot so podatki o kreditnih karticah, morate o tem obvestiti izvajalca finančnih transakcij, da slednji lahko izvede ustrezne ukrepe.
Zares ključno je torej razviti izvedljiv načrt, ki vsebuje specifične in konkretne ukrepe in postopke za obravnavo varnostnega incidenta. V postopkih mora biti določeno, kdo nosi glavno odgovornost, kako vzpostaviti stik s ključnim osebjem in kateri podatki, omrežja in storitve bi morali imeti prednost pri obnavljanju ali koga je treba obvestiti (lastnike podatkov, stranke ali partnerska podjetja), če so njihovi podatki ali podatki, ki vplivajo na njihova omrežja, izpostavljeni.

Varnostne kršitve so lahko preprosto posledica nehotene človeške napake/napake osebja. Svoje zaposlene morate ustrezno usposobiti za prepoznavanje in poročanje o kršitvah, prav tako za previdnost. Malomarnost zaposlenih (npr. zaradi ukradenega prenosnega računalnika ali mobilnega telefona) je pogost vzrok dogodkov, povezanih s kršitvami varnosti podatkov.

Izberite svojo državo  in obiščite nacionalno spletišče Centra za posredovanje pri omrežnih incidentih (CERT), v katerem deluje skupina strokovnjakov za varnost, ki je odgovorna za obravnavo varnostnih incidentov (npr. za poročanje in odzivanje na varnostne grožnje). Pri njih dobite informacije o tem, kaj storiti in kam se obrniti po pomoč v primeru kibernetskega napada. Objavljajo tudi opozorila o ranljivostih in grožnjah v vaši državi.
 

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Viri informacij

Zaščitite informacije na svoji spletni strani
•    Samara Hart (n/a) , How can I be sure my website is secure, na voljo na http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), 15 great ways to secure your website, na voljo na http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, na voljo na http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog


Ukrepanje ob varnostnih incidentih
•    Experian® Data Breach Resolution (izdaja 2013-2014), Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, na voljo na http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Priročnik o evropski zakonodaji glede varovanja podatkov: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, na voljo na http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/ Convington