Navigation path

Hur kan jag skydda min webbplats?

Hur kan jag skydda min webbplats?

Oavsett om du utvecklar din webbplats själv eller anlitar en tredje part bör du ägna stor uppmärksamhet både åt utveckling och underhåll av webbplatsen. Cybersäkerhetsincidenter kan få stor inverkan på ditt företag eller ditt varumärke (t.ex. ge ditt varumärke ett försämrat rykte), eftersom de kan störa dina tjänster, leda till att dina kunder tappar förtroendet för ditt företag och i vissa fall även resultera i rättsliga sanktioner och stämningar. Sådana incidenter kan vara stöld av kunduppgifter, ändrad information på din plattform, nedstängning av din webbplats, läckage av konfidentiell information om organisationen och så vidare.

Det är också mycket viktigt att göra en genomgång i förväg, innan säkerhetsproblem uppstår. Vilken information är kritisk för din organisation? Var finns denna? Hur snabbt kan den återskapas om den slås ut genom en attack? Du bör göra en fullständig genomgång av dina system, notera de viktigaste beståndsdelarna och dokumentera allt. Se till att du inte är den enda personen med tillgång till denna information.

Skydda informationen på din webbplats

Innan du ingår avtal med webbhotell bör du fundera på tre centrala aspekter på informationssäkerhet, närmare bestämt vilken nivå av konfidentialitet, dataintegritet och tillgänglighet som krävs för din webbplats och dina tjänster. Därefter kan du fastställa vilken servicenivå som behövs.

För att ditt system ska vara säkert måste du se till att vissa viktiga villkor uppfylls och att följande aspekter är skyddade:

Konfidentialitet, dvs. att uppgifter (t.ex. kreditkortsnummer, personuppgifter) inte lämnas ut till obehöriga. Det kan till exempel åstadkommas med hjälp av en autentiseringsmekanism (t.ex. tvåfaktorsautentisering). En annan möjlighet är att använda krypterade anslutningar (HTTPS eller säkerhetsprotokollet SSL) för att se till att endast rätt personer har tillgång till/kan läsa informationen.
Dataintegritet, dvs. att information inte ändras av obehöriga parter, så att du kan lita på att alla upplysningar är korrekta och tillförlitliga. Dagliga kontroller av ändrade filer, säkerhetstester av din webbplats och dina tjänster (för att undvika enkla attacker såsom SQL-injektioner) och ett system som hindrar dataintrång är olika sätt att öka integriteten. Tillgänglighet, dvs. att din webbplats ska vara igång hela tiden. För detta är det viktigt att ha tillgång till ett reservströmsystem som slås på vid strömavbrott och att alla hårdvara ses över regelbundet så att den är i gott skick.

Tillgång till datasystem bör endast beviljas enligt principen om behovsenlig behörighet, för att du ska kunna lita på att de tre aspekterna ovan respekteras.

Åtgärder vid säkerhetsincidenter

När ett intrång inträffar står kundernas förtroende för dig på spel och det är viktigt att du reagerar snabbt för att begränsa eventuella negativa effekter. Det är viktigt att du informerar dina kunder om det inträffade. Om till exempel lösenord påverkas bör du meddela dina kunder detta så att de kan ändra sina lösenord. Det är särskilt viktigt med tanke på att många använder samma lösenord för flera webbplatser.

Såsom redan nämnts måste du, så snart du beslutat vilken åtgärd som ska vidtas först, se till att alla berörda parter informeras om detta. Därför bör det finnas en person som är it-ansvarig i händelse av säkerhetsproblem. Denna person måste kunna nås i nödfall och ha tillgång till de många interna tekniska komponenter som berörs av ett dataintrång. Det är också lämpligt att inrätta en meddelandepolicy för dataintrång (som förslagsvis kan ingå i ditt sekretessmeddelande ). Här bör det ingå information om hur och när du meddelar dina kunder (t.ex. via post eller e-post) om en tredje part har fått tillgång till deras personuppgifter. I nuläget är detta bara god praxis, men det kommer troligtvis att göras till en rättslig skyldighet i samtliga EU-länder i framtiden (och åtföljas av en skyldighet att anmäla dataintrång till dataskyddsmyndigheten ).

Du måste också fastställa orsaken till intrånget. Det bör göras på ett sådant sätt att bevisen vid behov kan användas i domstol (t.ex. om det kan fastställas att intrånget inte berodde på avsaknad av säkerhetsåtgärder). Om finansiell information, exempelvis kreditkortsupplysningar, påverkas ska du informera den aktör som hanterar dina finansiella transaktioner, så att denna kan vidta nödvändiga åtgärder.

Sammanfattningsvis kan det konstateras att det är oerhört viktigt att det finns en handlingsplan som omfattar konkreta och specifika åtgärder och förfaranden som ska vidtas när en säkerhetsincident inträffar. Det bör också fastställas vem som är huvudansvarig, hur viktig personal kan kontaktas och vilka data, närverk och tjänster som ska prioriteras vid återställandearbetet och vem som måste informeras (datainnehavare, kunder eller partnerföretag) om deras data, eller data som påverkar deras nätverk, exponeras.
Observera att säkerhetsintrång helt enkelt kan vara resultatet av oavsiktliga mänskliga/personalrelaterade fel. Om du har anställda ska du se till att du utbildar dem i hur de kan identifiera och rapportera intrång och om vilka försiktighetsåtgärder de måste vidta. Att en anställd agerar på ett vårdslöst sätt (t.ex. att en bärbar dator eller mobiltelefon blir stulen) är en av de vanligaste orsakerna till dataintrång.

Välj ditt land  och besök den nationella webbplatsen för Computer Emergency Response Team (CERT), ett team av säkerhetsexperter som ansvarar för hanteringen av säkerhetsincidenter (t.ex. rapportering och åtgärdande av säkerhetsrisker). De kan ge dig information om vad du ska göra och vem du ska vända dig till för att få hjälp om du utsätts för en cyberattack. De publicerar också varningar om sårbarheter och hot i ditt land.
 

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sverige Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Information

Skydda informationen på din webbplats
•    Samara Hart (n/a), How can I be sure my website is secure, tillgänglig på http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/ 
•    Justin Stravarius (2010), 15 great ways to secure your website, tillgänglig på http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, tillgänglig på http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Åtgärder vid säkerhetsincidenter

•    Experian® Data Breach Resolution (version från 2013–2014), Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, tillgänglig på http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Handbook on European Data Protection Law: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, tillgänglig på http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington