Vinkit verkkosivuston turvallisuuden parantamiseen
Olemme viimeisen vuoden aikana havainnoinneet, torjuneet ja korjanneet ennätysmäärän verkkosivuihin kohdistuneita hyökkäyksiä.
Arviomme mukaan tulemme ikävä kyllä näkemään yhä kasvavissa määrin luvattomia tietojärjestelmiin tunkeutumisia ja laajoja tietoturvaloukkauksia. Teidänkin yrityksen verkkosivustoa todennäköisesti kokeillaan juuri nyt. Vähintäänkin joku ikävä botti skannaa löytyisikö sieltä tunnettuja haavoittuvuuksia tai kokeilee erilaisia salasanoja sivuston ylläpitoon kirjautumiseksi.
Tietoturva on aiheena erittäin laaja ja tässä artikkelissa keskitymmekin yrityksen verkkosivuston tietoturvaan yleisellä tasolla. Annamme vinkkejä miten tarkistaa yrityksesi verkkosivuston tilanne, kuinka parantaa sen tietoturvaa ja miten varautua ja asennoitua mahdolliseen tietoturvaloukkaukseen ja kuinka toimia sellaisen osuessa omalle kohdalle.
Tekoäly hyvässä ja pahassa
Tekoäly on osoittautunut lisäarvoa tuottavaksi teknologiaksi koko maailmantaloudessa. Se auttaa myös erilaisia tietoturva- ja kybertiimejä havainnoimaan ja korjaamaan tietoturva-aukkoja. Samalla tekoälyn hyödyistä nauttivat ikävä kyllä myös kyberrikolliset. OpenAI ja Microsoft ovat jo tunnistaneet useita tekoälyä hyödyntäviä hakkeriryhmiä, joiden käyttämät ChatGPT-tilit on nyt jäädytetty.
Teidänkin yrityksen verkkosivustoa todennäköisesti kokeillaan juuri nyt.
Kun sivusto on netissä, se on aina alttiina hakkeroinnille
Mikään sivusto tai verkkopalvelu, joka on kytketty nettiin ei ole 100% turvassa. Iso osa hakkeroinneista on nopeita ja automatisoituja, eikä niihin sisälly ihmiskontaktia. Tällaisissa tapauksissa hyökkäysbotit vaeltavat internetissä löytääkseen suojaamattomia tai haavoittuvuuksia sisältäviä sivustoja, joihin ne tunkeutuvat esimerkiksi lisätäkseen sivustolle haittaohjelmia tietojenkalastelun tai vaarallisille verkkosivuille johtavien linkkien jakamiseksi. Sivustolle saatetaan murtautua myös pelkästään siksi, että palvelimelta saataisiin lähetettyä roskapostia tai jakaa muuta haittaohjelmaa taas jälleen eteenpäin.
Kukaan tuskin haluaa hyökätä juuri sinun sivustollesi
Jos huomaat, että sivustollasi on epämääräistä sisältöä, se linkittää jollekin aikuisviihdesivustolle tai jos vaikkapa palveluntarjoajasi on sulkenut sivustosi hakkeroinnin johdosta, sinun tuskin tarvitsee heti huolestua siitä, että joku hyökkää juuri sinun yritystäsi vastaan. Yleensä hyökkääjällä on mielessään joku muu, laajempi agenda, kuten vaikkapa mainosviestien spammaus tai jonkun poliittisen mielipiteen toitottaminen. Sinun sivustollesi hän on todennäköisesti päätynyt jonkin tunnetun ohjelman tai sen lisäosan yleisesti tunnetusta tietoturva-aukosta. Näitä aukkoja skannataan robottien avulla ja jos skanneri osuun sinun sivustollesi ja tällainen aukko siellä on, kilahtaa hakkerin koneelle mätsi. Aukon kautta hakkeri sitten ujuttaa muuta haittakoodia sivustollesi, ottaakseen sen laajemmin käyttöönsä.
Se on kuitenkin monessa mielessä yllättävä ja epämiellyttävä kokemus sekä aiheuttaa väistämättä toimenpiteitä.
Vakavampien tietomurtojen kohteena ovat yleensä isommat verkkopalvelut
Tämä siksi, että niissä yleensä säilytetään enemmän dataa. Se voi olla käyttäjätunnuksia, salasanaoja, asiakastietoja, luottokorttitietoja tai muuta sensitiivistä dataa, jolla hyökkääjä voisi hyötyä taloudellisesti. Esimerkkinä kuten nyt vaikkapa tässä hyvin ikävässä kotimaisessa esimerkissä, jota nyt oikeudessa puidaan. Yleensä puhutaan jo jollain tapaa järjestäytyneestä rikollisuudesta.
Yleensä hyökkääjällä on mielessään joku muu, laajempi agenda, kuten vaikkapa mainosviestien spammaus tai jonkun poliittisen mielipiteen toitottaminen.
Varautuminen
Mieti mitä tietoa haluat sivustollasi säilyttää
Käytännössä jokaisella sivustolla, jolla on yhteydenottolomake säilytetään jo jonkinlaista GDPR:n alaista dataa. Vaikka yhteydenottolomakkeella tuleva tieto lähetetään sähköpostiisi, jää se myös verkkosivustolle talteen. Luonnollisesti verkkokaupoissa, toiminnanohjausjärjestelmissä ym. tiedon tarve ja määrä onkin jo ihan erilainen.
Aina kannattaa varsinkin verkkosivujen osalta miettiä mikä tieto on meille relevanttia ja kuinka kauan sitä on tarvetta sivustolla säilyttää?
Kun sivusto joutuu hakkeroinnin kohteeksi on hyvin eri tilanne onko sivustolla säilytetty yhteydenottoja viikon vai koko sivuston eliniän. Jälkimmäisessä tapauksessa hakkerille päätyy usein moninkertainen määrä dataa.
Mikäli tietomurto tapahtuu, on sinun rekisterinpitäjän ominaisuudessa tehtävä arvio, kuinka vakavasta tapahtumasta on ollut kysymys. Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Lisäksi ilmoitusvelvollisuus joissain tapauksissa koskee rekisteröidylle itselleen, eli useissa tapauksissa yrityksen asiakkaalle.Ikävä kyllä vielä kovin moni käyttää samoja salasanoja monissa palveluissa ja yrityksenne verkkopalvelusta vuotanut tunnus ja salasana yhdistelmä voi päästää kiusantekijän asiakkaasi Facebook tiliin ja niin edelleen.
Tietomurto tapahtuu joku päivä
Kun muutat ajatusmallia siitä, että meidän verkkopalvelua ei koskaan hakkeroida siihen, että joku päivä se tapahtuu, olet jo askeleen edellä. Valmistautumalla nyt mahdollisesti tapahtuvaan tietoturvamurtoon, sen käsittelyyn, tilanteen korjaamiseen ja siitä palautumiseen, olet paljon paremmissa lähtökohdissa. Jos tietomurron tapahtuessa pitää kysyä, että mitäs nyt?, aiheuttaa se yleensä kovaa stressiä ja kaaosta vain siksi, ettei tiedetä kuinka tulee toimia ja miten tilanteesta voidaan tehokkaimmin palautua.
Kun yritykselläsi on olemassa sisäinen toimintamalli sekä suunnitelma verkkosivujen ylläpitäjän tai kehittäjän kanssa, on tilanteeseen reagointi nopeaa ja tehokasta.
Varautunut yritys palautuu tilanteesta aina nopeammin ja säästää kustannuksia. Varautuminen tuo myös mielenrauhaa.
Valitse sopivat työkalut
Tekoälyn hyödyntämiseksi hakukoneoptimoinnissa on tärkeää valita oikeat työkalut ja ymmärtää niiden tarjoamat mahdollisuudet. Jatkuvasti kehittyvä teknologia tarjoaa uusia tapoja parantaa verkkosivustosi näkyvyyttä hakukoneissa ja tarjota arvokasta sisältöä kohdeyleisöllesi. Tekoälyn integroiminen verkkosivujen sisällöntuotantoon vaatii huolellista suunnittelua ja jatkuvaa seurantaa jotta varmistetaan, että se täydentää ihmistyötä tehokkaasti samalla kun säilytetään korkea taso.
Onko yrityksesi silloin toimintakykyinen?
Tietomurto tai hakkerointi voi lamauttaa verkkopalvelun käytön osittain tai kokonaan. Hakkeri voi esimerkiksi ohjata kaikki kävijät jollekin toiselle sivustolle tai vaikkapa poistaa sen tiedostot ja tietokannan. Hakkeri voi myös kohdistaa toimenpiteitä verkkopalvelusi kävijöihin, siis sinun asiakkaisiin. Jos kyseessä on vaikkapa miljoonan myyntiä tekevä verkkokauppa tai kriittinen tilausjärjestelmä, alkaa jokainen tunti ja päivä kun järjestelmä on pois käytöstä kustantaa merkittäviä summia. Todennäköisesti myös mahdolliset markkinointitoimet ovat menneet harakoille jo hetken aikaa. Yrityksen maine voi kärsiä merkittävästi, jos sen verkkosivusto joutuu hakkeroinnin kohteeksi tai altistuu muille tietoturvariskeille, etenkin jos tilanne pitkittyy.
Kannattaakin kysyä itseltään, että jos verkkosivusto tai tilausjärjestelmä on yhtäkkiä pois toiminnasta, pystymmekö toimimaan ja jakamaan bisnestä? Entäpä kuinka kauan?
Entäpä jos yrityksesi sähköposteihin ei pääse tai ne kaikki poistetaan?
Valmistaudu siis tilanteeseen ja panosta ennakolta siitä toipumiseen.
Vahvista sivustosi tietoturvaa helposti
Palvelimen ohjelmistot ajantasalle
Verkkopalvelun tietoturva lähtee palvelintasolta ja palvelinta käytetään erilaisilla palvelinohjelmistoilla. Parhainkaan palomuuri ei auta, jos palvelintason ohjelmistossa on haavoittuvuuksia. Varmista, että ylläpitokumppanisi tarjoaa sinulle palvelimen, jossa näitä asioita ylläpidetään aktiivisesti.
Sivuston ja sen lisäosien päivittäminen
Yleisin ja tässäkin artikkelissa mainittu tapa ulkopuolisen päästä verkkosivustoon käsiksi, on verkkosivuston ohjelmistossa oleva haavoittuvuus, eli tietoturva-aukko. Näitä hakkerin on helppo skannailla automaattisesti boteilla ympäri verkkoa, näkemättä itse isoa vaivaa.
Verkkosivuston ohjelmiston, esimerkiksi WordPressin ja sen lisäosien päivittäminen itsekin on helppoa. Yleensä se kuitenkin unohtuu, etenkin jos sivuston ylläpidossa ei ole tarpeen päivittäin tai viikoittain vierailla. Ulkoista sivustosi päivitykset ja pyydä raportti tehdyistä toimista kuukausittain. Yksinkertainen mutta tehokas tapa välttää perushakkeroinnit.
Salasanojen hallinta ja vahvistaminen
Toinen yleisimmistä tavoista on ns. Brute Force -hyökkäys. Tässä sivuston ylläpitoon kokeillaan systemaattisesti botin avulla erilaisia, yleisimpiä kirjautumisyhdistelmiä.
Erityisen tärkeää on käyttää riittävän vaikeita eri salasanoja eri palveluissa, jotka jotka sisältävät erikoismerkkejä, numeroita ja kirjaimia. Jos käytät samoja salasanoja useissa palveluissa, tietomurto jossain toisaalla voi johtaa murtoon sinun verkkopalvelussasi. Salasanojen hallintaan kannattaakin ottaa käyttöön salasanojen hallintatyökalu, jonka avulla voit helposti käyttää todella monimutkaisia, eri salasanoja kaikissa palveluissa. Oman verkkosivuston salasanat on syytä pakottaa riittävän vahvoiksi, etenkin kaikille ylläpitäjille.
Lisäksi sivustolle kannattaa asentaa Brute Forcea hyökkäyksiä estävä sovellus ja ylläpitäjien osalta käyttää kaksivaiheista tunnistautumista.
Nykypäivänä yritysten on välttämätöntä suojata sivustojaan erilaisilta uhkilta ja hyökkäyksiltä.
Yhtään Mekanismin ylläpidossa olevaa verkkosivustoa ei ole 18 vuoden aikana hakkeroitu mutta sekin päivä tulee vielä ja olemme varautuneet siihen.
Tietoturvan vahvistaminen teknisesti
Verkkosivuston tietoturvaa voidaan vahvistaa monin eri yksittäisin toimin. Esimerkiksi WordPressissä poistetaan kokonaan perinteinen admin -käyttäjä, estetään pääsy tiettyihin tiedostoihin, joihin oletuksena on pääsy tai poistetaan koodieditori käytöstä. Monessa tapauksessa kommentointi ominaisuuttakaan ei tarvita, joten sekin kannattaa poistaa käytöstä.
Yksittäisiä sivuston vahvistamistoimenpiteitä toimia on useita. Näiden lisäksi kannattaa ottaa käyttöön antivirus- ja palomuuriohjelmisto. Niiden käyttöönottoon usein kannattaa hankkia konsultaatiota, koska ne ovat hyvin tehokkaita ohjelmistoja ja väärin käytettynä voivat estää muidenkin kuin ei-toivottujen kävijöiden pääsyä verkkopalveluusi. Parhammillaan se kuitenkin blokkaa hämärän liikenteen sivuillasi ja pitää hakkerit loitolla. Miksi käyttää aikaa turvalukon murtamiseen, jos naapurissa on ovi raollaan?
Yhteenveto ja tärpit
- Valmistaudu tietoturvaloukkaukseen ja tee palautusmissuunnitelma – huomioi GDPR
- Tietoturva on tärkeä osa verkkosivuston ylläpitoa – selvitä ylläpitokumppaniltasi tilanne
- Verkkosivuston päivityksillä iso merkitys tietoturvan kannalta
- Salasanojen hallinta ja vahvistaminen on erityisen tärkeää
- Vahvista tietoturvaa teknisillä toimilla ja palomuuriohjelmistolla