Käpy A.I. Oy

Internet-sivujen turvallisuus

5
(1)

Verkkosivujen tietoturva

Lähes jokaisella yrityksellä on verkkosivut ja näiden ylläpitäminen on usein ulkoistettu mainostoimistolle, IT-talolle tai niitä hoitaa joku muu oman työnsä ohessa. Ulkoistaminen on nykypäivää, mutta muistakaa että verkon turvallisuutta parannetaan kokoajan ja käyttöön tulee uusia asetuksia joilla paikataan tietoturva-aukkoja. Monesti verkkosivustojen valmistumisen jälkeen sivuja vain käytetään eikä niiden tietoturvaa tarkistella enää sen jälkeen. Rikolliset eivät lopeta aukkojen etsimistä ja niitä kuten on huomattu löytyy kokoajan lisää.

Olen nyt tässä heinäkuun alussa kartoittanut verkkosivujen turvallisuutta omasta mielenkiinnostani ja huomannut että todella isossa osassa sivustoja on mahdollista ajaa sivuston ulkopuolisesta eli ”tuntemattomasta lähteestä” koodia. Kun sivustolla saa ajaa mitä koodia tahansa, mistä tahansa lähteestä, sivusto voidaan valjastaa haavoittuvuuden kautta rikollisten käyttöön. Tutkimieni sivustojen osalta huomasin, että suurimmassa osassa ensimmäisenä ladattava header osio sisälsi liian vähän suojausmääritteitä tai niitä ei ollut ollenkaan. Rikollisen käytettyä hyväkseen esimerkiksi päivittämätöntä lisäosaa, hän voi suojausmääritysten puutteen johdosta asentaa haitallista koodia. Esimerkiksi sivustolta palvelua ostava asiakas tietämättään lataa koneelleen tämän haitallisen koodin ja kärsii siitä että yritys ei ole huolehtinut tietoturvasta sivun osalta. Mainehaitta ja rahan menetys on melkoinen kun selviää että haittaohjelma tuli juuri sinun sivujesi kautta ja ostokset voi jäädä tekemättä kun virustutka ilmoittaa että haittaohjelma havaittu.

Välivinkki: Nettisivun ylläpidon kannattaa asentaa automaattiset päivitykset päälle sivustolle ja tutustua Headers osion Permissions-Policy-, Strict-Transport-Security-, X-Content-Type-Options-, X-Frame-Options-, Referrer-Policy-, Content-Security-Policy-asetuksiin. Tämä on sitten välivinkki-linkki: Configure HTTP security headers | Deep Security (trendmicro.com)

Todennäköisyys että juuri teidän yrityksen verkkosivusto joutuu hyökkäyksen kohteeksi ei ole valtavan suuri, sillä internetistä on löydettävissä n. 1,93 miljardia verkkosivustoa. Kuitenkin hyökkäykset toteutetaan automatisoidusti tietokoneilla, jolloin hyökkäysten määrä on yhdessä vuorokaudessa valtava, Nortonin arvioiden mukaan joka 39 sekunti toteutetaan onnistunut hyökkäys. Montako epäonnistunutta hyökkäystä tapahtuu sekunnissa sitä tarina ei kerro. Rikollisten valjastamat tietokoneet käyvät kaikkien sivujen kimppuun etsien sieltä ne verkkosivut mitkä ovat helpoiten murrettavissa. Tämä on se tärkeä asia ymmärtää.

Ajatuksen sisäistämiseen käytän yleensä tarinaa kahdesta miehestä, jotka ovat metsässä kävelyllä ja vastaan tulee vihainen karhu. Toinen mies kysyy että mitä tehdään, leikitäänkö kuollutta… toinen mies lähtee pinkomaan karkuun. Johon ensimmäinen mies huutaa että ”ei kannata karkuun juosta kun karhu saa sinut kiinni!” Mies vastaa juostessaan että ”Ei minun tarvitse juosta nopeammin kuin tuo karhu, riittää että juoksen nopeammin kuin sinä!”

Eli pointtina tässä on se, että varmista sivustosi turvallisuus niin hyväksi kuin voit. Rikolliset eivät viitsi nähdä vaivaa murtautua, koska verkko on pullollaan helpompiakin kohteita. Toki kun saavutettava palkinto on rikolliselle riittävän suuri niin he kyllä keksivät keinon päästä järjestelmiin sisään. Murtaumiset FBI:n, Suomen valtion sivustoille, lääkärikeskuksien järjestelmiin ovat hyvä esimerkki riittävästä ”palkkiosta”.

Suosittelen tutustumaan esimerkiksi https://securityheaders.com/ sivustoon, mistä saat tarkistettua oman tai kilpailijasi nettisivuston turvallisuusasetuksia

Keskiarvo 5 / 5. Ääniä annettu: 1

Ei vielä annettuja ääniä, ole ensimmäinen! Anna tähtiarvostelu artikkelille!

We are sorry that this post was not useful for you! Harmi ettei sisällöstä ollut sinulle hyötyä...

Auta meitä parantamaan tasoa

Miten artikkelia voisi parantaa mielestäsi?

Ota yhteyttä