Verkkosivujen tietoturva

Oletko ojentanut murtovarkaalle avaimesi -tietämättäsi?

posted in: Tietoturva 0

Monella yrityksellä on tätä nykyä omat kotisivut ja se on todella hyvä asia näkyvyyden kannalta. Yritykset tarvitsevat näkyvyyttä ja esillä oloa oman liiketoiminnan eteenpäin viemisen vuoksi ja kotisivut ovat siihen loistava työkalu. Kotisivujen myötä sinulle tulee myös vastuu ja velvollisuus pitää sivujen toiminta kunnossa. Tähän kuuluu myös turvallisuus.

 

Kotisivut ovat sellainen työkalu jota pitää huoltaa ja hoitaa jotta se pysyy toimintavarmana. Ne eivät ole huoltovapaat ellet ulkoista sitä työtä ammattilaiselle. Esimerkiksi näkymisen kannalta sivuille pitää päivittää säännöllisesti uutta tietoa jotta pysyt hakukoneen silmissä toiminnassa olevana yrittäjänä eikä hakutuloksesi tipu. Kotisivujen tekniikan pitää olla kunnossa jotta ei toivotut henkilöt pysyisivät poissa. Siksi on tärkeää että kotisivujen tietoturvapäivitykset ovat ajan tasalla. Moni yrittäjä varmasti ajattelee että no eihän se minua pienyrittäjää koske. Kuka minun kotisivuilleni muka yrittäisi murtautua? Sepä se onkin kun verkossa ketään ei eritellä ellei kyseessä ole kohdennettu hyökkäys ( jotakin tiettyä yritystä tai organisaatiota kohtaan). Automatisoitujen verkkohyökkäysten tarkoitus on väsyttää vastapuoli löytämällä tietoturvaheikkouksia. Hyökkääjä käskyttää botit etsimään internetistä satunnaisia verkkosivuja joista löytyisi haavoittuvuuksia.

 

Älä missaa tietoturvaa kotisivuillasi

 


Pyri ennemmin säännöllisyyteen kuin epäsäännöllisyyteen. ”

 

Tietoturvapäivitykset pitää hoitaa säännöllisesti silloin kun ne ilmestyvät. Hyvin usein päivitystarve korjaa haavoittuvuudet jotka ovat tulleet esille viimeisimmistä versioista . Jos näihin päivityksiin ei reagoi, on vaarana että tällaisen haavoittuvuuden kautta joku pääsee ottamaan haltuunsa sinun kotisivusi. Sitä sinä et varmasti halua. Entä jos viime päivityksistä on kulunut aikaa ja päivityslista on piiitkä kuin nälkävuosi? Noh, siinä voi käydä niin että kun yrität saada ns. vanhoja päivityksiä lävitse, se ei onnistukaan aivan näppärästi vaan nämä päivitykset sekaisin uusien kanssa saattavat sekoittaa sivusi. Tämänkin vuoksi on järkevämpää huolehtia ajantasaiset päivitykset jolloin sivut pysyvät toimintavarmoina.

 

Jättäisitkö oven lukitsematta autosta tai talosta? En minäkään. ”

 

 

Konkretian kautta havainnollistettuna se on vähän kuin jättäisit oven lukitsematta autosta tai talosta. Kuka tahansa voi mennä sisään ja ottaa haltuun omaisuutesi. Niin et varmasti halua. En minä myöskään. Jos tämä asia jäi vähänkään epäilyttämään sinua niin asia kannattaa selvittää mahdollisimman nopeasti.  Muutamalle asiakkaalleni on nimittäin käynyt niin, että he eivät olleet hoitaneet kotisivujen päivityksiä ajallaan ja tällaisen haavoittuvuuden kautta sivuille oli päässyt haittaohjelma.

 

Erilaisia tapoja tietoturvahyökkäyksistä on monia. Vahinkoa syntyy sen mukaan mitä arkaluonteisimpia tietoja sivullasi käsitellään.

*Verkkokauppiaiden sivuilla käsitellään hyvin arkaluontoisia ihmisten yksilöllisyyteen viittaavia tietoja aina osoitteista pankkitietoihin. Onkin ehdottoman tärkeää mm. pitää huolta niin kaupan kuin verkkosivun tietoturvasta.

*Jos keräät sähköpostiosoitteita omilla sivuillasi, ovat nekin tiedot arkaluontoisia. Ota tämä asia huomioon sähköpostia kerätessä.

*Sivusto jonka tarkoitus on tiedottaa asiakkaita omista palveluista ja tuotteista, normaali näkyminen verkossa siis, ei ole sekään turvassa verkkohyökkäyksiltä.

 

Tässä on muutamia yleisimpiä hyökkäyksiä joiden kohdalle kuka tahansa sivujen omistaja voi joutua.

1. Sivujen toimintaa verkossa voidaan rajoittaa palvelunestohyökkäyksellä.

Tämä tarkoittaa sitä että sivustoa kuormitetaan niin että liikenteen vastauskapasiteetti loppuu ja sivut joko hidastuvat tai kaatuvat kokonaan. Varsinaista haittaa tämän tyyppisestä hyökkäyksestä ei ole muille kuin sinulle, eli muut sivuilla kävijät eivät ole vaarassa. He vain eivät pääse asioimaan kyseisellä sivustolla normaaliin tapaan. Hyvä esimerkki tästä oli vuosia sitten palvelunestohyökkäys kelan kanta.fi ja omakanta palvelua kohtaan. Sivustot eivät toimineet eivätkä ihmiset päässeet katsomaan omia tietojaan.

2. Väsytyshyökkäys eli Brute Force

Tämän hyökkäyksen tarkoitus on valjastaa bottiarmeijan systemaattisesti testaamaan kotisivujen käyttäjätunnuksia ja salasanoja etsien haavoittuvuuksia sitä kautta. Haavoittuvuus koskee liian helppoa ja ennalta arvattavaa käyttäjätunnusta, kuten admin, superadmin, yrityksen nimi, sivuston nimi jne. Jos salasanakin on yhtä helppo, on tilille helppo murtautua.

 

Testaa tästä oman salasanasi murtovarmuus MUTTA ennen testausta, muuta salasanaa vähän, älä laita sitä aivan samanlaisena. Esimerkiksi jos salasanasi on kukkaniitty2000 niin muuta vaikka numeroita siinä.

https://yle.fi/aihe/artikkeli/2017/02/01/digitreenit-17-salasanakone-testaa-kuinka-nopeasti-salasana-murretaan

 

Jos olet epävarma siitä ovatko päivityksesi ajantasalla, niin se selviää helposti joko kysymällä verkkosivujesi suunnittelijalta tai ulkopuoliselta konsultilta kuten minä. Voin käydä katsomassa tämän hetken tietoturvan tilasi ja tarpeen mukaan päivitän sivuillesi uusimmat wordpress-, teema- ja lisäosat sekä samalla voin tehdä sivuillesi tietoturvakatselmuksen. Tämän katselmuksen tarkoitus on parantaa kotisivujesi tietoturvaa, jotta voit hyvillä mielin keskittyä omaan bisnekseesi.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *