Na co by si měly firmy a podnikatelé mající webové stránky dávat pozor z hlediska zabezpečení v době kybernetických útoků? Co by si měli obzvlášť pohlídat?
Tak především by na internetu neměly být webové stránky s absencí šifrované komunikace mezi klientem a serverem, tedy samotnými webovkami. Poznáte to tak, že se nahoře v prohlížeči zobrazí zelená ikona, nebo symbol zámečku, značící šifrovanou komunikaci pomocí protokolu HTTPS. Nezabezpečená komunikace přes HTTP umožňuje potencionálně důvěrné informace odposlouchávat a díky tomu mohou být zneužity.
Naštěstí v současnosti převážná většina webů využívá dnes hojně využívaný bezplatný certifikát Let’s Encrypt. Pro kritické aplikace a webové stránky je dobré využít placený certifikát od důvěrné autority.
Další nedílnou součástí zabezpečení webu by pro každého podnikatele mělo být nahrazení doménového systému DNS bezpečnější variantou zvanou DNSSEC, který eliminuje útok na principu Man-in-the-middle. Nemůže se tak stát, že do adresního řádku vašeho prohlížeče zadáte ceskaposta.cz a dostanete se na podvodné stránky, které vypadají stejně, ale jsou to stránky útočníka. Útočník od vás tímto chce vylákat citlivé informace, jako jsou čísla kreditní karty, nebo další soukromé údaje. Každý kvalitní webhosting umožňuje vygenerovat klíče, které jsou třeba pro ověření vaší domény.
Dále doporučuji využívat dvoufázové ověřování pro přihlášení do WordPress, webhostingu a všech dalších klíčových služeb spojených s vaší identitou a podnikáním.
Kde se v tomto ohledu nejčastěji chybuje?
Z internetu na nás vyskakují reklamy, které ubezpečují podnikatele, že si každý svoje webové stránky může vytvořit sám. Bohužel většina zákazníků neřeší kvalitu hostingu a jejich ochranu proti DDoS, pravidelnou aktualizaci operačního systému, na kterém web běží, jejich podporu, ani to, že je třeba aktualizovat klíčové technologie jako jsou PHP, databáze MySQL, MariaDB, pluginy atd.
Technologie jdou rychle dopředu a vznikají zranitelnosti, které se objevují každým dnem. Na to je třeba reagovat a záplaty co nejrychleji nasadit ještě předtím, než se o nich útočník dozví a využije je ve svůj prospěch.
Všechny tyto věci předpokládají určitou technickou znalost v oboru, a tak je přinejmenším naivní myslet si, že si vytvoříte webové stránky a necháte je tak roky bez jediného zásahu.
Pokud tyto zásady člověk nedodržuje dost často stránky napadne malware a je třeba se vrátit v čase pomocí zálohy. Bohužel spousta majitelů stránek tyto zálohy nemá, nebo neví, jak je použít, aby se dostali do předchozího stavu. Investigovat vektor průniku škodlivého kódu je také násobně náročnější, než samotná prevence.
A jak mohou podnikatelé a firmy své stránky zkontrolovat, případně ověřit bezpečnost? Na koho by se měli obrátit?
V první řadě by si každý měl ověřit, zda jeho stránky využívají šifrovanou komunikaci HTTPS s platným certifikátem. Pokud stále využíváte nezabezpečenou formu HTTP, je třeba na ni přejít tak, že explicitně nastavíte přesměrování webu na HTTPS a zajistíte platný certifikát. Ověřit si váš web můžete například pomocí tohoto online nástroje.
U správce domény CZ.NIC ověřte, zda vaše doména využívá DNSSEC a hosting na kterém máte webové stránky používá poslední verze webového serveru Apache či nginx. Zkontrolujte také poslední produkční verzi operačního systémů a dostupné aktualizace skriptovacího programovacího jazyka PHP, databáze MySQL, MariaDB, na němž převážná většina webových stránek běží, včetně všech posledních verzí pluginů v případě oblíbeného redakčního systému WordPress.
V případě, že není ve vašich možnostech tyto věci pohlídat, je lepší svěřit správu webových stránek profesionálovi, který se kyberbezpečnosti každodenně věnuje a pravidelně se v této oblasti vzdělává. Tento člověk Vám také ušetří spoustu času a případných nákladů v momentě, kdy stránky přestanou fungovat. Většinou má smluveny výhodnější ceny webhostingu, domén a nabízí kompletní správu webu, včetně zmíněných aktualizací.
Nezřídka disponuje systémem pro hromadnou správu webových stránek, jenž implementuje pravidelné zálohování, kontrolu dostupnosti stránek a antivirový systémem, který v reálném čase kontroluje zmiňované zranitelnosti a dlouhodobě pečuje o stránky.
Jaké jsou důsledky špatného zabezpečení webu? A jaká je prevence těchto dopadů?
Často se stránky stanou tzv. botnetem a prostřednictvím nich útočníci nasazují další malware. Malware pak může způsobit cizí reklamy, markantní zpomalení nebo kompletní odstavení celého webu. Největším rizikem, kromě špatné reputace a ztráty jména, jsou pak ukradené citlivé údaje z webu. Můžete si například představit databázi uniklých jmen a s ním spojené údaje jako adresa, telefon, email, čísla kreditních karet apod.
Hlídejte si svoje hesla pro přístup do klíčových služeb webových stránek. Je to sice stále omílaná fráze, kterou každý z nás slyšel nesčetněkrát, ale je důležité to neustále opakovat. Je to nejhloupější chyba majitelů webových stránek. Uniklá hesla do databáze, FTP účty, přístup do webhostingu, nebo emailu zajistí, že vaše dlouhodobě budované webové stránky a jméno, bude nenávratně ztraceno a to nepočítám ekonomické náklady. Používejte správce hesel např bezplatný keepass nebo bitwarden.
Další možností prevence proti útokům je blokování komunikace z určitých zemí. Můžete například zakázat návštěvu vašich stránek ze zemí jako je Rusko nebo Čína, nebo naopak povolit jen konkrétní země a ostatní explicitně zakázat.
Nasaďte software osvědčeného dodavatele antivirového řešení. Antivirovná řešení nasazená na web nabízí pravidelné bezpečnostní audity a skeny na aktuální hrozby, včetně následných akcí, jako je záplatování konkrétní zranitelnosti nebo blokování známých IP adres. To však vyžaduje nemalé náklady, které si většina uživatelů nemůže dovolit, a tak vznikají slabá místa k průniku škodlivého kódu.
Ve zkratce je tedy dobré udržovat aktuální programové vybavení a technologie na kterých celý web běží a dodržovat základní pravidla o kybernetické bezpečnosti jako je síla hesla do klíčových služeb, alespoň 20 znaků – malá, velká písmena, čísla, mezery a speciální znaky. Tyto metody také doporučuje úřad pro kybernetickou bezpečnost NUKIB, jež průběžně vydává doporučení, kterými se řídit.
Pokud nemáte technické schopnosti tyto metody kyber rizik dodržet je nejlepším řešením obrátit se na odborníka.
Nabízíme tvorbu a správu webových stránek na redakčním systému WordPress. Pravidelně aktualizujeme všechny klíčové součásti webových stránek a kontrolujeme funkčnost, zálohování a dostupnost, včetně prémiového antivirového řešení.
Zkrácená verze článku také vyšla na základě podnětu redaktorky Jany Langerové z portálu podnikatel.cz – odkaz na článek.