Er bedriftens hjemmeside sårbar for hacker angrep?

Nettsteder har vist seg å være det foretrukne målet for nettangrep. Konsekvensene av å få hjemmesiden hacket kan blant annet være at besøkende på nettsiden blir infisert med malware, tap av trafikk, spredning av sensitive data, omdømmetap og tap av rangering i Google sitt søk.

Global epidemi

Løsepengevirus er blitt en global epidemi. Europol oppfordrer bedrifter til å gjøre en større innsats for å beskytte seg selv.

Alle er et mål for automatiserte angrep

Over 90% av hacker angrep er automatiserte script, som ikke bryr seg ikke om nettstedet tilhører en liten lokal bedriftseier eller en stor bedrift.

Objektiv sikkerhetstest

De fleste syns det er tryggere å dra til Naf istenfor et bilverksted når de ønsker en gjennomgang for å se etter feil og mangler. Fordelen med å la oss kontrollere hjemmesiden istedenfor byrået som har laget hjemmesiden er at vi har ingen egeninteresse av å anbefale unødvendige kostbare tiltak. Hvis man går til webbyrået som har ansvaret for nettsiden risikerer man også at de unnngår å avdekke sårbarheter som de egentlig burde ha avdekket tidligere eller som aldri burde ha vært der. Ofte har de rett og slett ikke god nok kunnskap på dette området.

Ansvarsforhold

Dessverre er en vanlig misforståelse hos mange bedriftseiere idag at de tror at webhotell leverandøren de bruker for hjemmesiden, også er ansvarlig for sikkerheten på hjemmesiden. Men normalt håndterer webhotell leverandøren kun sikkerheten på sine servere og infrastrukturen. Bedriften er selv ansvarlig for å håndtere sikkerheten på sin egen hjemmeside.

Du kan sammenligne det med å sikre et kontorbygg. Eiendomsselskapet (eller webhotell leverandøren) har ansvaret for fellesområder, men hver enkelt bedrift (eller nettside eier) har ansvaret for å låse døren og sikre vinduene på sitt eget lokale. Som bedrift er det ditt ansvar å sikre hjemmesiden.

Ofte opplever vi at webhotell leverandører unngår å ta opp dette med sikkerhet av selve hjemmesiden – ofte på grunn av at det rett og slett ikke er noen god salgspitch for dem å si at de ikke ivaretar dette på en grundig måte eller at ansvarsforholdet på dette ligger hos bedriften selv. Som bedrift er det ikke lett å vite hva slags sikringstiltak som bør være på plass, hva man bør kreve, hva man skal spørre om og hvem som har ansvaret for hva.

Hvis man har fått et webbyrå til å lage hjemmesiden så tror mange at webbyrået er ansvarlig for sikkerheten. Som oftest vil du finne i avtalevilkårene at det er bedriften selv som er ansvarlig for sikkerheten på selve nettsiden. Uavhengig av ansvarsforholdet er webbyråene ingen eksperter på sikkerhet. Ved en sikkerhetshendelse vil det være din bedrift som sitter med problemet – og i henhold til den internasjonale forsikringsleverandøren Hiscox så koster datainnbrudd for alle bedrifter i gjennomsnitt 200.000 dollar (ca. kr 1,8 mill) og 60% av små bedrifter stenger i løpet av seks måneder etter å ha opplevd datainnbrudd.  

 Sikkerhetstesten inkluderer blant annet

  • Bruk av sikkerhetsmekanismen DNSSEC.
  • Feilaktig Google indeksering av sensitiv informasjon.
  • Bruk av WAF for å filtrere bort ondsinnet trafikk.
  • Eksponering av software versjoner.
  • Bruk av utdatert programvare / firmware med kjente sårbarheter.
  • Bruk av anbefalte tiltak mot cross-site scripting.
  • Bruk av tvungen https kryptering.

 

Sentrale spørsmål angående sikkerheten på hjemmesiden:

Backup

  • Tar dere regelmessig backup av hjemmesiden idag, eventuelt hva er backup frekvensen?
  • Hvis dere tar backup, blir backup lagret på samme server som hjemmesiden, en annen server eller offline?

Forebyggende tiltak

  • Har dere noe system idag på plass på hjemmesiden vår for å filtrere bort ondsinnet trafikk?
  • Har dere en “audit-trail” av besøkende på hjemmesiden og oversikt over innlogginsforsøk?
  • Har dere idag lagt inn IP begrensninger (IP whitelist) på hvem som kan logge inn gjennom innlogginssiden vår?
  • Blir besøkende fra typiske høy-risiko land idag blokkert til å gå inn på hjemmesiden?
  • Hvor ofte blir cms, programvare og plugins oppdatert?
  • Hvis cms, programvare eller plugins ved en feil ikke blir oppdatert, blir kjente sårbarheter virtuelt patchet automatisk fra dere?
  • Varsler dere oss automatisk hvis hjemmesiden vår bli svartelistet av Google, slik at vi ikke oppdager dette tilfeldigvis ved at hjemmesiden er merket med en advarsel fra Google eller er forsvunnet fra Google sitt søk?
  • Hvis hjemmesiden blir infisert med malware og dette er noe man ikke oppdager naturlig, utfører dere noen automatisk skanning idag for å avdekke dette så tidlig som mulig?
  • Hva er responsen deres hvis hjemmesiden vår blir utsatt for et DDoS angrep?
  • Er anbefalte kjente sikkerhetstiltak innført på hjemmesiden?

Ansvarsforhold

  • Tar dere ansvar kun for sikkerheten på deres servere og infrastruktur, eller tar også ansvaret for sikkerheten direkte på vår hjemmeside?
  • Hvis hjemmesiden blir hacket eller infisert med malware, faller det praktiske og økonomiske ansvaret på oss eller hos dere for å rydde opp i dette?
  • Hvis sensitiv informasjon / kundeinformasjon blir spredt etter hacking kan GDPR regelverket føre til konsekvenser, hvem har ansvaret for å forebygge dette og eventuelle konsekvenser?
  • Hvis hjemmesiden blir hacket og vi mister rangering i Google sitt organiske søk, tar dere ansvar for å rydde opp i dette?
  • Hvis hjemmesiden blir infisert med spam av søkeord og linker, tar dere ansvar for å rense opp i dette slik at hjemmesiden igjen blir vist riktig hos Google?
  • Hvis hjemmesiden blir hacket og vi blir svartelistet av Google, tar dere ansvar for å ordne opp med Google?
  • Hvem har ansvaret for å oppdatere hjemmesiden med siste versjoner av cms, programvare og plugins, eventuelt hva slags retningslinjer og hyppighet gjelder her hvis dere har ansvaret?
  • Hvis det skjer en glipp slik at cms, programvare eller plugins ikke blir oppdatert, hvem har ansvaret da hvis noe skjer?
  • Hva er deres respons hvis hjemmesiden blir hacket, risikerer vi å bli stengt ned til det blir ordnet?
  • Hvis vår hjemmeside blir hacket slik at vi mister potensielle kunder i en periode, er dere forsikret slik at vi kan bli kompensert økonomisk for dette gjennom dere?

____

Eksisterende leverandør bør kunne svare direkte på punktene ovenfor. Noen ganger opplever vi at kunder har fått generelle svar som for eksempel at “servere er sikret med høyeste grad av sikkerhet” eller at “server infrastrukten er sikret med moderne brannmurer”. Dette kan høres betryggende ut, men dere skal være opptatt av sikkerheten direkte på hjemmesiden deres og ikke på servernivå. Krev derfor konkrete svar fra leverandøren på punktene vi har listet opp.