Vsak dan se zgodi več kot 30 tisoč kibernetskih napadov na spletne strani. Napačna bi bila tudi domneva, da so kibernetski napadi usmerjeni v velika podjetja in da majhna podjetja ne rabi skrbeti. Skoraj polovica spletnih napadov se namreč zgodi ravno na spletnih straneh manjših podjetij.
Raziskava ESET Threat Report iz leta 2020 kaže na veliko rast prevar prek elektronske pošte in “phishinga”, kjer gre za predstavljanje z lažnimi identitetami z namenom kraje podatkov o uporabniških ali bančnih računih. V času koronavirusa se je podvojilo število spletnih napadov na povezave, preko katerih so se v času karantenskega dela od doma na službene računalnike povezovali zaposleni.
Trije najbolj pogosti napadi na spletne strani
- napadi “brute force”,
- injiciranje SQL-stavkov (SQL injection),
- napadi “Cross-site Scripting” (XSS).
Več pogostih napadov si lahko ogledate tukaj.
Zgoraj navedeni napadi so večinoma avtomatizirani, kar pomeni, da jih izvajajo računalniški boti. Pri teh napadih gre za to, da napadalec poskuša vsiliti svojo vsebino na čim več spletnih strani, običajno preko produktov, ki jih vsiljeno promovirajo. Takšni napadi so relativno neškodljivi, v smislu delovanja spletne strani pa so sila neprijetni in lahko močno škodujejo ugledu blagovne znamke ter negativno vplivajo na SEO.
Napadi “brute force”
Pri teh napadih se napadalec (običajno bot) poskuša prijaviti v administratorski vmesnik spletne strani tako, da vnaša različne kombinacije uporabniškega imena in gesla v obrazec za prijavo v sistem. To lahko počne zelo hitro, zato moramo imeti na spletni strani ustrezne varnostne mehanizme, ki lahko take pojavitve napadov hitro preprečijo. Običajno se trajno ali začasno blokira IP naslove, iz katerih prihajajo večkratne neustrezne zahteve po prijavi v sistem.
Injiciranje SQL-stavkov (SQL injections)
Ogromno spletnih strani za podatkovno bazo uporablja SQL, zato je “SQL injection” zelo pogosta metoda napadov. Napadi običajno potekajo tako, da napadalec v obrazec na spletni strani poskuša vnesti določene SQL ukaze in s tem poskuša vplivati na zapise v podatkovni bazi (dodajanje, brisanje, modificiranje). To pomeni, da napadalec lahko vpliva na vsebino, ki je prikazana na naši spletni strani, kar lahko seveda spet izkoristi v svoj prid.
Cross Site Scripting (XSS)
Napad XSS je običajno vsiljena koda JavaScript, ki se skriva v hiperlinku, v katerega se lahko vstavi kodo, ki se potem z obiskom te strani izvede. Glavni namen XSS napada je kraja identifikacijskih podatkov (piškotki, “session tokens” in podobne informacije). Piškotki nam pomagajo, da si brskalnik zapomni, ali smo že prijavljeni v določeno aplikacijo in nas posledično samodejno prijavi. To pomeni, da se s krajo piškotka lahko avtomatsko prijavimo v določen sistem brez ustreznih “credentialsov”.
Kaj storiti v primeru napada?
Na morebitne napade se je vedno pametno pripraviti z rednim ustvarjanjem varnostne kopije spletne strani. V primeru napada je priporočljivo prenesti “poškodovano” spletno stran, da jo lahko kasneje analiziramo in odkrijemo, kako je prišlo do napada. Iz delujoče varnostne kopije je spletno stran mogoče “pokrpati” in jo obnoviti na produkcijskem strežniku.
Kako se lahko zaščitite?
Veliko spletnih napadov je avtomatiziranih, vsaj do določene stopnje. Nepridipravi pogosto uporabljajo bote, ki preiskujejo splet in iščejo ranljiva spletna mesta. Na srečo obstaja nekaj osnovnih in dokaj nezahtevnih opravil, ki lahko ponudijo zadovoljivo stopnjo spletne varnosti.
1. Na strežnik namestite certifikat SSL
Na strežnik namestite SSL certifikat, ki bo nato serviral vsebino preko HTTPS protokola. Spletna stran, ki ima v spletnem naslovu HTTPS, obiskovalcem zagotavlja, da so priključeni na varen strežnik in da ni mogoče, da bi nepooblaščene osebe prišle do podatkov o spletnem obisku (-valcu). Uporaba varnega protokola vpliva tudi na višje uvrstitve spletne strani v iskalniku Google.
2. Spreminjajte gesla
Vsaj enkrat, še boljše pa dvakrat letno, je priporočljivo spremeniti gesla za dostop do spletne strani. Predvsem v primeru spletne trgovine, je geslo svojevrsten hišni ključ do podatkov mnogih drugih oseb, predvsem boleče so zlorabe osebnih ter bančnih podatkov kupcev.
Uporaba odprtokodne programske rešitve John the Ripper pokaže, da je možno polovico gesel obiti v manj kot uri in le redko katero geslo bi zahtevalo več kot 2 uri. Pomoč pri generiranju kompleksnih gesel lahko poiščete na spletu, npr. 1Password. Nekatere rešitve so celo brezplačne in uporabljajo dodatno enkripcijo, ki še izboljša varnost pred spletnimi napadi.
Dobronameren nasvet – nikoli ne uporabljajte istega gesla za dostop do različnih naprav, spletnih strani ali programske opreme. Če ustvarite geslo, ki vsebuje 14 znakov, tako črkovnih, številčnih in simbolnih, bo že samo ta korak precej izboljšal vašo spletno varnost.
Še dodatno stopnjo zaščite vam lahko ponudi dvofaktorsko preverjanje pristnosti, ki pred dostopom do spletne strani od vas zahteva še dodatno potrditev na drugi napravi, npr. mobilnem telefonu.
3. Posodabljajte programsko opremo in nadgrajujte infrastrukturo strežnikov
Vedno uporabljate zadnje različice programske opreme, pa naj gre za CMS ali pa posodobitve različnih vtičnikov. Vse kar od vas zahteva prijavo, mora vedno delovati na posodobljenih različicah programske opreme.
Prav tako je treba posodabljati infrastrukturo strežnikov in poskrbeti za izvajanje varnostnih pregledov, najbolje vsakih 6 mesecev.
Pri Madwiseu strankam vsak mesec posodobimo vso programsko opremo in opravimo nekaj pomembnih testov, s katerimi preverimo ustreznost delovanja.
Je zavarovanje kibernetske zaščite smiselno?
Ker se s spletnimi napadi in ostalimi oblikami kibernetskih tveganj sooča vedno več podjetij, svojo priložnost v tem vidijo tudi zavarovalnice.
Te nudijo zavarovanja kibernetske zaščite, ki zajemajo kritja tako za lastno škodo zavarovanca kot tudi odškodninske zahtevke tretjih oseb.
Tako lahko podjetja dobijo povrnjene stroške strokovnjaka za izvedbo preiskave, stroške svetovanja strokovnjaka, pravne stroške kot tudi morebitne globe s strani Informacijskega pooblaščenca. Zavarovalnica krije tudi odgovornost za kršitve zaupnosti in zasebnosti in odgovornost za omrežno varnost.
Dodatno je možno zavarovati še obratovalni zastoj, ko zavarovalnica krije izgube dobička v obdobju prekinitve poslovanja kot tudi kibernetsko izsiljevanje, kjer se krije stroške odkupnine.
Poiščite zunanjo pomoč
Če v podjetju ne razpolagate z ustreznim kadrom in znanjem, je smiselno razmisliti o tem, da pomoč poiščete pri podjetjih, ki vam bodo zagotovila varen razvoj programske opreme in opravila analizo tveganj ter testiranje pred zagonom spletnega mesta oz. spletne trgovine.
Zunanji izvajalec bo poskrbel tudi za mehke prijeme, kot je seznanitev zaposlenih z osnovnimi pravili spletnega obnašanja. Ti preprečijo, da bi spletni napad uspel zaradi uporabe preprostih tehnik socialnega inženiringa, ki so pogosto uperjene v zaposlene, ki skrbijo za spletno mesto.
