Verkkosivujen tietoturva

Tietoturva on asia jonka merkitys ymmärretään ihmiselle ominaisesti vasta sitten, kun vahinko on ehtinyt jo tapahtua. En ole etenkään freelancerina toimivia henkilöitä juurikaan tavannut, jotka viitsisivät nähdä vaivaa edes hieman oletusasetuksia paremman tietoturvan saavuttamiseen – eivätpä kaikki mainostoimistotkaan sitä tee. Tämä voi toki johtua myös täysin tietämättömyydestä, mutta onhan se toisaalta helppo kohta säästää vähän kustannuksissa – tai no kyseessä on ehkä enemmänkin vedonlyönti. Kustannuksissa voi säästää, mutta jos huono tuuri sattuu, niin todennäköisesti päätöstä katuu myöhemmin. Asia on vähän sama kuin vakuutusten kanssa.

Kartoita riskit
Ensin on tietenkin hyvä pääpiireittäin selvittää, että miltä vaaroilta haluaa suojautua. Jos sivujen myyntiä tapahtuu sivujen kautta, tullaan nämä myynnit melko varmasti joksikin aikaa hyökkäyksen sattuessa menettämään. Jos sivuilla säilytetään käyttäjiltä kerättyjä tietoja, tulevat nämä todennäköisesti päätymään vääriin käsiin ja tiedot melko varmasti myös menetetään samalla – tämä pätee oikeastaan kaikkeen sivujen sisältöön. Sivut voidaan myös valjastaa käyttäjien tietojen kalasteluun sekä mahdollisesti myös haittaohjelmien levittämiseen ynnä muuhun vähemmän mukavaan toimintaan.

Riittävä suojaus
Ennaltaehkäisy on suojauksen päällimmäinen kerros ja oleellisimpana tekijänä siinä ovat sivustojen ja ohjelmien pitäminen ajan tasalla. Harva kuitenkaan asentaa päivityksiä aina heti kun ne tulevat saataville ja tässä vaiheessa sivustoon tehdyt lisätoimenpiteet astuvat kehiin. Haavoittuvuudet vaativat usein ei-niin-turvallisten vakiotoimintojen ja -tiedostojen yhteisvaikutusta. Osan tietoturva-aukoista voi myös joko osittain tai jopa täysin paikata poistamalla käytöstä sellaiset ominaisuudet joita ei käytetä. Tarpeettomat ominaisuudet ja lisäosat karsimalla vähennetään hyökkäyspinta-alaa ja toisaalta voidaan karsia pois myös sellaiset lisäosat, joita ei enää ylläpidetä; jos lisäosaa ei enää kehitetä, ei niistä löydettyjä haavoittuvuuksiakaan paikata.

Päivitysten varjopuoli
Hyödyllisyydestään huolimatta järjestelmäpäivitykset saattavat toisinaan aiheuttaa yhteensopivuusongelmia ja sen seurauksena sivun jonkin osan tai toiminnon oikkuiluna. Näitä ei tietenkään jatkuvasti tule vastaan, mutta kun ne eivät ole mitä tavattoman harvinaisiakaan, on päivitysten jälkeen hyvä tehdä edes suurpiirteinen tarkistus sivujen toimivuudesta. Kosmeettiset virheet eivät ehkä niinkään vaadi välittömiä toimia, mutta jos esimerkiksi yhteydenotto tai tilauksen tekeminen epäonnistuu, ja tämä jää päivitysten yhteydessä huomaamatta, saattaa menettää lukuisia myyntitapahtumia.

Toimintasuunnitelma
Melko lailla huonoin mahdollinen hetki alkaa rakentamaan suunnitelmaa ongelmien varalle on silloin kun sen suunnitelman olisi pitänyt olla jo valmiina. Hyvällä suunnittelulla voidaan parhaassa tapauksessa hyökkäyksen sattuessa palata lähes välittömästi normaaliin päiväjärjestykseen. Huonolla varautumisella taas saatetaan menettää usean viikon myynnit. Imagotappio voi olla myös valtava, riippuen siitä mitä hyökkääjä on halunnut tehdä. Jos kävijöiden koneelle on ladattu sivujen kautta haittaohjelmia, voi sivusto olla jo Googlen mustalla listalla eivätkä ne asiakkaat varmaan ihan hirvittävän iloisia ole hekään ja korvausvaatimuksiakin voi mahdollisesti jokunen saapua.

Varmuuskopiointi
Ei ole varmaa keinoa välttyä vahingoilta ja silloin ajan tasalla oleva toimiva varmuuskopio on usein kultaa kalliimpi. Tiedostot on lähtökohtaisesti aina hyvä säilyttää vähintään kahdessa eri paikassa. Jos sivuilla on sisältöä jota ei ole muualle tallennettu, joudutaan ne todennäköisesti korvaamaan tai tuottamaan uudestaan. Useiden artikkeleiden tai kaikkien blogi-postausten ja kommenttien menettäminen on sellainen isku joka voi olla vahinkona jopa mahdoton korjata. Jos sivuista ei jostain syystä ole olemassa varmuuskopiota, voi samalla olla pahimmillaan edessä myös uusien sivujen osto. Varmuuskopiot ovat erittäin tärkeä osa kokonaisuutta, mutta jos ei ole tiedossa miten sivut kaapattiin, voidaan ne helposti kaapata samalla konstilla uudelleen.

Mistä hyökkäykset tulevat
Suurimmalle osalle suurin uhka ei suinkaan ole se että joku haluaa juuri niille omille sivuille hyökätä, vaan siinä että hyökkäykset ovat nykyään pitkälti automatisoituja ja hyökkäysten kohteet määrittyvät suorittamalla hyökkäysyrityksiä satunnaisesti sivuille käyttäen hyväksi tunnettuja haavoittuvuuksia – toisin sanoen jokaiselle netistä julkisesti löytyvälle sivulle tulee hyökkäysyrityksiä ennemmin tai myöhemmin. Tarkoituksena on usein korvata kaapatut sivut omilla mainoksilla tai levittää sivujen kautta haittaohjelmaa jolla saadaan varastettua tietoa tai kiristettyä sivuston omistajaa.

Sivujen tietoturvan muistilista:
• Kartoita mahdolliset riskit.
• Karsi ylimääräisiä riskitekijöitä mahdollisuuksien mukaan.
• Pyri pitämään sivuston taustajärjestelmä ja mahdolliset lisäosat ajan tasalla.
• Varmista että sivusta on olemassa ajantasaiset varmuuskopiot.
• Laadi toimintasuunnitelma kriisitilanteiden varalle.

Artikkeli julkaistu 1.1.2020