Bezpieczeństwo strony firmowej w sieci
20.08.2019 Marketing
Napisz do eksperta
Łukasz Wojciechowski
Określ temat i opisz czego chcesz dowiedzieć się od eksperta.
Odpowiedź zostanie wysłana na Twój adres e-mail.
Strona WWW to jedna z najważniejszych wizytówek każdej firmy w internecie. Dotyczy to przedsiębiorstw, które świadczą swoje usługi w sieci, ale też wszystkich innych podmiotów gospodarczych.

Według danych GUS (Główny Urząd Statystyczny) w 2015 roku swoją witrynę prowadziło 65,4% firm (ogółem), a stały dostęp do sieci miało 92,7% przedsiębiorstw (w tym co trzecie poprzez łącze szerokopasmowe). Śledząc dynamikę prowadzenia witryn firmowych w ostatnich latach można zaobserwować ustabilizowanie się ich liczby na stosunkowo wysokim poziomie. Dane te świadczą o tym, jak szeroki potencjał daje internet w poszukiwaniu nowych klientów i partnerów biznesowych niezależnie od klasy wielkości. Z drugiej strony trudno zostać zapamiętanym za sam fakt posiadania strony internetowej a bardzo łatwo osłabić swoją pozycję, jeśli nie zadbamy o bezpieczeństwo strony firmowej w sieci.
Co nam grozi?
Po ataku na firmową stronę WWW możliwych jest kilka scenariuszy realizowanych osobno, bądź też łącznie, w dowolnej konfiguracji. Cyberprzestępcy mogą ustawić przekierowanie z naszej witryny na inną, na której znajdują się wyskakujące okna z dużą liczbą reklam i propozycje instalacji (złośliwego) oprogramowania. W takiej sytuacji najgorsze jest to, że ktoś może zainstalować wirusową aplikację właśnie dlatego, że ufa naszej firmie. Mogą też użyć naszych kontaktów do wysyłania spamu. Ponadto, możliwe jest zdobycie danych kontaktowych naszych klientów, bądź innych danych, którymi nie chcemy się dzielić z innymi. Wśród ataków na witryny firmowe zdarzają się też takie, które mają na celu jedynie zniszczenie strony i skompromitowanie przedsiębiorstwa. Autor ataku nie odnosi żadnych korzyści, więc motywem najczęściej jest zemsta, np. byłego pracownika. Powyższe przykłady narażają firmę na wypłatę odszkodowań w przypadku roszczeń poszkodowanych klientów, bądź też kary administracyjne, przewidziane zarówno w polskich aktach normatywnych, jak i w ramach nowych unijnych ram prawnych ochrony danych osobowych.
Od czego zacząć?
Bardzo ważne jest, aby każda firma mierzyła siły na zamiary. Posiadanie własnego serwera (serwerów) powinno być domeną największych podmiotów, które są w stanie zapewnić odpowiednie zabezpieczenia. Mniejsi gracze, przynajmniej na początku swojej drogi biznesowej, powinni zdecydować się na pomoc w obszarze wirtualnej przestrzeni dyskowej na prowadzenie strony WWW, konta e-mail, rejestrację firmowej domeny czy inne usługi dla swoich klientów. Firmy świadczące profesjonalny hosting zapewniają taki poziom zabezpieczeń, który w większości przypadków eliminuje możliwość cyberataku. Pamiętajmy jednak, że nie zrobią one za nas wszystkiego. Ataki na strony internetowe nie bazują w większości przypadków na złych zabezpieczeniach serwerów, lecz na błędach i niedopatrzeniach właścicieli stron i osób, którym powierzają oni ich prowadzenie. Jest też kilka innych pułapek.
Zanim jeszcze uruchomimy firmową witrynę i zdecydujemy się hosting, najczęściej wybieramy adres strony. Wówczas wielokrotnie sprawdzamy, czy wybrana nazwa nie jest już zajęta, przymierzamy się do różnych rozszerzeń, np. .pl, com.pl., .eu itd. Jest to działanie nierozsądne, bo firmy sprzedające domeny odnotowują takie zapytania. Zanim zdecydujemy się na konkretne rozwiązanie może się okazać, że ktoś już „podkupił” naszą domenę i oferuje jej odsprzedanie za znacznie wyższą kwotę. Warto też uważać na oferty - „domena przez pierwszy rok za złotówkę”. Firmy oferujące takie „okazje” żądają w kolejnych latach za domenę kwotę, która rekompensuje im rabat w pierwszym roku ze znaczną nawiązką.
Zabezpieczenia we własnym zakresie
Niezależnie od tego, czy zdecydujemy się na hostingowy outsourcing, czy też postawimy naszą stronę na swoim serwerze, warto pamiętać o podstawowym katalogu odpowiednich zabezpieczeń:
- Opracowanie procedur ochrony danych. To nie tylko spełnienie wymagań zgodnie z literą ustawy i rozporządzenia, ale też realne wyznaczenie kierunków działania oraz zobowiązanie pracowników do dbania o bezpieczeństwo. Wśród wymaganej dokumentacji znajduje się „Instrukcja zarządzania systemem informatycznym”, w której przedsiębiorca określa wszystkie procedury bezpieczeństwa związane z komputerowym przetwarzaniem danych.
- Logowanie przez SSL. Jeżeli kiedykolwiek podajemy nasze dane, login lub hasło, należy zawsze sprawdzić, czy adres w przeglądarce zaczyna się od https://. Oznacza to bowiem szyfrowaną wersję protokołu http. Zmniejsza to znacząco możliwość przechwycenia tych danych.
- Firewall. Często błędnie rozumiany tylko jako ustawienie w systemie Windows. W rzeczywistości pojęcie oznacza specjalistyczne oprogramowanie lub urządzenie zewnętrzne zapewniające tzw. „zaporę ogniową” pomiędzy siecią wewnętrzną LAN a dostępem z zewnątrz. Jest to bardzo ważne i skuteczne zabezpieczenie, które powinien poważnie rozważyć każdy przedsiębiorca.
- Ostrożnie z łączeniem przez protokół FTP.. Bardzo często konfigurujemy połączenie FTP przez programy, np. Total Commander. Pozwala to na szybkie kopiowanie plików na nasz serwer, bądź też ich pobieranie. Pamiętajmy jednak, aby korzystać z szyfrowanego połączenia, np. SFTP i nigdy nie zapisywać hasła w pamięci takiego programu.
- Mocne hasło i login do panelu administracyjnego. Hasło musi się składać z dużych i małych liter, cyfr i znaków specjalnych. Login także powinien być unikalny. Warto też ustawić różne hasła do panelu administratora, serwera oraz konta e-mail, na które przychodzi przypomnienie hasła.
- Ostrożnie z samodzielnym modyfikowaniem wyglądu strony. Wiele stron opiera się obecnie na technologii WordPress. Oferuje ona m.in. łatwe modyfikowanie wyglądu strony opartego na szablonach. Szablony te powinny być jednak pobierane z zaufanego źródła i jeżeli nie czujemy się pewni w tej technologii, lepiej zlecić takie zmiany profesjonalistom.
- Ostrożnie z zapisywaniem haseł w przeglądarkach. Może to sprawić, że najmocniejsze i najbardziej przemyślane hasło zostanie nam skradzione w stosunkowo prosty dla cyberprzestępcy sposób.
- Pliki i foldery muszą mieć przypisane odpowiednie prawa. Zanim ruszymy z promocją strony warto jeszcze raz sprawdzić z naszym webmasterem ustawienia plików i folderów na serwerze. W ten sposób unikniemy sytuacji, w której niepożądane osoby z łatwością dokonają odczytu lub modyfikacji plików, których nie przeznaczyliśmy do tego celu.
- Kopie zapasowe. Wielu administratorów danych uważa ich tworzenie za stratę czasu i zło konieczne. Warto jednak pamiętać, że w przypadku cyberataku to właśnie aktualna kopia zapasowa pozwoli nam szybko przywrócić właściwy stan naszej strony.