Med de siste tiders hackerangrep friskt i minnet er det nok mange som lurer på om de har gjort nok for å sikre sin bedrift mot hacking. Hvorfor er alle bedrifter sårbare – selv de som har lite sensitivt innhold? I dette blogginnlegget setter vi fokus på hvilke tiltak en må og bør gjøre for å være bedre rustet.
I februar ble WordPress utsatt for et av tidenes største hackerangrep hvor over 1,5 millioner nettsteder ble påvirket. WordPress er som kjent den største plattformen for nettsider i verden, og de bruker enorme ressurser for å unngå akkurat slike episoder [1]. Nå nylig så vi også det omtalte WannaCry- angrepet som var svært ødeleggende for både bedrifter og privatpersoner, hvor over 200 000 maskiner hittil er infisert [2]. Det finnes ingen tvil om at digital terror blir mer og mer utbredt, og at det rammer alle.
Hvilke typer hacking kan du utsettes for?
Hacking er et vidt begrep og vi tar for oss den type hacking som betyr at brukeren gjør noe med nettsiden som er med hensikt i å skade innholdet, ytelse eller funksjoner. Det finnes også en rekke ulike typer skadelig hacking og her forteller vi litt om noen utvalgte som våre utviklere støter på i den daglige driften av våre kunders nettsider.
Denial of Service angrep (DDoS) er en fremgangsmåte som er mer og mer hyppig brukt. Her prøver angriperen å kvele tjenesten eller nettsiden din med så mange spørringer samtidig eller på rad at dine vanlig besøkende på siden ikke får tilgang. En annen type er såkalte SQL-injections hvor angriperen prøver å injisere SQL-kode inn i databasen din for å få ut konfidensiell data som er lagret i databasen til nettsiden. Denne metoden brukes også til å bryte gjennom sikkerhetsmuren på nettsiden slik at hackeren får tilgang til funksjoner og har muligheten til å endre ting på nettsiden som vanligvis kun en administrator i bedriften kan gjøre.
«Vi må ofte rydde opp i infiserte nettsider der kunden har valgt en billig leverandør uten fokus på sikkerhet.»
Jarand Bjerkhaug, Front End Utvikler
Jarand Bjerkhaug er en av våre front-end utviklerne som sitter med det daglige vedlikeholdet av nærmere 300 store og små nettsider. Han forteller at det er mye å hente på å gjøre tiltakene før du blir hacket, fremfor å sette i gang opprydning når skaden har skjedd. Når vi bygger nettsider så har vi sterkt fokus på sikkerhet og bruker mye tid på å sette opp et solid rammeverk som er godt beskyttet, forteller han.
Hvorfor gjør de dette?
Motivene for hackerangrep får vi ofte spørsmål om i kundemøter og svaret er at det varierer veldig. De såkalte script-kiddiene gjør det ofte for hva de kaller for the lulz og for å vise at de kan – så enkelt. Ingen motiv annet enn å få kredibilitet i miljøet. Her er det ofte skader i en mer hyggelig form. Vi har sett nettsider som har fått noen nye ansatte inn på siden eller fått en ny redaktør på siden. Det kan absolutt være skadelig for bedriften, men ikke i samme grad som andre grunner.
Den største og verste motivasjonen er kanskje de som gjør det av økonomiske grunner. I verste fall er de er ute etter kredittkort- og/eller bruker-informasjon som de kan bruke eller selge på the dark web. I beste fall så er de ute etter å legge inn linker til ulike nettsider som gir disse nettsidene bedre rangering i Google, hvor de får betalt for hver link de klarer å legge igjen.
Konsekvensene når man først har blitt utsatt for et hackeangrep kan være synlig vandalisme av nettsiden, til usynlig stjeling og offentliggjøring av sensitiv informasjon. Siden brukere ofte bruker samme innloggingsinformasjon over flere nettsteder kan dette få store ringvirkninger. Dette vil kunne føre til tap av kunder og omdømme, som kan være veldig vanskelig å gjenopprette når skaden har skjedd.
Hvordan kan en sikre nettsiden?
Sett det på agendaen
Det er et stort skritt å bare komme så langt i dette blogginnlegget at du faktisk leser tiltakene vi har satt opp. Det betyr at du har et fokus på det eller ønsker i større grad å ta ansvar for å få iversatt ulike tiltak – det er det viktigste av alt. Videre må en skape en forståelse internt i bedriften at dette er noe en bør satse på og som en må sette av penger til i fremtiden. Vi sammenlikner ofte en driftsavtale med forsikringer – så og si alle bedrifter betaler for forsikringer både på jobb og privat, men det er få som skjønner at også nettsiden trenger en type forsikring.
Solid plattform
Første bud må være å bygge nettsiden på en plattform som er solid med utviklere som har god kjennskap og fokus på de sikkerhetstiltak som finnes.
Hyppige oppdateringer
Videre må en ha forståelse for at en nettside er en «levende materie», så de sikkerhetstiltakene du gjennomfører ved lansering blir fort utdaterte om en ikke oppdaterer, overvåker og har et våkent blikk for det som skjer i bransjen. 83% av alle sider wordpressider som er blitt hacket har ikke blitt oppdatert og dermed har det åpnet seg «sikkerhetshull» eller muligheter som en enkelt kunne vært sikret mot [3].
Langt passord
Videre bør en velge passord som er lange nok til at et bruteforce angrep (en datamaskin blir koblet på for å sjekke alle kombinasjoner) ikke vil kunne finne kombinasjonen innenfor et rimelig tidsperspektiv. Å utvide alfabetet til å inneholde symboler som ¤#% etc. har mindre effekt enn å bruke flere symboler, derfor burde et passord alltid ha en viss minimumslengde. En burde også sette det opp slik at kontoen låses etter et visst antall feil innloggingsforsøk.
Krypterte data
Har du en nettbutikk eller oppbevarer du sensitiv data i databasen til nettsiden, så er SSL-sertifikat å foretrekke. SSL står for Secure Sockets Layer og betyr at dataene som sendes mellom en brukermaskin (deg) og tjenermaskin (server/nettsted) er kryptert. Dette gjøres for at andre skal ikke skal kunne snappe opp og lese dataene som sendes mellom brukermaskinen og tjenermaskinen, gjennom å sette opp lytteposter eller tappe datalinjene. Et SSL- serifikat på nettsiden ligger fra 700 kr pr. år og oppover, og Semway hjelper alle sine kunder som ønsker det å installere dette.
Overvåkning
Det er fullt mulig å sette opp en overvåkning som forteller deg om det er avvik på nettsiden i forhold til innlastingstid, innloggingsforsøk og ikke minst om nettsiden svarer ved «kall». Ved å automatisere denne prosessen kan du være trygg på at nettsiden er oppe og fungerer som den skal så lenge du ikke får varsler.
Tilgjengelig supportapparat
Overvåkning er kjekt å ha så lenge du har noen til å ta tak i utfordringene om/når de dukker opp. Det hjelper ikke å sitte på hytta en lørdag i påsken og få beskjed om at nettbutikken er nede om du ikke har noen du kan ringe til for å få fikset det. Semway har ulike nivåer for tilgjengelig support. Innenfor ordinær arbeidstid hjelper vi selvsagt alle våre kunder, men vi har også et «on-call» team som jobber kveld, helg og ferier for de bedriftene som er avhengig av at nettsiden kommer raskt tilbake om det skulle skje noe.
Det er verdt å nevne at angrep som DDoS og zero-day exploits er utfordrende å forebygge, men derfor enda viktigere å kunne agere om det er mistanke om et slikt angrep. SQL-injections kan forebygges ved å sanitere input før spørringen utføres.
Hva kan Semway hjelpe deg med?
Trenger du hjelp til å drifte en eksisterende nettside, bygge en ny og sikrere side eller få en gjennomgang av sikkerhetsnivået dere ligger på i dag? Vi skreddersyr løsninger for alle typer bedrifter – uansett størrelse og behov. Les om våre driftsavtaler her. Få et uforpliktende tilbud og mål det opp mot det du har i dag. Eller få tilbud på to ulike supportnivåer og ta det opp i ledergruppen hvor viktig det er for dere å ha muligheten til å komme på nett igjen raskt. Våre rådgivere og utviklere har lang erfaring i å hjelpe deg med å velge. Finn en rådgiver du vil kontakte her.
Kilder:
[1] Bleeding Computer
[2] Abc.net
[3] WP Beginner