Сайт моей компании: три степени защиты и как их организовать

Прослушать новость

В этом году новости о массовых взломах сайтов появляются практически ежемесячно. Малому бизнесу попадание в число "хакнутых" грозит не только репутационными издержками и падением сайта в поисковой выдаче, но и вполне реальной ответственностью за недосмотр.

Как всегда, профилактика — лучшее средство защиты.

Евгений КУРТ, управляющий партнер uKit Group

Не факт, что ломали именно вас — сайт малого бизнеса чаще оказывается "не в то время и не в том месте": на одном сервере или связанным одним и тем же модным виджетом с другими. А еще чаще, причем чаще в разы, - связанный одним и тем же типом невнимательных сотрудников в штате.

И кажется, что вы потерпевший: сайт не открывается, помечен поисковиками как "проспамленный", а того хуже - "утекли" данные клиентов. Однако, официальный сайт любой компании — это зона ее ответственности. Если после взлома на сайте появилась недостоверная информация — можно понести ответственность за ее публикацию.

Собираете на сайте персональную информацию клиентов? Вы ответственны за ее сохранность: обычно это прописано в соглашении на обработку данных, которое все компании должны были разместить на своих сайтах. Дали загрузить непроверенный скрипт на FTP? Докажите, что действовали без злого умысла и не подпадаете под 273-ю статью УК о распространении вредоносных программ.

Проверка соответствия сайта минимальным стандартам информационной безопасности должна стать регулярной — как поход к врачу. Как всегда в бизнесе, алгоритм действий строится из трех кругов:
- то, что вы можете контролировать;
- то, что вы можете контролировать, но частично;
- и то, на что не можете влиять.

Уровень первый: проверяем людей

Люди с черными мониторами и зелеными буквами на них, за секунды находящие уязвимости на сайте - это больше штамп из кино. Если почитать биографию одного из самых известных "хакеров" в истории, Кевина Митника, основных своих успехов он добивался через социальную инженерию — обман сотрудников компании, а не машин.

Проверьте сотрудников. Невнимательность и доверчивость людей внутри компании — частая причина взлома. Ссылка от "друга" в скайпе, письмо "срочно исправьте счет" с файлом от неизвестного адреса — один клик — и если параллельно человек залогинен где-то еще, считайте, что вы попались. Поэтому доступы к сайту и всем системам компании должны быть разграничены по уровням (например, секретарь не является еще и администратором сайта), а рабочий ноутбук — не должен использоваться в личных целях.

Отдельное внимание стоит уделить местам "общественного посещения". Взлом компании Sony Pictures начался с посетителя, посидевшего за чьим-то компьютером 15 минут. Пароли, шифрование — то, что обязательно нужно.

Экс-сотрудники — еще одна цель для проверки. Могли ли у кого-то остаться доступы к информационным системам компании? Точно ли вы их поменяли? Банально, бывшие — непредсказуемы.

Проверьте подрядчиков. Банально, но непредсказуемы все люди. Вы расстаетесь с внешним исполнителем, который обслуживал ваши системы, и расстаетесь, возможно, на повышенных тонах. Или когда-то заказывали у кого-то разовую работу. Остались ли доступы к вашим системам у этих людей? Сохранилась ли информация, что именно они делали и загружали на сайт?

Речь даже не про непорядочность (которая нет-нет, да встречается в бизнесе), а про угрозу попадания ваших "паролей-явок" злоумышленникам другим путем — через взлом исполнителя.

Вспомните, на чем создан ваш сайт и как он обновлялся. Особенно если это открытые CMS вроде WordPress: самые популярные, с одной стороны, и самые привлекательные для взлома — с другой. Практически никогда такие платформы не используются в "голом" базовом виде — владельцы и администраторы устанавливают на сайты массу дополнительных плагинов. Далее вы сами должны уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости в этих плагинах, - или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки.

Проверьте, что делал ваш человек и следит ли за этим. Если такого человека нет, пора задуматься о переезде на платформу вроде конструктора, где команда разработчиков берет вопросы обновлений и безопасности на себя.

СМОТРИТЕ ПО ТЕМЕ:
Вирус-вымогатель Petya атаковал компьютеры "Газпрома"
Создатели вируса Petya заработали за два дня больше $10 тысяч
Вирус-шифровальщик "положил" компьютеры "Башнефти"

Уровень второй: проверяем системы

Современный сайт — это не старая-добрая страничка в HTML, а целый "зоопарк" технологий, связанных между собой. И каждая технология в принципе уязвима. Например, один из громких взломов прошлых лет - Heartbleed, коснувшийся полумиллиона сайтов, был вызван уязвимостью в OpenSSL - библиотеке с открытым исходным кодом, использовавшейся многими для защиты соединения между сервером и клиентом.
 
Поэтому в своем конструкторе сайтов стали бесплатно раздавать клиентам сертификат SSL, происхождение и работу которого можем контролировать. Ведь предприниматель может ошибиться с выбором технологий.

Где живет ваш сайт? Существуют два базовых способа — отдельная покупка хостинга или тарифа на конструкторе, где хостинг включен в услугу. И если во втором случае, низкая цена за комплекс услуг - это модель бизнеса конструктора (микро-платежи с массовой аудитории), то лоукост-хостер — не лучший выбор. Это тот самый момент частичного влияния: вы не влияете на сотрудников хостера, который способен получить доступ к вашему сайту, но можете влиять на выбор подрядчика. Пусть лучше это будет компания с именем на рынке.
 
С кем живет ваш сайт? Эффективный сайт — это не просто визитка, размещенная где-то в интернете, а канал привлечения клиентов, зачастую связанный с CRM, системой рассылок и так далее. Убедитесь, что все информационные системы компании живут не на одном сервере — простое следование правилу "не хранить все яйца в одной корзине" может сэкономить вам массу денег и нервов в будущем.

Как хранятся ваши данные? Информация — главная ценность для бизнеса. Регулярно делайте резервные копии данных и храните их на отдельных носителях: злоумышленники не смогут добраться до них удаленно. Шутки шутками, а дискеты в ракетных войсках до сих пор используются именно на случай защиты от взломов.

ЧИТАЙТЕ ТАКЖЕ:
"Лаборатория Касперского" дарит миру бесплатный антивирус
Вирусную атаку случайно приостановил британский программист

Уровень третий: принимаем, что угрозы есть всегда

Есть вещи, которые нельзя контролировать и предугадать. Например, DDoS-атаки — явление для малого бизнеса редкое, но возможное. Защита от них, если вы не используете для сайта конструктор со встроенной защитой, стоит дорого. И не всегда оправдывает вложения.

Тестовые атаки — явление обычное. Не значит, что они повторятся. Но если это так, первое, что стоит сделать: попытаться вычислить, откуда шел удар. Возможно, это недобросовестный конкурент, который решил потратиться на то, чтоб уложить ваш сайт на лопатки. Первая хорошая новость — значит, вы работаете лучше него. Вторая: атака на сайт — такое же преступление, как и попытка, скажем, сломать стену вашего дома. То есть, дело наказуемое, если виновник будет найден.

Главное — регулярно выполнять поверки (особенно на предмет человеческого фактора), а не быть морально готовым потерять или отнести кому-то кучу денег в случае беды. Бизнес — это взвешенные решения, выстроенные процессы и рост со временем. Помните, по статистике, недавний вирус WannaCry произвел наименьший урон по наиболее зрелым в плане развития информационной безопасности компаниям. А они выстраивали защиту постепенно.

Информационная безопасность - не та сфера, в которой можно "сделать раз" и забыть на 10 лет. Это направление, которое нужно развивать поступательно, но постоянно.