Verkkosivujen tietoturva

Pysähdy hetkeksi miettimään miten paljon tietoa sinun verkkosivustosi läpi kulkee päivittäin. Asiakkaiden henkilötietoja, verkkosivuston kävijädataa, maksutietoja? Kaikkea tätä tietoa voidaan käyttää väärin, jos verkkosivujen tietoturva ei ole kunnossa.

Tietoturva-asiantuntija Marko Nousiainen VoiceLinkiltä

Verkkosivujen tietoturva on aiheena tärkeämpi kuin ikinä. Tietoturvahyökkäyksistä on tullut hyvinkin yleisiä nykymaailmassa, jossa internet on kaikkien saatavilla ja toimii maailmanlaajuisena tietopankkina. Tietoturvahyökkäyksen toteuttaminen on myös helpompaa kuin ikinä: on olemassa lukuisia kaikkien saatavilla olevia ohjelmia, joista voi automaattisesti etsiä verkkosivujen haavoittuvuuksia ja näin ollen potentiaalisia hakkerointikohteita. Tietoturva on tärkeä vastuu verkkosivuston kehittäjälle: huolehtimalla sen kuntoon suojaat sekä oman yrityksesi että verkkosivuvierailijan tiedot.  

Istuimme alas VoiceLinkin Marko Nousiaisen kanssa keskustelemaan tietoturvasta ja siihen liittyvistä kysymyksistä. Lue tästä blogikirjoituksesta mitä tietoturva Markon ja Folcanin verkkosivukehittäjien mukaan tarkoittaa ja mistä viidestä asiasta jokaisen verkkosivuston tulisi huolehtia. Saatat yllättyä siitä, miten pienillä asioilla voidaan välttää isojakin tietoturvahyökkäyksiä. 

Katso video kokonaisuudessaan täältä.

Mitä tarkoittaa verkkosivujen tietoturva?

Verkkosivujen tietoturva tarkoittaa kaikessa yksinkertaisuudessaan sitä, että data kulkee sivuston ja käyttäjien välillä suojattuna, eikä ulkopuolinen taho, kuten hakkeri, pääse dataan käsiksi esimerkiksi palomuurissa olevien aukkojen kautta. Tietoturvan merkitys ymmärretään yleensä liian myöhään, vasta vahingon tapahduttua, jolloin seuraukset voivat olla hyvinkin ikävät. Moni jättää tietoturvan huomiotta tietämättömyyden takia, moni kokee sen puolestaan kustannussäästönä. Tätä tilannetta voi verrata vakuutuksiin: arjessa on helppo ajatella säästävänsä muutaman kymppi kuukaudessa jättämällä vakuutukset hoitamatta, mutta vahingon sattuessa muutama kympin säästö saattaa kostautua moninkertaisena vahinkona. Kukaan ei ikinä ajattele itse joutuvansa hakkeroinnin kohteeksi, mutta silti sivustoja hakkeroidaan koko ajan. Huolehdi siis tietoturva kuntoon jo tänään ja vältä isommat vahingot.  

Miksi verkkosivujen tietoturva on niin tärkeää?

Tietoturvahyökkäyksiä on monenlaisia: hakkeri saattaa murtautua sivustolle voidakseen kiristää rahaa, kerätäkseen dataa, levittääkseen haittaohjelmia tai vain aiheuttaakseen harmia yritykselle. Seuraukset yritykselle ja verkkosivuston käyttäjille voivat olla hyvinkin isoja, esimerkiksi rahan kiristämistä arkaluonteisella tiedolla, mutta pienemmätkin hakkerointitapaukset aiheuttavat vähintään ison kolauksen yrityksen maineeseen. Käyttäjät saattavat puolestaan kärsiä esimerkiksi omalle laitteelle levinneen haittaohjelman muodossa. 

Toimenpiteet, joilla tietoturvasta voi huolehtia ovat loppujen lopuksi melko helppoja. Yleisimpiä syitä hakkerointiin ovat niinkin yksinkertaiset asiat kuin päivitysten puute tai heikot salasanat – ne altistavat verkkosivut välittömästi tietoturvauhille.  

Kaipaatko apua verkkosivujen tietoturvan kanssa?

Verkkosivujen tietoturva – kuusi askelta kohti turvallisempia verkkosivuja

Verkkosivujen tietoturva saadaan hyvälle mallille jo huolehtimalla perusasioista. Me kokosimme sinulle tietoturvan perusasiat yhteen haastattelemalla VoiceLinkin tietoturva-asiantuntijaa Markoa. Näiden kuuden askeleen avulla otat askeleen kohti turvallisempia verkkosivuja ja tyytyväisempiä asiakkaita. 

Miten parannat verkkosivujen tietoturvaa? – 6 askelta: 

Askel 1: Käytä vain vahvoja salasanoja ja kaksivaiheista tunnistautumista

Askel 2: Huolehdi järjestelmän säännöllisestä päivittämisestä

Askel 3: Muista SSL-suojaus

Askel 4: Varmuuskopioi sivut säännöllisesti

Askel 5: Käsittele henkilötietoja oikein

Askel 6: Valitse yhteistyökumppanisi huolellisesti

Askel 1: Käytä vain vahvoja salasanoja ja kaksivaiheista tunnistautumista

Tämä saattaa kuulostaa itsestäänselvyydeltä, mutta silti monet sortuvat valitsemaan lyhyen ja helposti muistettavan salasanan, jota käytetään mahdollisesti myös useammassa eri palvelussa. Tunnistatko itsesi? 

Salasanan tulisi aina olla uniikki ja vahva. Uniikki salasana tarkoittaa sitä, että kyseinen salasana on käytössä vain yhdessä palvelussa. Vahva salasana puolestaan pitää sisällään sekä isoja että pieniä kirjaimia, numeroita, mahdollisesti myös erikoismerkkejä ja on vähintään 12 merkkiä pitkä. Salasanan vaihtamiseen menee muutama minuutti, mutta se voi olla hyvinkin isossa roolissa verkkosivujen tietoturvan kehittämisessä.  

Muista myös ottaa kaksivaiheinen tunnistus käyttöön aina, kun se on mahdollista. Sen ollessa päällä sinun tulee aina salasanan laittamisen lisäksi vahvistaa kirjautumisesi myös toisella tavalla, kuten puhelinnumeroosi lähetettävällä kertakäyttöisellä koodilla tai kasvojentunnistuksella. Tämä estää tilillesi pääsyn salasanan tullessa varastetuksi. 

Askel 2: Huolehdi järjestelmän säännöllisestä päivittämisestä

Verkkosivuston, sen lisäosien ja teemojen säännöllinen päivittäminen on yksi isoin sudenkuoppa verkkosivuston tietoturvasta puhuttaessa ja moni hakkerointi johtuukin päivitysten puutteesta. Miten usein sinä päivität järjestelmäsi ja sen lisäosat? 

Folcan suosii muun muassa tästä syystä WordPressiä verkkosivualustana. Se on maailmanlaajuisesti niin suosittu, että heillä on resursseja reagoida jokaiseen mahdolliseen tietoturvapuutteeseen ja järjestelmän tietoturvaa ylläpidetään säännöllisillä uusilla versioilla. Pienet päivitykset tapahtuvat automaattisesti, suuremmat hoidetaan säännöllisesti manuaalisesti. Kolmansien osapuolisen lisäosia valitessa tulee kiinnittää erityisesti huomioita juurikin niiden luotettavuuteen ja turvallisuuteen. Ylimääräiset ja turhat lisäosat kannattaa välittömästi poistaa, niin tietoturvauhkien kuin verkkosivuston käytettävyyden takia. 

Askel 3: Muista SSL-suojaus

SSL (Secure Sockets Layer) on protokolla, joka muodostaa salatun tiedonsiirron verkkosivuston ja sen käyttäjien välille. Kaikessa yksinkertaisuudessaan se siis estää mahdollisia hakkereita lukemasta sivuston ja sen käyttäjien välillä liikkuvaa dataa. Tämän suojauksen tunnistaa osoiterivin vasemmassa reunassa olevasta munalukosta sekä “https” -muotoisesta osoitteesta. Harva kiinnittää tähän huomiota. Mikäli SSL suojaus puolestaan ei ole kunnossa, lukee osoiterivin vasemmassa reunassa “ei turvallinen”. Tämä kiinnittää helpommin myös verkkosivuvierailijan huomion ja saattaa jopa karkottaa hänet sivustolta.  

Kuten edellisessä kappaleessa kävi ilmi, SSL-sertifikaatti on välttämätön yrityksille ja verkkokaupoille, sillä niiden sivustolla käsitellään paljon arkaluonteista tietoa (henkilötiedot, kirjautumistiedot, maksutiedot). Laittaisitko sinä maksutietosi esimerkiksi “ei turvalliseen” verkkokauppaan? 

Sertifikaatteja on monenlaisia ja niiden hinnat riippuvat niiden ominaisuuksista. Sertifikaatin valinnassa tulee miettiä yrityksen ja verkkosivuston tarpeita. Nettisivut, joissa kerätään enemmän asiakasdataa, kuten verkkokaupat ja terveyspalvelut, vaativat paremman suojauksen kuin vähemmän dataa käsittelevät sivustot, kuten ravintoloiden ja kahviloiden verkkosivut. Useimmilla hosting-palveluntarjoajilla ja webhotelleilla kuuluu perustason SSL-suojaus automaattisesti sopimukseen, mutta se kannattaa aina varmistaa sopimusta tehdessä. 

Tiesitkö, että verkkosivujen tietoturva on nykyään niin tärkeä, että Google on ottanut SSL suojauksen yhdeksi kriteerikseen luokitellessaan verkkosivuja. Google siis rankaisee sivustoja, joiden tietoturva ei ole kunnossa antamalla niille vähemmän näkyvyyttä.  

Askel 4: Varmuuskopioi sivut säännöllisesti

Kuinka usein varmuuskopioit verkkosivusi? Folcanin ylläpitämät verkkosivustot varmuuskopioidaan automaattisesti joka yö ja manuaalisesti joka toinen viikko sekä aina isompien muutosten yhteydessä.  

Säännölliset varmuuskopiot takaavat sen, että mikäli jotain sattuisi, verkkosivusto voidaan nopeasti palauttaa edelliseen versioon eikä sivuja tarvitse rakentaa uudelleen tai puhdistaa manuaalisesti. Mitä vähemmän aikaa sivut ovat alhaalla, sitä parempi yritykselle, vaikka sillä ei enää voida ehkäistä tapahtunutta vahinkoa. Kannattaa pitää mielessä, että varmuuskopiot ovat tärkeitä muutenkin kuin tietoturvauhkista puhuttaessa: verkkosivuihin voi tulla ongelmia esimerkiksi päivityksen yhteydessä, jolloin varmuuskopio takaa sen, että sivusto saadaan välittömästi palautettua toimintaan. 

Askel 5: Käsittele henkilötietoja oikein

Verkkosivujen turvallisuuden merkitys on niin iso nykyään, että siihen on puututtu jopa EU-tason lainsäädännöllä. GDPR (General Data Protection Regulation) on henkilötietojen käsittelyä säätelevä laki, joka takaa verkkosivustojen käyttäjille tietosuojan eli oikeuden suojata omat henkilötietonsa. Verkkosivujen tietoturva on tässä isossa roolissa, erityisesti sivustoilla, joilla liikkuu paljon asiakasdataa. Tietoturvasta huolehtiminen esimerkiksi SSL-suojauksen avulla edesauttaa täten tietosuojan toteutumista estäen ulkopuolisten tahojen pääsyyn tietoihin käsiksi. 

Henkilötietojen käsittely huomioidaan myös evästeissä. Eväste tarkoittaa pientä tekstitiedostoa, jonka sivusto tallentaa joko mobiililaitteellesi tai tietokoneellesi. Niiden tarkoitus on sekä auttaa sivustoa muistamaan käyttäjä ja käyttäjän tietyt asetukset, kuten kielen, sekä kerätä anonyymia dataa verkkosivuvierailijoiden käytöksestä verkkosivuston ylläpitäjälle. Tämä analytiikkadata auttaa verkkosivuston omistajaa hahmottamaan miten vierailijat käyttäytyvät sivustolla ja kehittämään sivustoa entisestään. Evästeitä on erilaisia ja niiden käyttö saattaa evästeen tyypistä riippuen edellyttää lain mukaan etukäteissuostumusta.  

Mikäli haluat tietää lisää evästeistä, suosittelen lukemaan niistä lisää täältä tai täältä.

Askel 6: Valitse yhteistyökumppanisi huolellisesti

Kuten tässä blogikirjoituksessa on käynyt ilmi, verkkosivujen tietoturva on tärkeä osa verkkosivuston ylläpitoa ja siitä huolehtiminen on jokaisen verkkosivuston ylläpitäjän vastuu. Mikäli oma aika tai kiinnostus ei riitä verkkosivukehitykseen ja sen tietoturvakysymyksiin, tulee siihen etsiä kumppani ja siirtää vastuu muualle. Ulkoinen kumppani voi hoitaa kaiken aina säännöllisistä päivityksistä ja varmuuskopioista evästeisiin ja SSL-suojaukseen. Tämän lisäksi kumppani voi kehittää verkkosivuja muutenkin ja auttaa esimerkiksi sen teknisessä toteutuksessa ja hakukoneoptimoinnissa.   

Oletko kiinnostunut verkkosivustosi ylläpidon ulkoistamisesta?

Yhteenveto

Internetissä liikkuu koko ajan aivan käsittämätön määrä tietoa aina sähköpostiosoitteista maksutietoihin ja terveystietoihin. Kaikkea tätä tietoa voidaan käyttää väärin, jos verkkosivusto on huoleton verkkosivujen tietoturvan suhteen. Verkkosivujen tietoturva tarkoittaa sitä, että data kulkee sivuston ja käyttäjien välillä suojattuna, eikä ulkopuolinen taho pääse siihen käsiksi. Yleisimpiä syitä hakkerointiin ovat muun muassa päivitysten puute tai heikot salasanat. Toimenpiteet, joilla tietoturvasta voi huolehtia, ovat siis loppujen lopuksi melko helppoja. Haastattelimme VoiceLinkin Markoa sekä Folcanin verkkosivukehittäjiä ja keräsimme kuusi askelta kohti parempaa verkkosivujen tietoturvaa: 

Askel 1: Käytä vain vahvoja salasanoja ja kaksivaiheista tunnistautumista 

Askel 2: Huolehdi järjestelmän säännöllisestä päivittämisestä

Askel 3: Muista SSL-suojaus

Askel 4: Varmuuskopioi sivut säännöllisesti

Askel 5: Käsittele henkilötietoja oikein

Askel 6:Valitse yhteistyökumppanisi huolellisesti

Mikäli haluat tietää enemmän, suosittelen kurkkaamaan myös VoiceLinkin blogin. 

Lue lisää digimarkkinoinnista Folcanin blogista