Bezpieczny hosting stron WWW

Wyciek danych osobowych to poważna sprawa. Ma on miejsce wtedy, gdy ktoś bezprawnie dysponuje danymi osobowymi, które zostały powierzone inne firmie lub instytucji. To jedno z poważniejszych naruszeń RODO, które wiąże się z rozmaitymi finansowymi konsekwencjami.

Pamiętaj o tym, że nawet jeżeli nie masz złych intencji, to jednak wyciek zawsze będzie traktowany jako zaniedbanie. Upewnij się, że Ty i Twoja firma lub organizacja robicie wszystko, aby się przed nim uchronić.

Wydaje Ci się, że Twoja firma, organizacja lub instytucja nie przetwarza danych osobowych? No cóż, jeżeli na Waszej stronie jest:

• możliwość dokonywania zakupów,

• opcja dodawania komentarzy,

• formularz kontaktowy,

• możliwość zapisu do newslettera

• zainstalowany system do śledzenia ruchu użytkownika,

to przetwarzane są dane osobowe. W związku z tym stajecie się ich administratorem i musicie zadbać o ich bezpieczeństwo.

Co do zasady - wszystkie dane, które są zdobywane poprzez stronę, są przechowywane w bazach danych utrzymywanych na hostingu. Nie oznacza to jednak, że w ten sposób można zdjąć z siebie odpowiedzialność za ich bezpieczeństwo.

Hosting ma zapewnić infrastrukturę, która umożliwi przechowywanie danych (wszystkich - nie tylko tych osobowych). Ma być odpowiednio zabezpieczony, chroniąc przed nieautoryzowanym dostępem czy cyberatakami.

Jako administrator danych osobowych powierzacie je firmie hostingowej. Nie może być tak, że kwestia przechowywania informacji o Waszych klientach jest zupełnie nieuregulowana. W związku z tym konieczne jest podpisanie umowy powierzenia danych osobowych.

RODO zostało wdrożone już ładnych kilka lat temu. Przez ten czas wiele firm dopasowało się do nowej rzeczywistości i - mając świadomość dużej odpowiedzialności - z automatu ustalić kwestie dotyczące przetwarzania danych osobowych.

Podczas wykupywania usługi hostingowej, zawierana jest umowa z firmą udostępniającą serwer. Zawarte w niej są wszelkie szczegóły dotyczące np. płatności, przestrzeni dyskowej czy przysługujących limitów. Jednak, jeżeli chcesz zadbać o bezpieczeństwo przetwarzanych danych, dobrze aby były tam określone:

• zakres i cel przetwarzania danych osobowych

• czas obowiązywania umowy

• prawa i obowiązki stron.

Kłódka przy pasku adresu oraz przedrostek HTTPS - dla bardzo wielu użytkowników to właśnie te elementy świadczą o wiarygodności strony. Aby były one widoczne przy adresie Waszej witryny, konieczne jest uzyskanie certyfikatu SSL.

SSL odpowiada za zweryfikowanie Waszej domeny w przeglądarce użytkownika. Jeżeli pojawią się jakiekolwiek niezgodności - użytkownikowi wyświetli się monit bezpieczeństwa.

Gdy natomiast weryfikacja przejdzie pozytywnie - wówczas nawiązywane jest bezpieczne połączenie. Jest ono szyfrowane - chronione przed nieautoryzowanym dostępem. Dzięki temu odwiedzający może wprowadzić dane na stronie bez obaw, że podczas ich przesyłu dojdzie do ich przejęcia czy naruszenia ich integralności.

Certyfikaty SSL mogą kosztować od kilkudziesięciu do nawet kilkuset złotych rocznie. Mogą też być całkowicie za darmo. Co więcej - wersje bezpłatne pełnią te same funkcje i dają takie samo poczucie bezpieczeństwa.

Zarządzanie stroną internetową wymaga jej stałego nadzorowania - także w kontekście wszelkiego rodzaju aktualizacji. Jeżeli w ramach organizacji korzystacie z nieaktualnych pluginów czy szablonów, to być może są one na tyle “dziurawe”, że stanowią “zaproszenie” dla cyberprzestępców. Pamiętaj, że aktualizacje niemal zawsze mają na celu poprawę bezpieczeństwa czy wydajności oprogramowania.

W związku z tym pamiętaj o zadbaniu o aktualizacje:

• systemu CMS - z aktualizacją silników takich jak np. WordPress czy Joomla nie ma co zwlekać. Gdy pojawi się nowy update, warto jak najszybciej go uruchomić. To samo dotyczy wszelkiego rodzaju pluginów, widgetów czy innych rozszerzeń zainstalowanych na stronach internetowych;

• PHP - ten język jest wykorzystywany przez większość stron internetowych. Ma on swoje generacje - obecnie jest to już PHP 8. Jeżeli dalej Wasza strona korzysta z wersji PHP 5, to nie tylko nie korzystacie z wielu udogodnień poprawiających wydajność strony, ale także narażacie się na rozmaite luki bezpieczeństwa (które przecież już zostały usunięte w nowszych generacjach). Warto upewnić się, że hosting oferuje najnowsze wersje interpretera PHP - oraz zadbać o to, aby były one włączone.

• protokół HTTP - do uruchomienia strony internetowej przez użytkownika, konieczne jest nawiązanie połączenia. Wykorzystuje się do tego protokół HTTP. Zadbaj o to, aby na hostingu włączona była jak najnowsza jego wersja. HTTP/2 jest już w użyciu od kilku lat, a obecnie mamy do czynienia z wdrożeniem HTTP/3. Jeżeli strona korzysta z HTTP 1.1 to kwestie bezpieczeństwa i integralności przesyłanych danych pozostawiają wiele do życzenia.

Kopia zapasowa jest w stanie zabezpieczyć na wypadek utraty danych osobowych. Hostingi domyślnie oferują tego typu usługę. W zależności od konkretnego dostawcy, można liczyć na przechowywanie kopii zapasowej przez kilka dni czy nawet przez miesiąc.

Jednak coraz więcej osób ma świadomość, że kopia zapasowa na niewiele się zda w przypadku poważnej awarii hostingu. W związku z tym wielu właścicieli stron wykonuje kopie zapasowe na własną rękę. Oczywiście jest to bardzo dobra praktyka, ale… czy zawsze pamięta się o ich odpowiednim zabezpieczeniu?

Jeżeli nie zadbacie jako podmiot przetwarzający dane o ich właściwe zabezpieczenie i dojdzie do wycieku - to Wy będziecie za to odpowiedzialni.

W związku z tym zadbaj o to, aby ochronić taki backup. Najlepiej przechowywać go lokalnie, w pliku lub folderze zabezpieczonym hasłem. Tak - aby nie doprowadzić do jakiegokolwiek nieautoryzowanego dostępu.

Złośliwe oprogramowanie na komputerze może doprowadzić do wycieku zdjęć, dokumentów czy innych plików z dysku. Podobnie jest w przypadku serwera. Dlatego też firma hostingowa musi dochowywać wszelkich starań, aby zabezpieczyć dyski przed takimi aplikacjami. W końcu złośliwe oprogramowanie pojawiające się na serwerze mogłoby doprowadzić do wycieku danych osobowych.

To jednak nie wszystko. Bardzo istotne jest zabezpieczenie typu WAF. Pod tym skrótem kryje się Web Application Firewall. Jest to zapora chroniąca przed podejrzanymi zapytaniami, które mogłyby być formą ataku na stronę internetową. Warto wybrać hosting, który domyślne oferuje WAF. Pamiętaj, że jest to system, który działa w tle i nie wymaga wykonywania żadnych konfiguracji.

Kolejna kwestia odnosi się do separacji stron internetowych. Dzięki takiemu zabezpieczeniu, w przypadku zainfekowania jednej witryny, złośliwe oprogramowanie nie ma dostępu do innych folderów na serwerze. W związku z tym maleje ryzyko, że wirus na jednej stronie doprowadzi także do zarażenia innych.

Czy wiesz o tym, że do naruszenia ochrony danych osobowych może doprowadzić także źle zabezpieczona skrzynka mailowa? Jeżeli z Waszej domeny zostanie wysłany nieautoryzowany mail mający na celu wyłudzenie takich danych, to - choć formalnie nie macie z tym nic wspólnego - może to dla Was oznaczać spore straty wizerunkowe, nadszarpnięcie zaufania, a nawet możliwość podjęcia kroków prawnych przeciwko Wam.

Tego typu maile to tzw. phishing. Cyberprzestępcy mogą podszywać się pod firmy czy organizacje, wykorzystać jej wiarygodność, aby wyłudzić dane odbiorcy wiadomości. Mail o strukturze łudząco podobnej do Waszej identyfikacji, wsparty nazwą domeny może uśpić czujność klienta.

Żeby się przed tym uchronić, na wybranym hostingu powinny być zainstalowane następujące zabezpieczenia:

• SPF - Sender Policy Framework - czyli zabezpieczenie weryfikujące tożsamość domeny nadawcy. Jeżeli z danego adresu IP nie jest możliwa wysyłka wiadomości, następuje jej odrzucenie.

• DKIM - DomainKeys Identified Mails - czyli protokół wykorzystujący zabezpieczenia kryptograficzne. Weryfikuje ona podpis cyfrowy (z wiadomości) z kluczem publicznym (zawartym w DNS)

• DMARC - Domain-based Message Authentication, Reporting and Conformance - to rozwiązanie udostępniające informacje odnośnie tego, w jaki sposób ma zadziałać serwer w przypadku nieautoryzowanej wiadomości. To właśnie dzięki temu protokołowi można otrzymywać raporty o wszelkich naruszeniach bezpieczeństwa.

Pamiętaj także o tym, że aby chronić dane osobowe przed wyciekiem, każdy z pracowników czy podwykonawców musi zachować wzmożoną czujność. Hosting może oferować niektóre zabezpieczenia, ale nie zawsze są one włączone domyślnie. Nieraz to Ty - lub osoba techniczna w Waszej organizacji musicie poszukać właściwych opcji w panelu czy też skontaktować się z obsługą hostingu.

To jednak nie wszystko. Dobrym rozwiązaniem jest zastosowanie uwierzytelniania dwuskładnikowego podczas logowania się czy to do CMS’a, na konto e-mail czy do panelu zarządzania hostingiem. W takiej sytuacji nie wystarczy wpisanie danych logowania, konieczne jest także wprowadzenie kodu weryfikacyjnego wysyłanego na SMS czy e-mail. W ten sposób cyberprzestępcy będzie znacznie trudniej sforsować zabezpieczenia.

W zakresie ochrony danych osobowych, bardzo wiele zależy od hostingu, na którym utrzymywana jest strona internetowa. Jeżeli oferuje on odpowiednie zabezpieczenia, to ryzyko wycieku jest znacznie niższe - a w konsekwencji oddalasz swojej firmy, organizacji czy instytucji możliwość pojawienia się różnego rodzaju przykrych konsekwencji.