Про эффективные меры безопасности сайтов можно говорить только если безопасность - комплексная. Комплексная безопасность складывается из набора технических средств защиты, которые настраиваются специалистами по безопасности и огранизационных мер защиты, которые внедряются и поддерживаются на регулярной основе владельцем или менеджером сайта.
Организационные меры защиты позволяют не только минимизировать риск взлома хакерами и хакерскими ботами, но и снизить риски раскрытия чувствительных/конфиденциальных данных, и исключить заражение сайта вирусами по вине сторонних специалистов, например при обращении в digital-агентства, веб-студии и к фрилансерам.
К нам в “Ревизиум” регулярно обращаются владельцы взломанных и зараженных сайтов. В результате аудита веб-ресурса и анализа логов в 1 из 8 случаев оказывается, что причиной взлома и заражения стали сторонние специалисты, которые не соблюдали технику безопасности при работе с сайтами.
Даже если сайт не содержит уязвимостей (например, реализован на безопасной CMS) или хорошо защищен техническими средствами, его могут взломать и на нем могут появиться вирусы. Поэтому крайне важно, чтобы сам владелец сайта был достаточно активно вовлечен в процесс работы с веб-студиями, агентствами или фрилансерами. Памятка, приведенная ниже, поможет существенно минимизировать риск взлома и заражения сайтов по вине подрядчиков.
Памятка по работе со сторонними специалистами
- Работайте по договору («подряда», «на оказание услуг»). Не используйте шаблонные договоры, примеры из интернета или от самих подрядчиков, в них не прописаны детали и будет крайне трудно доказать свою правоту в суде. В общем договоре должны обязательно быть определены:
- виды и объем работ,
- срок выполнения работ,
- стоимость,
- процедура сдачи-приемки,
- ответственность и штрафы.
- Для договора подряда обязательно оформляйте “Соглашение о конфиденциальности” (NDA). В “Соглашении…” обязательно должны быть:
- обозначены стороны соглашения,
- перечислена информация которая является конфиденциальной,
- прописано, что является разглашением информации,
- прописана ответственность за разглашение, как правило финансовая — в виде штрафа,
- прописаны сроки действия соглашения,
- прописано применимое законодательство к соглашению.
- Для договора на оказание услуг обязательно оформляйте “Соглашение о конфиденциальности” и “Соглашение об уровне оказания услуг” (SLA). В “Соглашении об уровне оказания услуг” должно быть прописано:
- определение услуги или сервиса,
- рабочее время подрядчика,
- время реакции на обращение,
- время решения проблемы,
- время жизни инцидента,
- уровни сервиса / метрики сервиса (аварийный, средний, низкий),
- перечень мероприятий, выполняемый в рамках договора.
- Управляйте доступами, которые передаете подрядчикам:
- Доступы передаются с минимально-необходимыми привилегиями
- Доступы выдаются на минимально-необходимый специалисту срок
- Каждому специалисту должен быть создан отдельный доступ к сайту
- По завершении работ необходимо удалить созданный аккаунт или сменить пароль от аккаунта
- Пароли должны быть случайными комбинациями букв/цифр/спецсимволов, длиной не менее 8 символов
- На хостинге и в CMS должны быть включены журналы (логи) операций
- Проводите аудит после завершения работ подрядчиком. Аудит отвечает на вопросы:
- Проверяем, какие файлы появились, насколько они безопасны.
- Проверяем, какие файлы изменились, насколько безопасны изменения.
- Выполняем сканирование файлов, страниц и базы данных на вирусы и хакерские скрипты.
- Желательно сделать тест на проникновение (“пентест”) для обнаружения новых уязвимостей или проблем конфигурации.
- Проверяем доступы в панели хостинга, не появились новые пользователи или новые аккаунты.
- Проверяем администраторов сайта в панели CMS, не добавились ли новые.
Все что перечислено выше можно сгруппировать в “три кита” организационных мер защиты сайта от взлома:
- Детальное юридическое оформление отношений с подрядчиком
- Управление доступами
- Аудит после проведения работ
Если самостоятельно вы не готовы на должном уровне принимать перечисленные меры, рекомендуем обратиться к соответствующим специалистам, которые помогут с составлением договора, сопровождением и аудитом сайта.
Комментарии