Как защитить сайт компании от утечки персональных данных?

В ноябре 2018 года произошла одна из самых массовых утечек персональных данных. По сведениям The Guardian, жертвами хакеров стали 339 млн гостей отелей Marriot, а сама международная сеть была оштрафована на $130 млн.

Правда, утечку допустила не только она. Известны случаи похищения персональных данных как у крупных компаний, вроде British Airways, Uber и Ozon, так и у малых. Только вот большинство небольших предприятий о кибербезопасности даже не думают.

По сведениям аналитиков CSID, 52% малых компаний не вкладывают средства в снижение киберрисков. Они полагают, что не хранят никакой частной информации вопреки сведениям о том, что злоумышленники чаще воруют данные карт, которые используются при совершении покупок онлайн, а не в точках продаж.

Где сайт может быть уязвим?

Чаще всего слабости веб-ресурса встречаются в четырех местах:

1. система управления сайтом — сюда относится административная панель, ftp и панели управления хостингом;
2. сервер, на котором расположен веб-ресурс, — на обычном хостинге, как правило, находится множество ресурсов, взломав один, хакеры могут добраться и до остальных*
3. платформа (CMS), на которой построен веб-ресурс, — например, wordpress, joomla;
4. программные модули, подключенные к сайту, и модули, необходимые для расширения и/или использования ее возможностей, так называемые плагины.

Как защитить сайт от злоумышленников?

• Генерируйте надежные пароли с помощью специальных программ, а для их хранения используйте специальные сервисы, например, Passwork. Кроме того, не храните их просто на компьютере и в браузерах.
• Если ваши пароли записаны в Google-таблицы, чего я делать не рекомендую, не вздумайте делать их доступными по ссылке. Периодически проверяйте, у кого есть доступ к файлу, а также по максимуму защитите свой Google-аккаунт. Стоит его взломать, и все ключи доступа перейдут к злоумышленникам вместе с персональными данными клиентов.
• Ограничьте круг администраторов сайта.
• Регулярно обновляйте программное обеспечение, так как большинство атак производится через уязвимости в устаревшем ПО.
• Обеспечьте защиту компьютера администратора сайта антивирусной программой.
• Позаботьтесь о создании резервной копии сайта. Замечательно, если хостинг будет делать это автоматически. Удостоверьтесь, что у вас есть доступ к резервным копиям и вы можете их восстановить.
• Отслеживайте предупреждения безопасности в панелях вебмастеров «Яндекс» и Google.
• Если на вашем сайте предусмотрена функция оплаты, то как минимум используйте безопасный протокол шифрования данных (HTTPS) или надежные внешние сервисы оплаты. Если же вы хотите полноценной защиты для данных ваших посетителей, то пользуйтесь платными SSL-сертификатами. Они и поисковикам нравятся, и вызывают доверие у пользователей.
• Используйте системы управления сайтом со встроенной системой защиты. Как правило, у надежных систем предусмотрена единая система авторизации пользователя, разграничение прав доступа, возможность шифрования при передаче данных, двойной контроль критически важных участков ввода данных.
• Для профилактики уязвимостей установите мониторинг сайта на вирусы, изменение содержимого и доступность.
• Поставьте антиспам (лучше незаметный для пользователя) на все формы сайта, в том числе на формы ввода пароля. К примеру: CleanTalk Anti-Spam. От взлома это не защитит, но нагрузку на сервер и администратора, который его чистит, может значительно снизить.
• Сразу же меняйте пароли, если сотрудник, ответственный за сайт/соцсеть/сервис, сменил место работы, а также регулярно это делайте для профилактики взлома.

Главная же рекомендация для российских компаний — заботиться о сохранности паролей не только сайта, но и корпоративных соцсетей, электронной почты, Wi-Fi.

Как показывает практика нашей компании, в России за этим почти не следят, а куски доступов к аккаунтам разбросаны по разным сотрудникам, вплоть до того, что не остается ни одного сотрудника, который бы их знал.

Чтобы этого не случилось, структурируйте информацию обо всех аккаунтах в одном месте, разместите их в хранилище паролей с шифрованием и меняйте все пароли не реже, чем раз в три месяца.

Фото в тексте и на обложке: Unsplash