Interneto svetainių saugumo rekomendacijos
Interneto svetainė – tai viešai prieinama žiniatinklio paslauga, sudaryta iš įvairių tarpusavyje susijusių techninių komponentų, tokių kaip serveriai, programinė įranga, duomenų bazės ir tinklo infrastruktūra. Šių komponentų veikimas turi užtikrinti svetainės funkcionalumą, paslaugų prieinamumą ir saugų duomenų tvarkymą.
Interneto svetainių saugumas priklauso tiek nuo naudojamos infrastruktūros ir programinės įrangos konfigūracijos, tiek nuo pačios svetainės programinio kodo ir administravimo procesų. Netinkamai sukonfigūruotos arba laiku neatnaujinamos sistemos gali tapti kibernetinių incidentų priežastimi ir sudaryti sąlygas neteisėtai prieigai, duomenų nutekinimui ar paslaugų sutrikdymui.
Nacionalinis kibernetinio saugumo centras (NKSC) periodiškai vykdo Lietuvos interneto svetainių ir viešai prieinamų sistemų saugumo vertinimus automatizuotomis priemonėmis. Vertinimų metu nustatomi žinomi pažeidžiamumai, pasenusios programinės įrangos versijos, netinkamos konfigūracijos ir kiti saugumo trūkumai. Remiantis šių vertinimų rezultatais pateikiame rekomendacijas, kurių įgyvendinimas padeda sumažinti kibernetinių incidentų tikimybę ir sustiprinti interneto svetainių atsparumą kibernetinėms grėsmėms.
Pagrindinės saugumo rekomendacijos
1. Reguliariai atnaujinkite programinę įrangą
Laiku diekite turinio valdymo sistemos (TVS), įskiepių, šablonų, serverio programinės įrangos ir operacinės sistemos naujinimus. Pasenusios arba nebepalaikomos programinės įrangos naudojimas išlieka viena dažniausių sėkmingų kibernetinių atakų priežasčių. Kur įmanoma, rekomenduojame įjungti automatinius saugumo atnaujinimus.
2. Apribokite administravimo prieigą
Administravimo sąsajos turėtų būti prieinamos tik įgaliotiems naudotojams. Rekomenduojame naudoti kelių faktorių autentifikaciją (MFA) ir, esant galimybei, papildomai riboti prieigą pagal IP adresus arba naudojant VPN. Viešai prieinamos administravimo sąsajos didina neteisėtos prieigos riziką.
3. Užtikrinkite tinkamą prieigos valdymą
Naudokite stiprius slaptažodžius, unikalius naudotojų vardus ir reguliariai peržiūrėkite suteiktas prieigos teises. Pašalinkite arba išjunkite numatytąsias (angl. default) paskyras, kurių nereikia sistemos veikimui. Kiekvienam naudotojui turėtų būti suteikiamos tik jo funkcijoms atlikti būtinos teisės.
4. Naudokite HTTPS visose svetainės dalyse
Užtikrinkite, kad svetainėje būtų naudojami galiojantys TLS sertifikatai, o visas duomenų perdavimas vyktų šifruotu ryšiu. Tai padeda apsaugoti perduodamus duomenis nuo perėmimo ir pakeitimo.
5. Mažinkite viešai prieinamų paslaugų skaičių
Jeigu valdote ne tik interneto svetainę, bet ir ją aptarnaujantį serverį, uždarykite nenaudojamus tinklo prievadus, išjunkite nereikalingas paslaugas. Neviešinkite vidinių sistemų internete be poreikio. Taip sumažinamas potencialus atakos paviršius ir galimų pažeidžiamumų išnaudojimo rizika.
6. Vykdykite pažeidžiamumų stebėseną
Periodiškai atlikite svetainės ir susijusių sistemų saugumo patikrinimus bei šalinkite nustatytus pažeidžiamumus pagal jų kritiškumą. Vertinimui galima naudoti tiek organizacijos vidines priemones, tiek išorines saugumo vertinimo paslaugas.
7. Pasirūpinkite atsarginėmis kopijomis
Reguliariai kurkite duomenų ir sistemos konfigūracijos atsargines kopijas bei užtikrinkite jų saugų saugojimą. Taip pat rekomenduojame periodiškai tikrinti, ar kopijos gali būti sėkmingai atkurtos.
8. Naudokite saugumo žurnalus ir stebėseną
Registruokite svarbiausius sistemos įvykius, prisijungimus ir administravimo veiksmus. Nuolatinė stebėsena padeda greičiau aptikti galimus saugumo incidentus ir sumažinti jų poveikį.
9. Naudokite papildomas apsaugos priemones
Priklausomai nuo svetainės svarbos ir rizikos lygio, rekomenduojame naudoti žiniatinklio aplikacijų ugniasienes (WAF), apsaugą nuo DDoS atakų bei kitas papildomas saugumo priemones.
Papildomos organizacinės rekomendacijos
10. Numatykite saugumo reikalavimus kuriant ar įsigyjant interneto svetaines
Interneto svetainių kūrimo, modernizavimo ar įsigijimo pirkimo dokumentuose rekomenduojame iš anksto apibrėžti kibernetinio saugumo reikalavimus, įskaitant saugaus programavimo principų taikymą ir saugumo testavimą prieš sistemos perdavimą eksploatuoti.
11. Planuokite išteklius
Planuojant interneto svetainės eksploatavimą, rekomenduojame numatyti finansinius ir žmogiškuosius išteklius programinės įrangos priežiūrai, saugumo atnaujinimams ir techniniam palaikymui per visą sistemos gyvavimo ciklą.
12. Periodiškai atlikite saugumo vertinimus
Priklausomai nuo svetainės svarbos, tvarkomų duomenų pobūdžio ir rizikos lygio, rekomenduojame periodiškai atlikti pažeidžiamumų vertinimus, saugumo auditus ar kitus saugumo testavimus.
13. Numatykite pažeidžiamumų šalinimo reikalavimus paslaugų teikėjams
Svetainės kūrimo ir palaikymo sutartyse rekomenduojame numatyti paslaugų teikėjo pareigą per sutartą terminą pašalinti nustatytus saugumo pažeidžiamumus ir informuoti užsakovą apie atliktus veiksmus. Visos rekomendacijos









