Niekedy sa tvorba úplne nového webu či aplikácie nevyplatí a je vhodnejšie siahnuť po zabehnutom projekte s dobrou doménou. Na čo si treba dať pozor z bezpečnostného hľadiska?
Bezpečnosť na prvom mieste
Pri kúpe online projektu je prvoradou jeho bezpečnosť. Nejde však iba o bezpečnosť samotného know-how, ale aj infraštruktúry a údajov, ktoré daný projekt spracúva. Existuje hneď niekoľko aspektov online bezpečnosti, na ktoré by ste pri kúpe nemali zabúdať.
Bezpečnostný projekt
Zo zákona je prevádzkovateľ online systému povinný mať vypracovaný bezpečnostný projekt, okrem iného v prípadoch, ak informačný systém spracúva osobitné kategórie osobných údajov a je pripojený na internet.
Pokiaľ sa teda rozhodnete pre kúpu už zabehnutého online systému, ktorému zo zákona vyplýva povinnosť pre vytvorenie bezpečnostného projektu, informujte sa o jeho vypracovaní. Nezabudnite tiež skontrolovať, či bezpečnostný projekt spĺňa všetky podmienky vymedzené zákonom vrátane tých, ktoré o chvíľku vstúpia do platnosti (GDPR) a aký je aktuálny vzhľadom na stav a funkcie skúmaného systému.
Penetračný test
Jedným z ukazovateľov úrovne zabezpečenia je aj penetračný test (pentest). Samozrejme len v prípade, že po jeho absolvovaní majiteľ online projektu aj „zaplátal“ diery, ktoré jednorazový bezpečnostný test odhalil. Jeho nevýhodou je však už spomínaná jednorazovosť. Pri pridaní nových funkcií a súčastí systému je nutné test opakovať, prípadne zaručiť bezpečnosť nových doplnkov pomocou iných foriem testovania – napríklad cez tzv. bug bounty programy aké ponúka Hacktrophy.
TIP na článok: Hackerské útoky sa týkajú aj slovenských a českých firiem
Pri kúpe online projektu sa nebojte predávajúceho opýtať na dátum posledného penetračného testovania a nechajte svojho programátora prezrieť (so súhlasom predávajúceho), či boli nájdené chyby naozaj opravené.
Pravidelná aktualizácia softvéru
Jedným z najčastejších zdrojov bezpečnostných rizík je neaktuálny softvér. Ide najmä o operačné systémy počítačov a serverov, ktoré obsluhujú celý online systém. Pravidelným aktualizovaním softvéru dokážete predísť mnohým bezpečnostným kolíziám. Pokiaľ daný systém beží na CMS systéme, nezabúdajte ani na aktualizáciu jeho jadra a pluginov.
Neaktuálny softvér treba skontrolovať, či neobsahuje nejaké známe bezpečnostné chyby alebo nedostatky a v prípade záujmu o kúpu daného projektu požiadať predávajúceho, aby softvér čo najskôr aktualizoval.
Ak ide o svojpomocne vyvíjané riešenie, na vyhľadanie bezpečnostných zraniteľností slúžia už spomenuté penetračné testy a bug bounty programy.
Pokiaľ je súčasťou systému doplnok, ktorý obsahuje bezpečnostnú dieru, no jeho autori neponúkajú jej odstránenie, treba porozmýšľať nad použitím alternatívy. Pre kupujúceho to zároveň znamená dodatočné náklady.
Riadenie prístupu a zmluvná zodpovednosť
Prístup k jednotlivým funkciám online systému by mali mať len zamestnanci, ktorí s nimi priamo pracujú. Ak web či aplikácia, ktorú chcete kúpiť, neobsahuje systém práv a limitov prístupov k citlivým údajom zo strany zamestnancov a iných používateľov, mali by ste žiadať jeho vytvorenie. Prípadne sa mu ihneď po kúpe venovať, čo opäť ale predstavuje dodatočné náklady.
TIP na článok: 20 krokov ako zlepšiť bezpečnosť vášho e-shopu
Ak v rámci kúpy napríklad e-shopu preberáte aj jeho zamestnancov, je dôležité vedieť, že jednou z najčastejších príčin bezpečnostných incidentov je práve nedbanlivosť zamestnancov a ich nedostatočné vzdelanie v oblasti online bezpečnosti.
I preto by ste sa pri kúpe projektu mali zaujímať o frekvenciu školení na tému bezpečnosti a pravidlám zamestnancov s ich priamou zodpovednosťou za prácu s citlivými údajmi. V ideálnom prípade spoločnosť integruje zodpovednosť zamestnancov priamo do ich pracovnej zmluvy a stanoví aj finančné pokuty za porušenie vopred stanovených pravidiel.
Bezpečnosť dodávateľov a partnerov
Zmluvnú zodpovednosť za dodržanie bezpečnostných pravidiel by mala mať spoločnosť vytvorenú aj v otázke dodávateľov tovaru a služieb. Sústrediť sa treba najmä na „online cesty“, ktorými tečú osobné údaje spoločnosti a jej zákazníkov, teda na služby internetových providerov a poskytovateľov online riešení.
V tomto prípade je na mieste aj otázka toho, ako sú zabezpečené vaše dáta na serveroch tretích strán. Nebojte sa túto otázku položiť vašim obchodným partnerom a dožadujte sa zvýšenia bezpečnosti v prípade, že nie sú dodržané základné pravidlá a princípy online bezpečnosti.
Platobné brány
Pokiaľ sa rozhodujete o kúpe e-shopu alebo inej webstránky, ktorá ponúka aj predaj nejakých produktov alebo služieb, informujte sa o platobnej bráne. Dôležitý je nielen postup jej výberu, ale najmä vlastnosti, ktoré ponúka. Prvá otázka by mala samozrejme smerovať na zabezpečenie a jeho možnosti. Zistite si, aké bezpečnostné opatrenia daná platobná brána poskytuje.
Šifrovanie
Bez šifrovania to dnes jednoducho nejde. Okrem základného šifrovaného pripojenia zákazníka vo forme HTTPS protokolu je nutné šifrovať aj dáta v úložisku počítačov a serverov. Citlivé údaje jednoducho nemôžu byť uložené nezašifrované, inak môže prípadný kybernetický útok spôsobiť škody, ktoré môžu byť pre vašu spoločnosť likvidačné.
Pri šifrovaní je nutné používať šifry vyššej úrovne, ktoré sú pre hackerov veľmi ťažko rozlúštiteľné. Ak sa chcete dostať do tajov šifrovania, odporúčame vám tento prehľadný článok.
Záloha dát
Dáta sú jednou z najdôležitejších komodít, ktoré v prípade online projektu kupujete. Hoci ich zálohovanie priamo nespadá pod online bezpečnosť, je prinajmenšom rovnako dôležité. Najmä po kybernetickom útoku alebo chybe hardvéru či softvéru a náprave napáchaných škôd.
Miesto zálohy by malo byť oddelené od bežného úložiska a zálohovať by ste mali všetky dáta vrátane logov. Aj pri zálohovaní je nutné uplatniť dostatočné šifrovanie, a to najmä v prípade, keď ukladáte zálohy na cloudové úložisko alebo virtuálny disk.
Myslieť treba aj na to, že kúpou online projektu na vás prechádzajú všetky zákonné povinnosti, pričom si treba vykomunikovať a zazmluvniť všetky aspekty odovzdania a výmazu dát z úložísk predávajúceho.
Kompletné a prehľadné právne dokumenty
Čo nie je na papieri, neplatí. S bezpečnosťou priamo súvisí aj to, čo obsahujú všetky zmluvy zviazané s online projektom. Prejdite ich jednu po druhej a dbajte najmä na dokumenty súvisiace s celkovou bezpečnosťou projektu a ochranou osobných dát. V tomto prípade je vhodné využiť aj služby skúseného právnika.
TIP na článok: Zodpovednosť firiem za ochranu osobných údajov sa sprísni. Je na to vaša spoločnosť pripravená?
Nezabudnite ani na historický aspekt a preverte, či spoločnosť, od ktorej sa snažíte kúpiť online projekt, nemala v minulosti nejaké problémy s bezpečnosťou alebo s ochranou citlivých dát. Únik takýchto dát má vždy za následok poškodenie reputácie, a tým aj zníženie trhovej ceny webu či aplikácie. Ak predávajúci mal podobné problémy, zaujímajte sa, ako boli riešené a aké opatrenia sa spravili na zabránenie ich opakovaniu. Pri kúpe projektu žiadajte od predávajúceho právnu a finančnú zodpovednosť za skryté problémy a ich následky.
To je všetko?
Ani zďaleka nie. Pri kúpe online projektu musíte dbať aj na ďalšie parametre a ukazovatele. Sú to napríklad typy používaných systémov (napr. projekt postavený na WordPresse býva viac zraniteľný), vek hardvérových zariadení, či možnosti pre ďalšie rozširovanie bezpečnosti a funkcií (napr. využitie VPN). Čím viac zo spomínaných aspektov bude daný online projekt spĺňať, tým viac ušetríte pri jeho ďalšom rozvoji a prevádzkovaní.
TIP na článok: 10 faktov, ktoré by ste mali vedieť o IT bezpečnosti
To, že bezpečnosť online projektov netreba podceňovať, podkladajú aj čísla z nášho minuloročného prieskumu. V ňom sme od lokálnych spoločností zistili, že až 16 % z nich sa už stalo terčom kybernetického útoku. Priemerná výška škôd napáchaných zlými (tzv. black-hat) hackermi pritom predstavuje v európskom SMB sektore až 86 000 EUR. Výhodnejším je rozhodne testovanie pomocou bug bounty programov, v ktorých firmy platia len za reálne bezpečnostné nedostatky odhalené etickými hackermi.