Podporujeme a pomáháme organizovat WordCamp Praha 2021.

Bezpečnost webů

Smutným faktem je, že velká část webových stránek zanedbává bezpečnost a řeší ji až v momentě bezpečnostního incidentu. Jako prevenci můžete využít zkušeností webových specialistl v Lyntu a nechat si zpracovat audit bezpečnosti Vašich stránek.

Z našich výzkumů vyplývá

42 %

Českých e-shopů nepoužívá HTTPS nebo ho má špatně nastavené.

32 %

Českých e-shopů obsahuje bezpečnostní nedostatky různé závažnosti.

10 %

Českých e-shopů obsahuje kritické bezpečnostní chyby.

25 %

Webů v soutěži WebTop100 obsahuje kritické bezpečnostní chyby.
Chci další čísla

přes 300 000

webů prozrazujících kompletní zdrojové kódy a citlivé údaje jsme našli jednoduchým scanem zranitelností

více než 25 000

pokusů o útok zablokujeme každý týden na jediném exponovanějším webu

téměř 2 000

českých WordPress webů bylo 1.9.2020 kompromitováno kvůli neaktualizované verzi nepotřebného pluginu WP File Manager

12 minut

trvá, než na nově spuštěný server v internetu začnou automatizované útoky

většina

WordPress webů nevědomky prozrazuje e-mailové adresy a jména svých uživatelů a komentujících návštěvníků

77 %

českých e-shopů naprosto ignoruje bezpečnostní HTTP hlavičky, které mohou snížit dopady incidentů

Bezpečnostní audit od Lyntu

Jako prevenci před budoucími bezpečnostními incidenty nabízíme službu auditu zabezpečení webových stránek. Tento audit je vhodný ve všech fázích života webu - od fází jeho návrhu, přes audit při spuštění, po pravidelné audity během jeho provozu.

Během auditu otestujeme odolnost webu proti běžným útokům, zkontrolujeme dodržování best practices, ověříme nastavení serveru a zhodnotíme nalezená rizika. Při auditu používáme jak automatizované nástroje (ať už z vlastní tvorby, nebo nástroje prověřené v bezpečnostních komunitách), tak podrobné manuální postupy pro vyhodnocení a ověření jejich výstupů a nalezení méně častých problémů.

Audit je možné provádět jako tzv. blackbox audit nebo whitebox audit. V prvním případě se chováme jako reálný útočník, který na startu o vašem webu a infrastruktuře nic neví. V případě whitebox auditu od vás potřebujeme práva k přístupu do aplikace a k souborům webu - díky tomu můžeme odhalit mnohem více chyb v kratším čase. Můžeme však samozřejmě použít oba postupy.

Každý rok odhalíme a nahlásíme kritické bezpečnostní problémy na tisícovkách webů.

sec-audit

Dopady bezpečnostních incidentů

Únik citlivých a osobních informací 

Útočníci mohou získat veškeré údaje, které evidujete o vašich zákaznících. Mohou však získat i přístup k citlivým dokumentům, které nejsou dostupné ve veřejné části webu. Z kompromitovaných webů často získají i přístupové údaje a tokeny k nejrůznějším dalším službám, které na webu využíváte. Pokud nepoužíváte silné hashování hesel a nedbáte na jejich sílu, mohou útočníci získat hesla vašich uživatelů a pokusit se je použít v jiných službách. Jménem vaší domény se mohou také pokusit o cílený phishing na další vaše zaměstnance.

Poškození důvěryhodnosti reputace

Bezpečnostní incident může mít ohromný dopad na vaši důvěryhodnost, kterou jste si u svých klientů dlouho budovali. Opětovné obnovení důvěry a reputace může být během na dlouhou trať.

Finanční ztráty

Dopady kybernetických útoků mohou mít velké přímé i nepřímé finanční dopady. Vaše služba může být mimo provoz i několik dní. Pokud nemáte dobře vyřešené zálohování, mohla být některá data nenávratně ztracena. Malware mohl být na webu klidně i několik měsíců a během té doby mohl část vašich návštěvníků přesměrovávat na cizí stránky.  Odstranění malware je často časově náročná činnost, která vyžaduje odborný zásah.

Právní problémy

Podle GDPR musí při zpracování osobních údajů  správce zajistit jejich bezpečnost. Pokud dojde k úniku dat vystavujete se pokutě až 20 milionů EUR či 4 % z celkových tržeb. Máte také povinnost jakýkoliv únik osobních údajů hlásit Úřadu pro ochranu osobních údajů do 72 hodin. Pokud provozujete službu pro další subjekty, máte dále jako provozovatel odpovědnost za způsobenou škodu.

Audit bezpečnosti Vám pomůže minimalizovat rizika.

Poptat audit

Oblasti nejčastějších problémů

Chyby v aplikaci

  • Neošetřené vstupy
  • Neprodukční soubory
  • Špatná oprávnění
  • Slabá/výchozí hesla
  • Neaktualizované knihovny
  • Bad Practices

Problémy prostředí

  • Výpisy složek
  • Zobrazení chybových hlášek
  • Špatná izolace webů
  • Zpřístupnění neveřejných částí
  • Neaktualizované komponenty
  • Nešifrované protokoly
  • Služby na dalších portech

Zanedbaná prevence

  • Bezpečnostní hlavičky
  • Hashování hesel
  • Nevhodné role uživatelů
  • Neblokování podezřelých požadavků
  • Nefunkční zálohování

Orientační ceny auditu

Cena se může lišit dle velikosti a složitosti projektu a nutnosti případných dalších konzultací nad výsledky.

Základní

10 - 15 000
Kč bez DPH

Standardní

20 - 30 000
Kč bez DPH

Rozšířený

45 000+
Kč bez DPH
Identifikace technologií
Audit běžných chyb
Dodržování best practices
Audit prostředí
Audit zdrojového kódu
Analýza souvisejcících rizik
Odhad časové náročnosti
6 - 8 hodin
10 - 18 hodin
25+ hodin

Výstupy z auditu

Standradní výstup

  • tabulka výsledkem provedených testů
  • krátká zpráva se základním popisem největších problémů
  • zhodnocení stavu webu a doporučení dalších kroků

Rozšiřující služby

  • podrobná online konzultace výsledků
  • vytvoření kompletní zprávy s doporučeními
  • dohled na realizací oprav

Rozšiřující služby jsou účtovány hodinovou sazbou 1800 Kč bez DPH.

audit-tabulka

Kdo audit provádí?

Specialista na bezpečnost

Ing. Vladimír Smitka

Za provádění bezpečnosntích auditů je v Lyntu zodpovědný Vláďa Smitka.
Vláďa se zabývá počítačovými sítěmi, konfigurací linuxových serverů a webovým vývojem už od roku 2003. O bezpečnosti přednášel na desítkách čekých i světových konferencích, několik let dělal porotce pro technické zpracování webů v soutěži WebTop100 a má za sebou nalezení a nahlášení chyb na stovkách tisíc webů.
Více o Vláďovi

Lynt services s.r.o

Již 8 let vytváříme efektivnější kampaně, zrychlujeme weby a řešíme jejich bezpečnost. Kombinujeme marketing, vývoj a automatizaci.
poptávka služeb
sunmooncloud linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram