На склад или в офис предприниматели подключают охранную сигнализацию, ставят решетки на окнах, запускают дерзких доберманов во двор. Однако про другие вопросы безопасности забывают. Хотя замороженный бизнес из-за взломанного сайта или приложения может нести миллионные убытки. Статья для собственников малого бизнеса, у которых нет IT-отдела.

Опишу 6 факторов, которые могут быть тревожными сигналами для вашего бизнеса. И что с этим делать.

1. Вы используете Open Source библиотеки

Проблема:

Айтишники включаются в противостояние государств, используя свои инструменты.

Или вы можете не очень внимательно прочитать условия использования – и попасть под судебные иски.

Примеры:

• Вредоносное ПО может безвозвратно зашифровать всю файловую систему сайтов и приложений.
• В 33% российского ПО на базе OpenSource есть критические уязвимости.
• Бывают различные виды лицензий на использование Open Source, и с этим могут возникнуть проблемы.

Решение:

• Аккуратно обновлять библиотеки из открытых источников. Кроме того, тестировать обновления в виртуальных средах перед развертыванием на продакшене.
• Внимательно читать лицензионные соглашения и следить за их изменением.

2. Вы используете не обновлённый Bitrix


Проблема:

Если не обновлять вовремя CMS, то можно не только сайт потерять. Возможны и хуже варианты: код на сайте определяет переход из контекстной рекламы и подменяет ваш сайт на сайт конкурента.


Примеры:

• Бэкдор во взломанном 1С-Битрикс.
• 29 июня компания “1С-Битрикс” обнародовала заявление, в котором они объяснили, что в системе отсутствуют критичные уязвимости, и взломать сайты на последней версии Битрикс не представляется возможным. Хакеры использовали уязвимость модуля “vote”, обнаруженную еще в марте. Но не все пользователи обновили свои системы.

Решение:

• Покупать подписку на обновления и стимулировать разработчиков следить за особо важными обновлениями.

3. Вы используете однофакторную авторизацию

Проблема:

Сайты и приложения сейчас используют множество сервисов и API. Но доступ только по паролю – самая слабая из возможных защит (слабее только доступ без пароля).

Примеры:

• 81% вторжений хакеров связаны со слабыми или украденными паролями пользователей. Хакеры применяют различные автоматизированные средства по подбору паролей. Это Брут-форс - атака, направленная на перебор возможных вариантов паролей до тех пор, пока не будет найден правильный вариант.
• Если хранилище веб-сайтов недостаточно безопасно,все пароли во всей базе данных могут быть взломаны сразу, если злоумышленнику удастся проникнуть в систему.

Решение:

• Большинство сервисов сейчас позволяют настраивать многофакторную авторизацию. Не пренебрегайте этим.
• Не используйте одинаковые учетные данные для разных сервисов.

4. Вы не запрашиваете доступы у разработчиков

Проблема:

В Google Play Market есть ключи jks для разработчиков приложения. Они используются для начальной публикации и для выкатки обновлений. Если ключи утеряны – можно попрощаться с развитием приложения, какие-либо обновления для него будут невозможны.

Примеры:

• Вот человек задает вопрос, как восстановить ключи. Ответ – никак. На самом деле можно попробовать через поддержку, но получается не у всех.
• Бывают и ситуации, когда все авторизационные данные потеряны.

Решение:

• Эти ключи надо запросить у разработчиков, если вы заказываете аутсорс-разработку, и хранить у себя.

5. Вы не интересуетесь, как разработчики хранят пароли

Проблема:

В Google Play Market есть ключи jks для разработчиков приложения. Они используются для начальной публикации и для выкатки обновлений. Если ключи утеряны – можно попрощаться с развитием приложения, какие-либо обновления для него будут невозможны.

Примеры:

• Разработчикам проще сделать быстрее, чем безопаснее. Поэтому ключи и пароли могут храниться как угодно и где угодно: например, ленивый программист может настроить авторизацию в админку Bitrix без пароля.
  Пример работы ленивого программиста
• Эксперты Positive Technologies обнаружили проблемы с хранением данных в 20 парах приложений для iOS и Android — в основном банковских. Самая популярная уязвимость мобильных приложений — хранение пользовательских данных в открытом или плохо зашифрованном виде, отмечают исследователи.

Решение:

• Ключи должны храниться в безопасном менеджере паролей. Полезно также иметь доступы разных уровней (от админа до пользователя), чтобы разграничивать права доступа.

6. Вы не используете HTTPS для сайтов

Проблема:

В Google Play Market есть ключи jks для разработчиков приложения. Они используются для начальной публикации и для выкатки обновлений. Если ключи утеряны – можно попрощаться с развитием приложения, какие-либо обновления для него будут невозможны.

Примеры:

• В режиме HTTPS-Only Mode в Firefox браузер заставляет все соединения с веб-сайтами использовать HTTPS.
• Google тоже добавили в веб-браузер Chrome режим только для HTTPS, чтобы защитить веб-трафик пользователей от перехвата путем обновления всех подключений до HTTPS.

Решение:

• Скорее всего, для вашего домена и хостинга можно просто включить это шифрование.

Резюме

Предупрежден – значит вооружен.

Безопасность сайтов и приложений для многих это как бэкапы: после первой потери данных бэкапами занимаются вдумчиво и регулярно.

Занесите эту статью в закладки и вернитесь к ней, когда будет возможность, и проверьте у себя эти проблемы.