Dnevi »garažnih« internetnih mojstrov so minili

Stanje “na terenu” jasno kaže, da za varnost ni dobro poskrbljeno, za kar so seveda odgovorni tudi razvijalci spletnih strani, je danes na okrogli mizi Ali veste, da ste odgovorni za varnost na spletu dejal vodja nacionalnega odzivnega centra SI-CERT Gorazd Božič. Večina lastnikov spletnih mest, pa naj gre za posameznika ali podjetja, tako s.p.-je kot manjša, pa ne razmišlja o varnosti. Lani so na SI-CERT-u obravnavali več incidentov kot v letih 2010 in 2011 skupaj. V enem letu je pri nas 1500 spletnih strani malih podjetij in obrtnikov doživelo razobličenje ali drugo obliko vdora v strežnik. Po besedah Božiča, v manjših podjetjih ali društvih velikokrat izberejo znance za oblikovanje in izdelavo spletnega mesta. Tak »prijateljev sin« se sicer spozna na računalnike, bo pa morda naslednje leto recimo odšel na študijsko izmenjavo v tujino ravno, ko bo spletno mesto odpovedalo. Priložnostni izdelovalec spletnih mest morda pozna le eno samo platformo ter se ne more in ne zna prilagoditi potrebam posameznega naročnika. Dejstvo je: dnevi »garažnih« internetnih mojstrov so minili, spletnega mesta se je treba lotiti z ustrezno profesionalno podporo.

Letos prvo leto prav sedaj uradno poteka mesec evropske kibervarnosti, v katerem sodeluje 25 evropskih držav. Prav ta teden je posvečen povečanju ozaveščanja varnosti lastnikov spletnih strani malih podjetij. Na okrogli mizi je bila glavna tema poudariti pomen in nevarnosti, ki se lahko zgodijo popolnoma vsakomur, ki ima spletno stran, ne glede na to, ali gre za manjše podjetje, blogera ali društvo. Uroš Čimžar, direktor Klaro skupine, ki vključuje še podjetji Domovanje in Domenca, je poudaril, da v podjetju ukrepajo takoj, ko je vdor zaznan. »Eno okuženo spletno mesto lahko vpliva na slabo delovanje vseh ostalih v omrežju, zato naš nadzorni sistem tako spletno mesto takoj izklopi in obvesti naročnika, da mora okužbo in ranljivost odpraviti. Veliko naročnikov tega ne zna ali noče ter tako le zbrišejo okužen del spletne strani, ranljivost pa ostane.« Izpostavil je še, da so tudi zaradi tega poiskali usposobljene podizvajalce, kamor takšnega naročnika lahko napotijo. Vendar niti to ne zadostuje, zato so uvedli tudi “pravilo treh napak”. Če se naročniku takšna napaka ponovi trikrat, mu odpovejo gostoljubje. Varnost in kakovost storitev za ostale stranke ima pri njih prednost pred dodatnim prihodkom, ki bi ga s takšno stranko ustvarili.«

Novinar in urednik 24ur na Pop TV Denis Oštir je dejal, da se lastniki podjetij zelo slabo zavedajo pomena varnosti na spletnih straneh oz. se zavedajo šele, ko se kaj zgodi. Ob tem je podal primerjavo, da je spletna varnost je podobna poplavni varnosti. »O poplavi poročamo le, ko je pol Ljubljane pod vodo.«

Tudi IT novinar Miran Varga je potrdil, da je informacijska varnost odgovornost vseh, tako lastnikov, informatikov kot tudi zaposlenih. Je pa človek vedno najšibkejši člen. Po njegovem mnenju pomaga le izobraževanje, saj krepi zavedanje. Dodal je še, da podjetja, ki se jim zgodi vdor, nimajo želje, da bi so to razvedelo.

Direktorica podjetja Mimovrste.com Lea Benedejčič je dejala, da je varnost za njih zelo otipljiva in vanjo zelo veliko vlagajo. Zato jim je zagotavljanje varnosti pri spletnem nakupu ključnega pomena in zajema več področij, kot le samo varnost kupca ob oddaji spletnega naročila. Zelo spremljajo, in to redno, tudi varnost zaposlenih. Poudarila je še, da morajo biti kot spletna trgovina nenehno, saj vsak izpad storitve pomeni velik izpad prihodka, eno uro merijo že v škodi petmestnih številk.

Pravnik, specialist za informacijsko pravo iz JK Skupine Matija Jamnik pa je o pravni odgovornosti dejal, da je imetnik strani lahko soodgovoren za škodo od trenutka, ko je z vdorom seznanjen in ne ukrepa. Vprašanje, s katerim se bodo srečala sodišča, ko/če bodo presojala v takih zadevah, pa je, kaj pomeni “nemudoma”, glede na to, da odstranitev posledic vdora ni nujno enostavno opravilo. Na to, ali lahko dobi kazen nekdo, če ne poskrbi za informacijsko varnost, pa je pojasnil: »Teoretično bi lahko šlo za kaznivo dejanje, če bi bilo zaradi pasivnosti ponudnika ogroženo premoženje velike vrednosti. To kaznivo dejanje je namreč mogoče storiti tudi iz malomarnosti, torej nenamerno. Zagrožena je kazen do enega leta zapora, če pa dejansko pride do škode, pa do pet let. Sem pa skeptičen, če bi tožilci tako ravnanje prepoznali kot kaznivo. Tako da če govorimo o odgovornosti ponudnika, moramo razmišljati predvsem o odškodninski odgovornosti.«

Dogodek sta organizirala SI-CERT in podjetje Domovanje. Pred okroglo mizo je bilo tudi srečanje spletnih razvijalcev na temo Kako varno programirati in postaviti spletne strani, kako prodati vzdrževanje spletnih strani, predstavljene pa bodo tudi vrste zlorab, primeri in posledice.

SI-CERT je nacionalni center za odzivanje na omrežne incidente. Opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih.

Klaro skupina združuje podjetja Domovanje, ki je v 10 letih delovanja postala pri nas največji slovenski ponudnik spletnih storitev za mala podjetja, podjetje Domenca, ki je največji slovenski ponudnik registracij domen in ima največjo izbiro domenskih končnic, več kot 200, sodelujejo z največjimi slovenskimi podjetji ter podjetje Klaro spletna agencija.