Ekspert annab nõu, kuidas kaitsta oma veebirakendusi erinevate küberrünnakute eest

Tarkvaradest leitakse pidevalt turvaauke, mida küberkurjategijad üritavad ära kasutada. Selliste rünnakute ennetamiseks tuleks oma veebiserveri tarkvara regulaarselt uuendada. Oluline on tagada veebilehe koodi turvalisus. Üle poolte maailma veebilehtedest on loodud sisuhaldustarkvarade abil, kust leitakse palju turvaauke.

Andmete leke võib ettevõttele tekitada nii mainekahju kui ka suurt rahalist kaotust. Näiteks võivad kurjategijad müüa varastatud ärisaladuse teie konkurendile. Samuti kasutatakse kurjasti ära klientide lekkinud isikuandmeid, neid maha müües või avalikustades. See võib omakorda tuua kaasa Andmekaitse Inspektsiooni uurimise ja trahvi.

Seetõttu on oluline andmeid klassifitseerida. Tasub hoolikalt läbi mõelda, milliseid andmeid on üldse vaja internetis välja näidata ning kas need peaksid olema kättesaadavad kõigile või tuleks osade andmete ligipääsu piirata ainult teatud isikutele. Sellest hoolimata võib juhtuda, et veebilehe turvaaukude kaudu andmed lekivad ja ligipääsupiirangutest õnnestub mööda hiilida.

Kui veebilehele õnnestub sisse murda, võivad kurjategijad selle sisu ära muuta, levitada seal näiteks enda propagandat, soovimatut reklaami või lihtsalt jagada valeinfot, rikkuda andmebaasis olevad andmed ja nõuda lunaraha nende taastamise eest. Lisaks kõigele sellele võivad ründajad muuta veebilehe koodi selliselt, et sinna sisse logides saadetakse kõik kasutajatunnused ja paroolid kurjategijate serverisse, avades sellega neile ligipääsu veebilehe piiratud sisule.

Tihtipeale kasutatakse veebilehti ära pahavara levitamiseks. Veebileht näeb väliselt välja puutumatu ja korras, ent tegelikult laevad selle külastajad endale märkamatult alla pahavara ja nakatavad enda tööjaama. Paljud veebilehed kasutavad JavaScripti, mis käivitub märkamatult kliendi veebibrauseris ja see teeb arvutite nakatamise lihtsamaks. Viirusetõrje siin alati ei aita, sest selle käigus ei pruugigi pahavara alla laadimist toimuda.

Ründajad saadavad veebiserverile suures koguses päringuid, nii et server jääb hätta nendele vastamisega, mistõttu muutub veebileht ka külastajate jaoks väga aeglaseks või täiesti kättesaamatuks. Selliseid Denial of Service (DoS) ründeid sooritatakse peamiselt avaliku sektori ja elutähtsate teenuste osutajate veebiserverite pihta, et halvata sellega ühiskonna elutegevus. Vahel rünnatakse sedasi ka väiksemaid eraettevõtteid, et nõuda neilt lunaraha. Tihtipeale on sellised rünnakud ka edukad, kui ettevõtted ei ole enda kaitsmiseks eelnevalt ettevalmistunud.

Vahel on konkurent väga huvitatud teie ettevõtte veebilehel olevast infost ja laeb pidevalt alla kogu selle sisu või siis olulisemaid andmeid. Näiteks salvestab teie toodete ja hindade infot, et olla pidevalt kursis seal toimunud muutustega. See aga tekitab veebilehele asjatut koormust ja võib anda konkurendile ka eelise äritegevuses.

Interneti sügavustes levitatakse kasutajatunnuste ja paroolide andmebaase. Seal sisalduva infoga võidakse hakata proovima ettevõtte veebilehele sisse logida, lootuses, et mõni parool klapib. Kui näiteks klient kasutab sama parooli mitmes eri kohas, ongi lehele sissepääsemise risk reaalne.

Erinevatel andmetel moodustab rakendustarkvara liidese ehk API kaudu tehtud liiklus juba ca 50-80% kogu veebiliiklusest. Seega ei saa enam mööda vaadata ka API turvalisusest. Peamiselt suhtlevad API kaudu veebirakendused ise. Läbi API on rakendustel väga mugav veebilehelt kätte saada vajalikku infot ja andmeid, et neid töödelda, salvestada ja veebilehel presenteerida. Paraku on seda järjest enam hakanud ära kasutama ka küberkurjategijad.

API on sisuliselt programmikood veebiserveris ja kui arendajad pole selle loomisel piisavalt turvalisusele mõelnud, võibki osutuda võimalikuks selle kaudu saada ligi piiratud ligipääsuga andmetele või neid isegi kustutada.