Tietoturva ProcessWiressä
Tietoturva ja tietovuodot ovat olleet lähivuosina tapetilla todella taajaan. Tietomurtoja on ollut useissa palveluissa, jotka sisältävät arkaluontoisia tietoja, kuten terveystietoja, uskonnollisia tietoja tai muita henkilötietoja, jotka voisivat vahingoittaa yksilön arkea ja elämää. Avaamme tekstissä hieman Huiman asennetta tietoturvaan liittyen. Spoiler, tietoturva on meille tärkeä asia.
Tietoturva ja tietovuodot ovat olleet lähivuosina tapetilla todella taajaan. Tietomurtoja on ollut useissa palveluissa, jotka sisältävät arkaluontoisia tietoja, kuten terveystietoja, uskonnollisia tietoja tai muita henkilötietoja, jotka voisivat vahingoittaa yksilön arkea ja elämää. Esimerkkinä mm. Vastaamon tietovuoto Suomessa ja Punaisen Ristin tietojen säilyttäjän tietovuoto Sveitsissä.
Tietomurrot ja tietoturvaloukkaukset ovat lisääntyneet räjähdysmäisesti pandemian alkuajoista. Ihmisten siirtyminen etätöihin laajentaa merkittävästi hyökkäyspintaa, jota ulkopuoliset tekijät voivat käyttää hyödykseen. Pelkästään kiristysohjelmilla oli 151% kasvu vuonna 2021.
Mitä tietovuoto voi aiheuttaa?
Suomessakin on ollut lähivuosina muutamia varoittavia esimerkkejä siitä, mitä tietovuoto voi aiheuttaa. Vakavin tietovuoto on se, kun yksityisen ihmisen henkilökohtaiset terveystiedot joutuvat vääriin käsiin. GDPR:n sääntöjen mukaan tietovuodoista pitää ilmoittaa välittömästi, kun sellainen huomataan.
Tietovuodon seurauksena yritykselle koituu mittavia kuluja ja sakkoja ja se voi pahimmassa tapauksessa päätyä lopettamaan toimintansa. Tämän lisäksi yksityishenkilöiden tietojen vuotaminen voi aiheuttaa erittäin pitkä-aikaisia ja mittavia haittavaikutuksia sekä psyykkisesti, että rahallisesti. Linkin takaa näet mitä henkilökohtaisesti tunnistettaviin tietoihin (PII) kuuluu.
Miten minä voin vaikuttaa tietoturvaani?
Suurin haavoittuvuus tietoturvassa ei ole tietokoneet, järjestelmät tai heikot ohjelmistot. Suurin haavoittuvuus olet sinä, eli käyttäjä. Me täällä Huimassa pidämme huolen siitä, että tekemämme verkkosivut ja palvelut ovat tietoturvallisia. Sinä voit auttaa itseäsi ja pitää henkilökohtaiset tietosi ja pankkitunnuksesi turvassa olemalla valppaana. Hyvät ohjeet oman tietoturvan parantamiseen löytyy kyberturvallisuuskeskuksen verkkosivuilta.
Miten tietoturva tukee tietosuojaa?
Aiemmassa tekstissä avasin hieman GDPR:ää ja tietosuojaa. Hyvät tietoturvakäytännöt mahdollistavat turvallisen tietosuojan toteuttamisen. Tietoturvallinen tiedonhallinta ja tietojen säilytys on kaiken tietosuojan ydintä ja ProcessWire tukee tätä ajatusmaailmaa hyvin. Käyttäjistä kerätään vain se tieto, mikä on palvelun kannalta välttämätöntä ja tätä tietoa säilytetään mahdollisimman turvallisessa ympäristössä. Henkilötunnusta esimerkiksi ei koskaan saisi säilöä sen oikeassa muodossa, vaan se voidaan esimerkiksi anonymisoida, jonka jälkeen alkuperäistä henkilötunnusta ei voi selvittää.
Henkilökohtaisesti tunnistettavien tietojen vuotoa voidaan estää, kun verkkosivujen taustajärjestelmän (backend) tietoturva on hoidettu hyvin. Mieti esimerkiksi, jos järjestelmään syöttämäsi henkilötiedot tai sinun terveyshistoriasi vuotaisivat väärien ihmisten käsiin.
Usein kirjautumisiin vaaditaan seuraavat tiedot ja niiden vuotaminen voi aiheuttaa suuriakin riskejä: nimi- ja osoitetiedot, syntymäaika, salasana, sähköpostiosoite. Tämä mahdollistaa jo monenlaiset hyökkäykset, kuten jos esimerkiksi käytät samaa sähköpostia ja salasanaa muissa palveluissa, ne pitäisi vaihtaa välittömästi. Tiedot vuotavat usein laajalle alueelle ja niitä voi hyödyntää kuka tahansa.
Miksi ProcessWire on tietoturvallinen?
Meillä on monta syytä miksi käytämme ProcessWireä pääasiallisesti ja yksi niistä on tietoturva. ProcessWire on rakennettu tietoturvallisesti alusta lähtien ja me täällä Huimassa haluamme myöskin toteuttaa sivustomme samalla periaatteella. Tietoturvallisuuden saavutamme tekemällä itse käsin suuren osan lisäosista ja moduuleista. Tämä takaa sen, että taustajärjestelmään ei pääse huonosti tehtyjä lisäosia, joiden tietoturva on heikkoa ja tuki on loppunut. (Krhm, Wordpress ja vimpaimet)
- Vähän addoneita, vimpaimia ja moduuleja. Jos moduuleja käytetään, ne on tarkastettu ja todettu tietoturvallisiksi.
- Monivaiheinen kirjautuminen. Esimerkiksi tekstiviestillä tai sovelluksella saatava kirjautumiskoodi.
- Tiedot voidaan säilöä tietokantoihin paikallisen tiedostojärjestelmän sijaan.
- Hyvät lokityökalut, joilla nähdään kaikki mitä sivustolla on käyttäjien toimesta tehty. Tämä on tärkeä työkalu väärinkäytösten seurantaan.
- Verkkosivut toimivat aina salatulla TLS-yhteydellä, joten ulkopuoliset eivät pääse urkkimaan salasanoja kirjautumisvaiheessa.
- ProcessWire estää salasanojen massahyökkäykset, eli erilaisten käyttäjätunnus/salasana -yhdistelmien kokeilut.
- Täysin frontendistä eristetty admin ympäristö
- ProcessWiren taustajärjestelmä tarkistaa aina käyttäjän syöttämät tiedot ja estää haitallisten koodinpätkien syöttämisen verkkosivuille.
Entä ne muut?
- Wordpress. Wordpress on niin suosittu alusta, että sen haavoittuvuuksien tarkistamiseen on kehitetty oma ohjelma. WPScan. WPScanin avulla voi nopeasti skannata verkkosivut ja tarkastaa yleisimpien haavoittuvuuksien varalta. Työkalua voi käyttää kuka tahansa, joten kannattaa pitää verkkosivut ajan tasalla. WordPress julkaisee tietoturvapäivityksiä (https://wordpress.org/news/category/security/) tietyin väliajoin ja koittaa paikata haavoittuvuuksia. Tämän lisäksi käyttäjän pitäisi aina muistaa päivittää widgetit, eli “vimpaimet”. Widgetit avaavat aina uusia tapoja korkata sivusto.
- Joomla. Joomla on myös yksi suosituista alustoista verkkosivuille. Joomla myöskin päivittää järjestelmäänsä tietyin väliajoin ja raporteista näkee, että useat päivitykset ovat tulleet paikkaamaan suuria puutteita. (https://developer.joomla.org/security-centre.html)
- Drupal. Drupalin päivityksissä on ollut muiden tapaan paljon haavoittuvuuksia lähivuosina. Suuri osa niistä on ollut kohtalaisen kriittisiä tai krittisiä. (https://www.drupal.org/security)