Företag och organisationer missar ofta att hålla koll på säkerheten på sina sajter. Tidigare var inte det något allvarligt problem – en attack mot sajten sänkte den, men det var sällan någon kom åt någon annan information.

Så ser det inte ut längre. I takt med att kunderna förväntar sig tjänster och interaktivitet när de går in på en företagssajt så blir den också en port in för hackare av olika slag.

Läs mer: Handel med stulna kreditkortsuppgifter blir mer avancerad

Men det här är något som många företag inte förstår vidden av. De litar på de webbyråer de anlitar men de brister alltför ofta när det gäller säkerhetstänkande. Det anser Charlie Svensson som är konsult på säkerhetsföretaget Sentor.

– Jag skulle säga att över hälften av de sajter vi testar är öppna för exempelvis cross-site scripting som används för att länka in skadlig kod och som också kan användas för att fjärrstyra besökarnas webbläsare.
Han berättar om företag som aldrig testat säkerheten under de tre år de haft sin sajt uppe.

– Så kommer vi och testar och inser att det gått att hacka den från dag ett. Vi vet att internet ständigt skannas av och då är det inte frågan om det läckt ut grejer från databasen – frågan är i det läget hur mycket som är ute och var det finns.

Läs mer: Så undanröjs tillfället för datatjuvarna

Parallellt med att hemsidorna utvecklats och blivit mer sammankopplade med de interna systemen än tidigare så har också trycket på utvecklare ökat. Det gör att de som arbetar på webbyråerna inte alltid har koll på hur man bygger för att klara säkerheten.

– Ibland kanske man låter en praktikant hjälpa till – men att kunna programmera är inte samma sak som att förstå hur man undviker sårbarheter, säger Charlie Svensson.

Receptet för att slippa obehagliga överraskningar är inte så komplicerat egentligen – det handlar om att följa de ramverk som finns när man bygger sajterna.

– Kunderna måste också bli mycket bättre beställare. I dag finns inte ens säkerhet med i avtalet när man anlitar en webbyrå, eller så står det en svepande formulering om att ”säkerheten ska vara god”.

Hur god säkerhet ska tolkas har Charlie Svensson hört jurister från kunden och jurister från webbyrån diskutera under de rätt stela möten som blir resultatet av en utläckt databas.

– I stället bör kunden kräva att sajten säkerhetstestas, både under arbetet
och efteråt, säger han.

– Det är ett kontinuerligt arbete.

Vilka företag är det då som drabbas? Sällan de allra största – där finns rutiner på plats.

– De minsta har vi sällan som kunder, så det vet jag inte riktigt. Bland medelsmå till medelstora företag är nog denna sortens problematik absolut vanligast – men den förekommer överallt, hela vägen upp till giganterna, säger Charlie Svensson.

Fakta

- SQL injection-brister som läcker ut databasinnehåll till angripare eller låter angripare kapa servern, vilket öppnar upp för djupare intrång.
- Cross-site scripting är ständigt aktuellt. Används för att länka in skadlig kod som virus och trojaner. Kan även utnyttjas för att fjärrstyra besökarnas webbläsare.
- Brister i patchningsrutiner och webbramverksplugins av tveksam kvalitet. Ibland ändrar man plugins efter egna ändamål så att de blir inkompatibla med originalpluginet, varefter man inte kan säkerhetsuppdatera sina plugins automatiskt längre.
- Att driftsätta mjukvarukomponenter som inte säkerhetstestats.
- Egna osäkra kryptolösningar, som innebär att angripare kan komma åt känslig information eller ta sig förbi inloggningar och liknande.
- Man tillåter okontrollerade filuppladdningar, vilket resulterar i att angripare kan köra godtycklig kod på servern
- Bygger egna implementationer av komplicerade protokoll som SOAP, SAML eller OAuth, vilket nästan alltid resulterar i att viktiga detaljer förbises och lösningen blir osäker.
Källa: Sentor