Skip to main content

Verkkosivun tietoturva yritykselle käytännössä

Jos yrityksen verkkosivu kaatuu maanantaina aamulla, ongelma ei ole vain tekninen. Yhteydenottolomakkeet lakkaavat toimimasta, mainosraha valuu hukkaan ja luottamus ottaa osumaa heti. Siksi verkkosivun tietoturva yritykselle ei ole mikään nörttien sivuprojekti, vaan aivan tavallista liiketoiminnan riskienhallintaa.

Moni pk-yritys ajattelee tietoturvaa vasta sitten, kun jotain menee rikki. Se on vähän sama kuin muistaisi lukita oven vasta varkauden jälkeen. Yrityksen sivusto on käytännössä julkinen järjestelmä, johon kohdistuu jatkuvasti automaattista skannausta, kirjautumisyrityksiä ja hyväksikäyttöyrityksiä - riippumatta siitä, onko yritys iso, pieni tai täysin tuntematon.

Mitä verkkosivun tietoturva yritykselle oikeasti tarkoittaa?

Tietoturva ei tarkoita vain SSL-sertifikaattia ja toivetta siitä, että kaikki menee hyvin. Käytännössä kyse on siitä, että sivusto pysyy saatavilla, data ei vuoda, lomakkeita ei käytetä roskapostiin tai haitalliseen liikenteeseen, eikä sivustolle päästä muuttamaan sisältöä tai lisäämään haittakoodia.

Yrityksen näkökulmasta tärkeimmät asiat ovat yllättävän yksinkertaisia. Sivuston pitää olla ehjä, nopea, valvottu ja päivitettävissä hallitusti. Jos jokin näistä puuttuu, tietoturva alkaa muistuttaa teippiä vuotavan putken ympärillä - ehkä se kestää hetken, mutta ei kovin vakuuttavasti.

Tietoturvassa on myös yksi olennainen ero, joka usein unohtuu. On eri asia estää hyökkäys kuin palautua siitä nopeasti. Hyvä verkkosivun tietoturva yritykselle sisältää molemmat. Kaikkea ei voi luvata estää ikuisesti, mutta vahingot voidaan rajata ja palvelu palauttaa nopeasti ilman kaaosta.

Suurimmat riskit eivät yleensä näytä dramaattisilta

Useimmat yrityssivustojen ongelmat eivät ala näyttävällä hakkerikohtauksella. Ne alkavat vanhentuneesta lisäosasta, huonosti suojatusta lomakkeesta, epäselvästä hosting-ympäristöstä tai siitä, että kukaan ei oikeasti tiedä, kuka vastaa mistäkin.

Erityisen yleinen riski liittyy WordPress-pohjaisiin toteutuksiin, joissa sivusto rakentuu teeman, kymmenien lisäosien ja useiden eri toimittajien varaan. Jokainen lisäosa voi olla uusi hyökkäyspinta. Jokainen päivitys voi rikkoa jotain. Jokainen kiireessä tehty korjaus lisää teknistä velkaa. Lopputulos on tuttu monelle yrittäjälle - sivusto toimii, kunnes ei enää toimi.

Toinen iso ongelma on käyttöoikeuksien hallinta. Vanhoja tunnuksia jää voimaan, salasanoja kierrätetään, ylläpitäjätaso annetaan turhan monelle ja kirjautumissuojaus jää kevyeksi. Kun tähän yhdistetään puutteellinen valvonta, hyökkäys voidaan huomata vasta siinä vaiheessa, kun sivusto lähettää roskapostia tai ohjaa kävijöitä epäilyttäville sivuille.

Kolmas riski on varmuuskopioiden illuusio. Moni uskoo, että varmuuskopiot ovat kunnossa, koska hosting-palvelussa lukee niin. Mutta jos palautusta ei ole testattu, kyse ei ole suunnitelmasta vaan oletuksesta. Näiden kahden välillä on ikävä ero juuri silloin, kun sivusto pitää saada ylös nopeasti.

Verkkosivun tietoturva yritykselle alkaa arkkitehtuurista

Tietoturva ei synny jälkikäteen lisättävistä palikoista. Se alkaa siitä, miten koko sivusto ja infrastruktuuri on rakennettu. Jos perusta on sotkuinen, päälle rakennetut suojaukset ovat lähinnä laastareita.

Hyvä lähtökohta on minimoida liikkuvien osien määrä. Mitä vähemmän tarpeettomia lisäosia, ulkoisia riippuvuuksia ja monimutkaisia hallintakerroksia sivustossa on, sitä vähemmän siinä on kohtia, joista jokin voi pettää. Tämä ei tarkoita sitä, että sivuston pitäisi olla kankea tai rajoittunut. Se tarkoittaa sitä, että tekniikka valitaan tarkoituksen mukaan, ei siksi että joku markkinoi lisäosaa kätevästi.

Hosting-ympäristö vaikuttaa paljon enemmän kuin moni ajattelee. Jaettu, halvin mahdollinen palvelin voi sopia harrasteprojektiin, mutta yrityksen verkkosivulle se on usein väärä säästökohde. Kun ympäristö on hallittu, valvottu ja rakennettu yrityskäyttöön, riskit pienenevät jo ennen ensimmäistäkään tietoturva-asetusta.

Sama pätee datan sijaintiin ja hallintaan. EU-pohjainen hosting ei yksin ratkaise tietoturvaa, mutta se selkeyttää vastuuketjua, lainsäädäntöä ja käytännön hallintaa. Se on järkevää etenkin yritykselle, joka haluaa vähemmän arvailua ja enemmän ennustettavuutta.

Mitkä käytännöt suojaavat oikeasti?

Yrityksen sivustolla tehokkaimmat tietoturvatoimet ovat usein varsin arkisia. Pakotettu kaksivaiheinen tunnistautuminen ylläpitäjille, rajatut käyttöoikeudet, säännölliset päivitykset, palvelintason suojaus, lomakkeiden väärinkäytön esto, lokien seuranta ja toimivat varmuuskopiot tekevät enemmän kuin näyttävät dashboardit, joita kukaan ei seuraa.

Myös jatkuva monitorointi on olennaista. Sivustoa ei pitäisi valvoa vain silloin, kun joku asiakkaista ehtii kertoa että se ei toimi. Saatavuuden, virheiden ja poikkeavan liikenteen seuranta kertoo nopeasti, jos jotain on pielessä. Tämä lyhentää katkoja ja pienentää vahinkoa.

Sisällönhallinnan osalta kannattaa kysyä yksi suora kysymys: tarvitseeko yritys oikeasti avoimen ja raskaan ylläpitojärjestelmän, jos suurin osa sisällöstä muuttuu harvoin? Jos vastaus on ei, myös hyökkäyspinta voi pienentyä merkittävästi. Kaikkea ei tarvitse rakentaa samalla työkalulla vain tottumuksesta.

Tietoturvassa on silti aina kompromisseja. Mitä enemmän vapautta annetaan useille käyttäjille ja integraatioille, sitä enemmän syntyy myös valvottavaa. Esimerkiksi verkkokauppa, ajanvaraus, CRM-yhteydet ja chatbotit tuovat hyötyä, mutta ne vaativat tarkempaa toteutusta kuin yksinkertainen esittelysivusto. Siksi oikea ratkaisu riippuu siitä, mitä sivuston oikeasti pitää tehdä.

Mistä tietää, onko nykyinen sivusto riski?

Jos kukaan ei pysty kertomaan selkeästi, missä sivusto hostataan, miten sitä valvotaan, milloin se on päivitetty viimeksi ja miten palautus tehdään häiriötilanteessa, riski on jo olemassa. Epäselvyys on itsessään ongelma.

Toinen varoitusmerkki on se, että sivusto on hidas, raskas ja riippuvainen suuresta määrästä lisäosia. Hitaus ei ole vain käyttökokemusongelma. Se kertoo usein myös teknisestä kuormasta, joka tekee ylläpidosta vaikeampaa ja virheherkemmää.

Kolmas merkki on reaktiivinen toimintatapa. Jos sivustoa korjataan vain silloin, kun jokin hajoaa, yritys ei käytännössä hallitse verkkosivuaan - se vain reagoi siihen. Liiketoiminnan kannalta tämä on kallis tapa toimia, koska ongelmat näkyvät yleensä ensin liideissä, myynnissä ja asiakkaiden luottamuksessa.

Miksi jatkuva ylläpito on osa tietoturvaa

Kertaprojektina rakennettu verkkosivu vanhenee nopeasti. Ei siksi, että internet olisi dramaattinen paikka, vaan siksi että ohjelmistot, selainympäristöt, integraatiot ja hyökkäystavat muuttuvat jatkuvasti. Tietoturva ei siis ole yksi tehtävä projektin lopussa, vaan jatkuva toimintamalli.

Tässä kohtaa moni yritys törmää samaan ongelmaan. Sivusto on kyllä olemassa, mutta omistajuus on hajallaan. Freelancer ei enää vastaa viesteihin, hosting on jonkun vanhan kumppanin nimissä, päivitykset jäävät tekemättä ja pienistä ongelmista kertyy ajan myötä iso riski. Teknisesti tämä on huono tilanne. Liiketoiminnallisesti vielä huonompi.

Jatkuva ylläpito toimii silloin, kun vastuut ovat selvät. Kuka valvoo, kuka reagoi, kuka päivittää ja kuka palauttaa palvelun, jos jokin menee pieleen? Kun nämä asiat ovat sopimuksella ja prosessilla hoidettu, tietoturva muuttuu abstraktista huolesta käytännön hallinnaksi. Ilman draamaa, mikä on useimmiten aliarvostettu ominaisuus.

Verkkosivun tietoturva yritykselle on myös myynnin suojaa

Tämä jää usein sanomatta liian teknisissä keskusteluissa. Tietoturva vaikuttaa suoraan siihen, paljonko yritys menettää rahaa häiriöissä ja kuinka luotettavalta se näyttää asiakkaiden silmissä. Jos yhteydenottolomake ei toimi, tarjouspyynnöt eivät tule perille. Jos sivu ohjaa väärään paikkaan tai näyttää selaimessa varoituksia, moni poistuu heti. Jos sivusto on alhaalla kampanjan aikana, markkinointi maksaa silti.

Siksi tietoturvaa kannattaa arvioida samalla tavalla kuin muitakin liiketoiminnan kriittisiä järjestelmiä. Ei kysymällä, mikä on halvin tapa julkaista sivu verkkoon, vaan kysymällä mikä ratkaisu pitää sivuston toimivana, turvallisena ja hallittavana myös kuuden ja kahdenkymmenenneljän kuukauden päästä.

Monelle pk-yritykselle järkevin ratkaisu ei ole rakentaa omaa teknistä osaamista talon sisään, vaan hankkia kumppani, joka hoitaa sivuston infrastruktuurin, valvonnan, ylläpidon ja reagoinnin yhtenä kokonaisuutena. Kun sama taho vastaa kokonaisuudesta, syyllisten etsimiseen ei kulu aikaa silloin kun pitäisi korjata tilanne. Tässä mallissa toimii myös Netvoiman kaltaisen kumppanin ajatus: sivusto ei ole kertaluonteinen tiedosto, vaan jatkuvasti hoidettava liiketoiminnan väline.

Jos verkkosivusi tuo liidejä, tukee myyntiä tai kantaa yrityksesi uskottavuutta, sen tietoturvaa ei kannata jättää arvailun varaan. Yksinkertainen, hallittu ja valvottu ratkaisu on yleensä halvempi kuin yksi huonosti ajoittunut häiriö.