Er din webløsning sikker?

Websikkerhed

Sikkerhed til ehandelsplatforme, websites og andre webløsninger

IT- og web-sikkerhed

Arbejdet med sikkerhed kan virke uoverskueligt og til tider som et sisyfosarbejde, og det gælder uanset om man blot har et simpelt lille website eller en stor kompleks ehandelsløsning. Verden ændrer sig hele tiden og nye sårbarheder opdages hele tiden, så hvis et website ikke jævnligt bliver testet og opdateret, vil det uvægerligt ende med at blive usikkert og sårbart.

Men modsat Sisyfos behøver man ikke at stå alene med opgaven, og man behøver ikke at starte forfra hver gang - en løsning vil være mere sikker efter en tur gennem den velkendte sikkerhedscyklus: test, rapportering og udbedring, end den var før. Det er her Novicells sikkerhedsafdeling kan hjælpe, ikke bare med test og rapportering men også som sparringspartner i forbindelse med udbedring af svagheder.

Hvad er risici/konsekvenser ved at blive hacket?

Man hører ofte om datalækager, GDPR-relaterede bøder, produktionsstop og tab i omsætning, og det er selvfølgelig blandt de mest åbenlyse konsekvenser af et hackerangreb, men der kan — afhængigt af angrebets omfang — også være konsekvenser for ens kunder og/eller medarbejdere samt deres tillid til virksomheden.

Da det praktisk talt er umuligt at sikre sig 100%, så er risikostyring et emne, man ikke bør overse. En løsning bygget efter alle kunstens regler vil ikke bare have et højt niveau af sikkerhed, men vil også forsøge at mindske risici i tilfælde af, at uheldet er ude. Både Novicells tilstandsrapport og pentest er med til at afdække og synliggøre, hvordan disse risici styres og giver et grundlag for yderligere arbejde med dem.

Kunderne siger...

”Vi behandler vores kunders data ordentligt, og derfor er det vigtigt for os at kunne stå inde for sikkerheden. Vi brugte Novicell som sparringspartner på sikkerheden omkring vores webløsning, og samarbejdet har været tillidsfuldt og konstruktivt fra start til slut.” Peter Halkjær Kragelund, Seniorkonsulent og IT projektleder, Virkplan

IT-sikkerhed til websites og webshops

Novicell er eksperter i webudvikling, drift og test, hvilket vi nyder godt af i forbindelse med vores arbejde med sikkerhed. Vi trækker på erfaring fra mere end 270 dygtige kollegaer fra hele Europa og over 500 komplekse webløsninger, derfor er det ikke afgørende om dit website eller din webshop er bygget i Umbraco, Drupal, SiteCore, Dynamicweb, WordPress eller et af de hundredvis af andre CMSer — eller om det er helt hjemmestrikket.

Novicells Websikkerhedsydelser

Penetrationstest

En penetrationstest (pentest) er et godkendt, simuleret og kontrolleret cyber-angreb på dit website, der foretages med henblik på at afdække sårbarheder, der kan udnyttes i et rigtigt angreb til at opnå uautoriseret adgang til dine data, systemer og din IT-infrastruktur.

Pentests bør udføres regelmæssigt — gerne en gang i kvartalet — som en del af en løbende risikovurdering at dit websites sikkerhed. Ingen software er skudsikker og nye sårbarheder identificeres uafbrudt. Regelmæssige pentests hjælper med at sikre, at websitets sikkerhed holdes ajour.

Du vil, efter en afsluttet pentest, få en rapport, der — udover et generelt overblik — går i dybden med de ting vi har fundet, kommer med forslag til prioritering samt hvad, der evt. kan gøres for at forbedre situationen. Denne rapport vil også indeholde teknisk dokumentation, så de, der skal implementere løsningerne, har det bedst mulige udgangspunkt. Og er det ikke nok, så er vi kun en email eller et telefonopkald væk.

Sådan forløber en pentest af dit website

  1. Sammen aftaler vi rammer for testen.
  2. Pentesten afvikles indenfor det aftalte tidsrum.
  3. En udførlig, men overskuelig, rapport over sårbarheder — samt mulige tiltag for at udbedre dem — udarbejdes baseret på de opdagelser vi har gjort.
  4. Rapporten overleveres og udbedringer kan begynde.

Vi står selvfølgelig klar med svar og vejledning under hele processen, hvis behovet skulle vise sig.

Værktøjer til Pentesting

Når vi pentester benytter vi os af frit tilgængelige Open Source-værktøjer. Vi sværger ikke til ét bestemt værktøj, men prøver derimod at vælge det, der bedst løser opgaven. Dog er der fundamentale gengangere som f.eks. Kali Linux, OWASP ZAP, Metasploit og nmap. Ligeledes benytter vi os af information om sårbarheder fra flere frit tilgængelige kilder såsom MITREs CVE-liste, VulDB og Snyk. Alt dette er tilgængeligt for alle med en computer og en netforbindelse, så hvis vi kan få hul igennem med det, så kan andre selvsagt også.

Tilstandsrapport af dit website

Novicells tilstandsrapport kan sammenlignes med den velkendte tilstandsrapport på boligmarkedet, som har til formål objektivt at beskrive en bygnings tilstand. Vores tilstandsrapport vurderer standen af koden på dit website ud fra nogle forskellige synsvinkler:

  • Sikkerhed
  • Vedligeholdelsesegnethed
  • Struktur

Ud fra de betragtninger kan man komme med nogle vurderinger om styrker og svagheder i kodebasen, mængden af teknisk gæld, hensyn og tilgang til sikkerhed, og meget mere. Også her trækker vi på Novicells mange og alsidige udviklere og den store samlede erfaring med udvikling.

Især, hvis et projekt skal skifte hænder, kan det være fordelagtigt med en nogenlunde objektiv afklaring af kodens stand, der kan fungere som fælles referencepunkt i overdragelsen. Det er faktisk så god en idé, at vi også selv bruger det i Novicell, når vi overtager udvikling af en løsning.

Hvorfor lave en tilstandsrapport på en kodebase?

Der kan være mange grunde til at få kigget en kodebase igennem i sømmene, bl.a.:

  • I forbindelse med overdragelse (køb/salg).
  • Efter/i slutningen af større udviklingsprojekter.
  • Ved omstrukturering af systemet.
  • Når man står med begrænsede resurser og skal vælge et fokus for udvikling.
  • Som hjælp til at lægge en strategi for at slippe af med legacy-kode.

Forløb for en tilstandsrapport

  • Vi får adgang til kodebasen eller en kopi af den.
  • Vi analyserer.
  • En rapport med et bredt overblik samt en mere detaljeret gennemgang af betragtninger udfærdiges.
  • Rapporten afleveres.

Værktøjer vi bruger til at udforme en tilstandsrapport

Vi bruger blandt andet en OWASP-udvidet version af SonarQube til at analysere kodebasen med. Det giver en kvantitativ analyse med ekstra fokus på sikkerhed, som former grundlaget for en mere kvalitativ analyse, der laves på baggrund af vores store samlede erfaring med udvikling. Derudover kan der, afhængigt af programmeringssproget, anvendes forskellige specialiserede værktøjer til analyse af koden.

Kan Novicell sikre mit gamle website?

Det er der en god chance for. Det er de færreste websites, der ikke kan sikres på en eller anden måde. Hvis du er i tvivl om, hvordan du skal gribe det an, så kontakt os og så kan vi i fællesskab tage bestik af situationen og udarbejde en plan for at implementere en proces for sikkerhed på dit website.

Har du brug for en dialog om sikkerheden i din webløsning?