Állandó veszélyben a kisvállalati honlapok

Minden harmadik kisvállalat weboldalán súlyos vagy közepes besorolású biztonsági hiba mutatható ki. A tátongó biztonsági réseket kihasználva percek alatt komoly, akár a vállalkozás teljes működésére kiterjedő károkat lehetne okozni. Száz kisvállalati honlap vizsgálatából az is kiderült, hogy az egyedi fejlesztésű weboldalak egyáltalán nem garantálnak nagyobb biztonságot.

Az illúziók vége – a racionalitás kezdete –
úgy tűnik el az ESG, hogy velünk marad?

Klasszis Fenntarthatóság 2025 konferencia

2025. november 4., Budapest

Jelentkezzen most!

Néhány perc és feltörik a honlapunkat - Kép: Pixabay

Minden harmadik honlap könnyű prédának bizonyult azon a biztonsági teszten, melyen száz kisvállalat honlapját vizsgálta a WebRontgen.hu 2014. június végén. A teszt célja a kisvállalati weboldalak általános biztonsági szintjének felmérése volt. Az eredmény a szakembereket is meglepte. (A helyzetet súlyosbítja, hogy a magyar kkv-k többsége alulbecsüli, milyen nagy veszély fenyegeti őket az internet világából.)

„A vizsgált száz honlap 33 százalékánál találtunk olyan hibát, ami a nemzetközi besorolási rendszerek szerint közepesnek vagy súlyosnak minősül! A súlyos hibákról általánosságban elmondható, hogy tulajdonképpen azonnal kihasználhatóak, ha van ilyen, akkor 5 perc alatt feltörhető az oldal. Ha közepes besorolású hibákból van néhány, akkor egy kicsit komolyabb tudással olyan információkhoz juthat a hacker, amelyek alapján már sikeres támadást lehet indítani” – magyarázta Csermák Szabolcs, a biztonsági tesztet vezető etikus hacker.

Egy-két hiba, és oda az üzlet

A hibaszázalék az elmúlt egy évben készült oldalak esetében volt a legalacsonyabb, itt az oldalak 25 százalékán volt közepes vagy súlyos biztonsági rés. Az 1–3 éve készült honlapoknál ez az arány már 41 százalékos volt, az 5 évnél régebben fejlesztett weboldalaknak pedig 60 százaléka törhető fel minimális tudással 15 perc alatt. Egy feltört weboldal a legjobb esetben használhatatlanná váló céges honlapot, rosszabb esetben pedig komoly üzleti károkat jelent:

“Az úgynevezett SQL injection végrehajtásával a támadó például hozzáférhet a teljes adatbázishoz is, meghamisíthatja vagy ellophatja azt. A weben kívül mérhető károkra lefordítva ez azt jelenti, hogy a támadás során hozzáférhetnek az ügyfeleink adataihoz, egy webshop esetében például nemcsak ügyfélkörünk név szerinti listáját, hanem azok korábbi vásárlási tevékenységeit is látni fogják. Sajnos volt rá példa, hogy így tettek tönkre egy céget” – mondta Csermák Szabolcs.

Az üzleti titkokhoz is hozzáférhet bárki
Míg a hazai kkv-k egynegyedénél fordul elő, hogy bizalmas információt tartalmazó iratok maradnak szem előtt az irodában, addig az angol cégeknek csupán 8 százalékánál eshet ez meg. Az is igaz, hogy nálunk kétszer nagyobb az aránya azoknak a vállalkozásoknak, ahol nincs előírás az effajta iratok kezelésére.
Mindez óriási erkölcsi és anyagi kockázatot jelent. Ráadásul a kisvállalkozásoknál gyakori, hogy nem is igen, vagy csak nagyon sokára veszik észre, hogy támadás érte az oldalt. Emiatt gyakran fordul elő az a kellemetlen helyzet, hogy egy vevőtől, vagy üzleti partnertől hallanak a problémáról. (Egy másik felmérés eredményei szerint az adatszivárgásból, adatlopásból eredő anyagi károk 39 százalékát az alkalmazottak nem megfelelő informatikabiztonsági tudása és felkészületlensége okozza.)

Nem feltétlen biztonságosabb, ami drága

A tesztelés során kiderült: míg az egyedi fejlesztésű, jellemzően drágább honlapok több mint fele sérülékeny, addig a nyílt forráskódú tartalomkezelő rendszerekre építő – esetleg azon belül valamilyen saját fejlesztésű modult is tartalmazó – weboldalak esetében mindössze 20–29 százalékos ez az arány.

“Tévhit, hogy az egyedi fejlesztésű honlapok biztonságosak. Míg az egyedi honlapokat egy-két programozó készíti, addig például a nyílt forráskódú WordPress tartalomkezelő motoron több ezer fejlesztő közössége dolgozik folyamatosan, ami törvényszerűen biztonságosabb rendszert eredményez. A forráskódot bárki megnézheti, így sokkal gyorsabban kiderülnek a hibák, amiket nagyon gyorsan ki is javítanak.” – mondta Csermák Szabolcs.

Rendszeresen frissül a honlapja? Nem? Akkor Ön védtelen!

Bár feltörhetetlen oldal nem létezik, a szakember szerint akár néhány egyszerű lépéssel  jelentősen megnehezíthetjük a támadóink dolgát. A honlapmotor rendszeres frissítése a legfontosabb. Tovább növelhetjük a biztonságot néhány beállítással, és pár – legtöbbször ingyenes – plugin, azaz segédprogram telepítésével.

Legegyszerűbb helyzetben a nyílt forráskódú rendszerre épített oldalak tulajdonosai vannak, mert az újabb verziókban már benne van az automatikus frissítés. Az egyedi fejlesztésű oldalakkal nehezebb a helyzet. Ott csak rendszeres teszteléssel lehet védekezni, azaz egy etikus hackernek át kell nézni az oldalt, van-e rajta kiskapu. Vagy nagykapu.

Félnek a cégek, de még nem eléggé
Egyre több vállalat állítja, hogy a személyes mobil eszközök munkahelyi használata (BYOD) veszélyt jelent rájuk nézve, mégis kevesen tervezik, hogy korlátozásokat vezetnek be a személyes eszközök használatára.

Véleményvezér

Orbán Viktor barátjához menekült Magyarország egyik legkeresettebb, körözött bűnözője

Orbán Viktor barátjához menekült Magyarország egyik legkeresettebb, körözött bűnözője 

Nagy kérdés, miként sikerülhetett elmenekülnie a magyar maffiafőnöknek?
Burgonya kilója 30 forintért

Burgonya kilója 30 forintért 

A politikusok kedvence lesz a krumpli, rég lehetett ilyen olcsón osztogatni.
Hadházy Ákos kormányzati plakátokra ragasztja véleményét

Hadházy Ákos kormányzati plakátokra ragasztja véleményét 

A plakáthelyekre fókuszálódott a választási kampány.
Gulyás Gergely ismét egy otromba butaságot mondott

Gulyás Gergely ismét egy otromba butaságot mondott 

Gulyás Gergely Miniszterelnökséget vezető miniszter sokszor hadilábon áll a valósággal.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo