Verkkosivuston kehittämisen tietoturvakäytännöt

Abstract

Tämän opinnäytetyön aiheena on verkkosivustojen tietoturva. Tavoitteena oli selvittää, mitä kaikkia tietoturvaan liittyviä käytänteitä tulisi ottaa huomioon verkkosivustoja kehittäessä. Käytänteitä selvitettiin tutkimalla tietoturvaan liittyvää kirjallisuutta ja raportteja sekä lähestymällä aihetta erilaisten kyberhyökkäysten näkökulmasta. Hyökkäyksiä tutkittaessa pyrittiin asettumaan hyökkääjän rooliin ja selvittämään, miten hyökkäys suoritetaan. Tällä tavalla saatiin selville, mitä vaiheita hyökkäyksessä on, miten hyökkäykseltä voidaan puolustautua sekä kuinka pahaa vahinkoa hyökkäys voi potentiaalisesti aiheuttaa.

Työssä käsitellään ja annetaan esimerkkejä yleisimmistä kyberhyökkäyksistä sekä annetaan ohjeita, miten niiltä voidaan puolustautua. Lukijalle pyritään antamaan käsitys kyberhyökkäysten toiminnasta, vaarallisuudesta sekä yleisyydestä.

Tutkimuksessa esitellään monia erilaisia tapoja puolustautua kyberhyökkäyksiltä. Suuri osa niistä on tärkeitä tai erittäin tärkeitä tietoturvan kannalta, kun taas osa on enemmänkin suositeltavia käytänteitä, jotka eivät kokonaan estä kyberhyökkäystä, vaan vaikeuttavat hyökkäyksen tekemistä tai onnistumista. Osa suojautumiskeinoista saattaa olla haitallisia. Esimerkiksi käyttäjätilin lukitseminen epäonnistuneiden sisäänkirjautumisyrityksien jälkeen mahdollistaa palvelunestohyökkäyksen tekemisen.

The topic of this thesis is the cybersecurity of websites. The objective was to find out what kind of cyber security practices should be considered when developing a website. The practices were discovered by examining cyber-attacks and by reading cyber security related literature and reports. The examination of cyber-attacks was done mainly from the perspective of the attacker to identify the stages of the attack and how damaging it can potentially be.

The thesis gives examples of the most common cyber-attacks and how to defend against them. The intention is to give the reader an understanding of the logic behind the attacks, how dangerous they can be and how common they are.

Most of the discovered security practices are either important or very important for the security of a website. Some practices are recommended while some can be detrimental. For example, login lockdowns make it possible to launch a denial-of-service attack.