Seravon Tietoturvatakuu

Tämä kuvaus kertoo, mikä on Tietoturvatakuu Seravolla, ja miten toimimme, jos sivustolla havaitaan tietoturvapoikkeama. Noudatamme näitä vaiheita havaitessamme tai saadessamme ilmoituksen asiakkaan verkkosivuston tietoturvaan liittyvästä ongelmasta, esimerkiksi haittakoodista sivustolla.

1. Havainto ja reagointi
2. Välittömät toimet ja sivuston sulkeminen
3. Tietoturvatutkinta
4. Sivuston puhdistus
5. Raportointi
6. Sivuston palauttaminen toimintaan

Tietoturvatakuu on kiinteä osa Seravon hostingpalvelua, ja kuuluu jokaiseen WordPress-palvelupakettiin.

Seravon Tietoturvatakuuseen ei sisälly vahingonkorvausvastuuta rikollisen toimista, vaan erillisen tietoturvavakuutuksen voi hankkia vakuutusyhtiöltä niin halutessaan.

Esimerkkejä tietoturvapoikkeamista

Luvattoman pääsyn seurauksena sivustolla ilmeneviä haittoja voivat olla esimerkiksi:

• Haittakoodi sivustolla
• Piilotettu roskasisältö
• Sivusto lähettää roskapostia tai phishing-viestejä
• Sisältöjen luvaton muokkaus tai lisääminen
• Asiakastietojen vuotaminen
• Maksutietojen kaappaaminen

Kokemustemme mukaan yleisin syy WordPress-sivustoihin kohdistuviin hyökkäyksiin ja tietoturvapoikkeamiin on yleensä syynä liian heikko tai vuotanut salasana. Tietoturvan kannalta riskejä ovat myös vanhentuneet tai epäluotettavat lisäosat tai teemat. Siksi palvelussamme tarvittavat päivitykset onkin huomioitu, ja kriittiset tietoturvapäivitykset tehdään järjestelmäasiantuntijoidemme toimesta. 

Tietoturvatutkinnan vaiheet

1. Havainto ja reagointi

• Havainto: Tietoturvaongelma voidaan havaita joko järjestelmiemme löytämänä haittakoodina, asiantuntijoidemme toimesta, tai asiakkaan ilmoituksen perusteella. Skannaamme sivustot haittakoodin varalta päivittäin. Suosittelemme ilmoittamaan meille aina, jos sivuston toiminta herättää huolta mahdollisesta tietoturvaongelmasta.
• Reagointi: Tietoturvatutkinnan vasteaika on ensisijainen käyttämämme mittari (SLO). Vasteaika kuvaa havainnon tekemisen ja toimiin ryhtymisen välistä aikaa, eli sitä, kuinka nopeasti järjestelmäasiantuntijamme reagoivat tietoturvapoikkeamiin. WP Start, WP Pro ja WP Business -palvelupaketeille vasteaika on seuraava arkipäivä, WP Corporate ja WP Enterprise -palvelupaketeilla vasteaika on puolestaan 4 tuntia.

2. Välittömät toimet ja sivuston sulkeminen

Kun poikkeama on vahvistettu, Seravo ryhtyy välittömiin toimenpiteisiin sivuston ja sen tietojen suojaamiseksi:

• Sivusto suljetaan välittömästi, jotta vahinko ei pääse leviämään: sivuston PHP sammutetaan, ja se asetetaan huoltotilaan (maintenance).
• Sivuston tila varmuuskopioidaan (myös mm. prosessilistat, lokit, muuttuneet tiedostot).
• Sivuston tekniselle yhteyshenkilölle ilmoitetaan ongelmasta sähköpostitse.

Tietoturvapoikkeaman ilmetessä sivusto joudutaan sulkemaan, sillä haittakoodin suorittaminen palvelussamme on ehdottomasti kielletty. Mitä pidempään hyökkääjillä on pääsy sivustolle, sitä enemmän vahinkoa sivustolla voidaan saada aikaan. Sivuston sulkemisella pyritään siis minimoimaan riski, että sivustolle koituisi enempää haittaa.

Sivuston tilan jäädyttäminen on välttämätöntä lisävahinkojen estämiseksi. Pyrimme ratkaisemaan tietoturvapoikkeamien aiheuttamat vahingot mahdollisimman pian aukioloaikojemme puitteissa.

3. Tietoturvatutkinta

Tietoturvatutkinnan aikana ongelma kartoitetaan, haittakoodi poistetaan ja raportti lähetetään asiakkaalle. Jos Seravon Tietoturvatakuu on voimassa (lue lisää alla), on Tietoturvatutkinnan aikana ongelma kartoitetaan ja raporttia varten kerätään tarvittavat tiedot.

Tietoturvatutkintaan (ja sitä seuraavaan sivuston puhdistamiseen) käytettyä aikaa ei aina voida arvioida tarkasti etukäteen, mutta viestimme tilanteen etenemisestä.

Tutkinnan päätteeksi otamme yhteyttä asiakkaaseen sähköpostitse, jossa varmistetaan suostumus sivuston puhdistamiseen tai muiden toimenpiteiden suorittamiseen, ja ilmoitetaan puhdistustyöstä mahdollisesti koituvista lisämaksuista.

Tietoturvatutkinta (ja puhdistus mahdollisesta haittakoodista) voivat kestää kokonaisuudessaan useamman päivän. Aikataulu riippuu murron tekotavasta ja sivustolla käytetyistä komponenteista. Tietoturvatutkinta tapahtuu normaalien työaikojen puitteissa, tyypillisesti arkisin klo 9-17 välillä.

4. Sivuston puhdistus

Tutkinnan jälkeen mahdollinen haittakoodi poistetaan sivustolta. Puhdistuksen tavoitteena on haittakooditon sivusto.

Jos Seravon Tietoturvatakuu on voimassa, on sivuston puhdistaminen haittakoodista asiakkaalle ilmaista.

Jos Tietoturvatakuu ei ole voimassa, ja ongelma on ilmennyt Seravosta riippumattomista syistä (esim. liian heikko salasana, haittakoodi jo ennen Seravolle siirtymistä, vastoin Seravon ohjeistusta toimiminen), haittakoodi puhdistetaan sivustolta erikseen laskutettavana asiantuntijatyönä, tai asiakkaan tulee itse puhdistaa sivusto.

Seravon Tietoturvatakuun voimassaolo

• Tietoturvatakuu on voimassa: Murtautuminen sivustolle tapahtuu asiakkaaseen liittymättömistä syistä, kaikista Seravon suojauksista huolimatta: esimerkiksi tietoturva-aukko tunnetussa lisäosassa, jota ei ole ehditty kehittäjien toimesta korjaamaan. Tietoturvatutkinta ja sivuston puhdistus mahdollisesta haittakoodista on asiakkaalle veloitukseton.
• Tietoturvatakuu ei ole voimassa: Murtautuminen tapahtuu Seravoon liittymättömistä syistä (esim. liian heikko tai vuotanut salasana, haittakoodi sivustolla jo ennen Seravolle siirtymistä, liian laajojen käyttäjäoikeuksien salliminen sivustolla, asiakkaan pakottama turvaton lisäosa, tai muutoin vastoin Seravon ohjeistusta toimiminen). Sivuston puhdistus mahdollisesta haittakoodista on tällöin asiakkaalle maksullinen asiantuntijatyöhinnaston mukaisesti.

Sivuston puhdistus tapahtuu normaalien työaikojen puitteissa, tyypillisesti arkisin klo 9-17 välillä.

5. Raportointi

Tietoturvatutkinnan ja sivuston puhdistuksen päätteeksi asiakkaalle toimitetaan raportti. Sen sisältö on kuvaus siitä, mitä sivustolla tapahtui, mitä sivustolta löydettiin ja mitä toimenpiteitä tehtiin. Raportti sisältää myös esim. lokimerkinnät havainnoista.

6. Sivuston palauttaminen toimintaan

Kun tietoturvaongelma on todistetusti poistunut sivustolta, se palautetaan toimintaan ja avataan uudelleen käyttäjille. Ilmoitamme myös asiakkaalle sähköpostitse, kun sivusto on jälleen toiminnassa.

Tietoturva Seravolla

Seravon Tietoturvatakuu ja sivuston puhdistus haittakoodista ovat vain osa kokonaisuutta, jolla sivustosi tietoturvasta huolehditaan Seravon hostingissa. Osana Seravon palvelua ja hyvää tietoturvaa ovat myös:

• Sovelluspalomuuri (WAF)
  • Suodattaa haitallista liikennettä sivustollesi ennen kuin liikenne saavuttaa WordPress-asennuksesi.
• Automaattiset varmuuskopiot 30 päivän ajalta
  • Sivusto varmuuskopioidaan automaattisesti kerran vuorokaudessa, tyypillisesti yöaikaan. Jokainen varmuuskopio on saatavilla 30 päivän ajan.
• Etävarmuuskopiot (nk. offsite backup)
  • Palvelinsaliin kohdistuvien uhkien varalta sivusto varmuuskopioidaan myös fyysisesti erilliseen sijaintiin.
• Kirjautumispommitusten esto
  • Sivustosi kirjautumissivu (wp-login.php) on suojattu väsytyshyökkäysten (brute-force) varalta.
• Suojaus palvelunestohyökkäyksiltä
  • Seravon palvelussa palvelunestohyökkäyksiin reagoidaan välittömästi, jotta sivustosi pysyisi saatavilla. Tavoitteemme on, että sivustosi toimii normaalisti, vaikka hyökkäys olisi käynnissä. Ilmoitamme myös sivuston tekniselle yhteyshenkilölle, jos sivuston havaitaan olevan hyökkäyksen kohteena.
• Kriittiset tietoturvapäivitykset viipymättä
  • Seravo seuraa tarkasti viimeisimpiä haavoittuvuuksia ja niihin julkaistuja korjauksia, ja tekee tarvittavat päivitykset esimerkiksi lisäosiin ja varusohjelmiin.

Tutustu myös Usein kysyttyä tietoturvasta -sivuun ja tietopankkimme ohjeisiin.

Tietoturvaongelmien ennaltaehkäisy

Kehotamme asiakkaitamme tutustumaan hyviin tietoturvakäytäntöihin mahdollisten tietoturvaongelmien estämiseksi. Vaikka Seravo pyrkii tekemään tietoturvasta huolehtimisesta mahdollisimman vaivatonta, on monia toimia, joilla sivuston omistajat voivat parantaa sivustojensa tietoturvaa. Hyviksi todettuja varautumiskeinoja ovat esimerkiksi: 

• Riittävän vahvat salasanat
• Salasanamanagerin käyttö
• Kaksi- tai monivaiheinen todennus sisäänkirjautumisille (2FA, MFA)
• Ei turhia tai vanhentuneita WordPress-käyttäjätilejä
• Vähimpien oikeuksien periaatteen noudattaminen, ei jaettuja käyttäjätunnuksia
• Sivuston kirjautumislokien ajoittainen tarkistaminen
• Luotettavien lisäosien ja teemojen käyttö

Seravon WordPress-palvelun asiakkaan velvollisuuksia on eritelty tarkemmin palvelumme toimitusehdoissa. Annamme mielellämme neuvoja ja ohjeita tietoturvasta ja sen parantamisesta. Jos epäilet sivustollasi olevan tietoturvaan liittyviä ongelmia tai jos aiheesta on mitä tahansa muuta kysyttävää, otathan meihin yhteyttä matalalla kynnyksellä.