Dobry adres internetowy jest niczym atrakcyjna lokalizacja biura. W Internecie można bowiem równie łatwo się zgubić, jak w prawdziwym mieście. Strata domeny, z którą przedsiębiorstwo identyfikowane jest przed klientów, to również utrata wielu z nich. Dlatego warto odpowiednio zadbać o bezpieczeństwo adresu internetowego, pod którym klienci mogą odnaleźć ofertę firmy.
O tym, w jaki sposób odpowiednio podejść do bezpieczeństwa adresów WWW oraz jak o nie dbać opowie Daniel Kotyras – Dyrektor ds. Marketingu i PR w NetArt, firmie będącej właścicielem serwisu nazwa.pl, lidera rynku rejestracji domen i hostingu w Polsce.
Dlaczego bezpieczeństwo domen jest tak ważne?
Daniel Kotyras: Adres WWW, szczególnie ten zawierający nazwę firmy, jest elementem jej wizerunku. To, jakie treści są pod nim prezentowane oraz w jaki sposób jest wykorzystywany, wpływa na obraz przedsiębiorstwa w oczach klientów. Utrata adresu strony WWW może przynieść firmie więcej strat, aniżeli utrata innej własności materialnej. Jednak przedsiębiorcy często zapominają o domenach podczas zabezpieczania innych dóbr. Fakt ten szczególnie odnosi się do firm z sektora MSP. Ponieważ zazwyczaj przedsiębiorstwa te nie posiadają w swej strukturze komórek odpowiedzialnych za sprawy bezpieczeństwa (jak jest to w przypadku dużych korporacji), właściciele mogą w natłoku obowiązków przeoczyć istotne kwestie związane z bezpieczeństwem usług. Często również nie do końca świadomi są, w jaki sposób mogliby zabezpieczyć firmowe adresy WWW, bez nakładów finansowych. Z nimi bowiem kojarzą się przedsiębiorcom kwestie ochrony własności firmy, tak jak np. w przypadku wykupienia ubezpieczenia dla samochodu czy biura. Warto pamiętać, że ochrona domen nie wymaga ponoszenia żadnych wydatków. Jedynym kosztem jest czas, poświęcony na uważną analizę aspektów bezpieczeństwa związanych z zakupem oraz późniejszym użytkowaniem usługi.
Jaki wpływ na bezpieczeństwo firmowych domen ma rejestrator. Czy wybór odpowiedniego rejestratora można uznać, za formę zabezpieczenia posiadanych adresów WWW?
DK: To, jakie zabezpieczenia stosuje usługodawca, ma równie istotny wpływ na bezpieczeństwo adresów, co działania Abonenta. Jednym z kryteriów wyboru bezpiecznego registrara powinien być sposób przeprowadzania przez niego cesji domen, czyli scedowania praw do usługi pomiędzy podmiotami. Tylko w pełni sformalizowana transakcja gwarantuje jej bezpieczeństwo. Do jej przeprowadzenia wymagane jest nadesłanie przez obie strony cesji podpisanych dokumentów, na podstawie których rejestrator weryfikuje tożsamość Abonenta. Potwierdzeniem najwyższego poziomu bezpieczeństwa rejestratora, jest posiadana przez niego akredytacja ICANN – organizacji zajmującej się m.in. nadzorem nad wszystkimi domenami. Aby uzyskać akredytację głównego zarządcy domen, rejestratorzy muszą przejść szereg testów, przedstawić historię firmy oraz plan jej rozwoju, a dodatkowo – wykupić ubezpieczenie o wartości niemal 1 miliona dolarów. Korzystanie z usług akredytowanego registrara nie wiąże się z żadnymi dodatkowymi kosztami, a jest gwarancją bezpieczeństwa usług. Domeny rejestrowane są bezpośrednio u operatorów bez dodatkowych pośredników. Wyeliminowana zostaje więc możliwość, że nieprawidłowości ze strony któregokolwiek pośrednika wpłynęłyby negatywnie na użytkowanie domeny.
Poszczególne etapy użytkowania usługi niosą ze sobą różne zagrożenia. Który z nich jest najistotniejszy i podczas, którego firma powinna zachować szczególną ostrożność?
DK: Trudno wskazać którykolwiek etap, jako najistotniejszy. Dbałość o bezpieczeństwo domen powinna być zawsze taka sama, zarówno podczas rejestracji adresu, jego wykorzystania oraz przedłużania okresu abonamentowego. Jest kilka aspektów, na które firma powinna zwrócić szczególną uwagę. Przede wszystkim, niezwykle ważne jest, aby przedsiębiorstwo dogłębnie zapoznało się z regulaminami. Są one bowiem formą umowy pomiędzy klientem, a rejestratorem. Warto być świadomym, jakie warunki będą obowiązywały w trakcie trwania okresu abonamentowego.
Ponadto, istotna jest świadomość, że prawo do dysponowania adresem internetowym posiada jego Abonent, czyli podmiot, którego dane zostały podane podczas rejestracji domeny. Przedsiębiorca powinien zwrócić uwagę, aby podawane na tym etapie dane były poprawne oraz aktualne. Ważne jest również wprowadzenie pełnych informacji identyfikujących firmę. Jeżeli np. przedsiębiorstwo zamiennie posługuje się skrótem nazwy, podczas rejestracji adresu WWW należy podać pełną nazwę. Wprowadzenie błędnych danych do formularza rejestracyjnego może znacząco utrudnić późniejsze zarządzanie usługą, np. podczas sprzedaży adresu.
Na co należy zwrócić uwagę, kiedy etap wyboru rejestratora oraz zakupu adresów jest już zakończony?
DK: Uwagę należy skupić w dużej mierze na hasłach dostępu do paneli zarządzania. Jest to ważne, gdyż z ich poziomu można dokonać zmian w konfiguracji domeny. Jeżeli hasła nie są dobrze zabezpieczone, osoba postronna może uzyskać dostęp do paneli i np. zmienić delegację domeny. Dlatego, firma powinna przyjąć jako standard procedury, które zagwarantują ochronę domen przed niepowołanymi osobami oraz działaniami z ich strony.
Po pierwsze: selekcja osób, które mają dostęp do haseł. Wgląd do nich powinni mieć jedynie pracownicy, którym są one niezbędne do wykonywania czynności zawodowych. Ponadto, przedsiębiorca powinien monitorować wszelkie zmiany, wprowadzane w ramach usługi. Nawet, jeżeli mogą ich dokonywać jedynie najbardziej zaufani współpracownicy.
Po drugie: regularna zmiana haseł. Jest to czynność, o której przedsiębiorcy pamiętają zazwyczaj jedynie w momencie zakończenia współpracy z pracownikiem. Jest to niekorzystne zwłaszcza dla firm z sektora MSP, w których rotacja osób nie jest duża. Może się bowiem okazać, że hasła nie zostały zmienione od miesięcy, a nawet lat! Sprzyja to przechwyceniu ich przez osoby postronne. Dlatego korzystnie jest je wymieniać systematycznie, najlepiej raz w miesiącu.
Po trzecie: „silne” hasła do paneli zarządzania. Mylne jest przekonanie, że wystarczy wybranie oryginalnej frazy, by była ona trudna do rozszyfrowania. Im logiczniejszy jest ciąg znaków, tym łatwiejszy jest do złamania dla cyberprzestępców, a także do zapamiętania przez przypadkowe osoby mające z nim styczność. Przykładowo: hasło „szklanka” szybciej zapadnie w pamięć, aniżeli „h5Gdf+t”. Aby mieć pewność, że wybrany ciąg znaków będzie odpowiednio zabezpieczał usługi, warto skorzystać z oferty rejestratora, który udostępnia klientom funkcjonalności mierzące siłę haseł.
Jakie zagrożenia mogą czyhać na przedsiębiorce w związku z przedłużeniem usługi?
DK: Największym zagrożeniem jest zwyczajne nieprzedłużenie usługi w odpowiednim czasie. Spowodowane jest to faktem, że podmiot rejestrujący adres WWW nie staje się jego właścicielem, a jedynie czasowym Abonentem. Każda domena posiada ustalony przez operatora czas trwania okresu abonamentowego, np. w przypadku rozszerzenia .pl rejestracja odbywa się zawsze na jeden rok. W celu przedłużenia okresu rejestracji adresu WWW, Abonent zobowiązany jest wnieść opłatę w oznaczonym terminie. W przypadku, kiedy tego nie dokona – domena zostaje zwolniona do ponownej rejestracji, która odbywa się na zasadzie „kto pierwszy, ten lepszy”. Żaden podmiot nie może zakupić adresu na preferencyjnych warunkach.
Stwarza to zagrożenie, że ktoś ubiegnie firmę, rejestrując domenę przed nią. Adres może wtedy zostać przekierowany na adres serwisu konkurencji lub na stronę zawierającą niekorzystne dla przedsiębiorstwa treści. Dlatego warto zabezpieczyć się przed tego typu sytuacjami. Pomóc w tym może wybór osoby w firmie, do zadań której należałoby czuwanie nad tym, aby usługi przedłużane były w odpowiednich terminach. Korzystny jest także wybór rejestratora, który kilkukrotnie oraz za pośrednictwem różnych kanałów komunikacji przypomina Abonentom o zbliżającym się upływie okresu abonamentowego.
Źródło: NetArt