Služby

Kybernetická bezpečnost webu v Praze

Jasný přehled o tom, kde je váš web a data zranitelné, a následné opravy, které mezery zavřou: audity, penetrační testy, revize kódu a nastavení WAF. Od 25 000 Kč, rozsah podle auditu.

Rychlý a bezpečný není protiklad

Většina pražských webových studií vám prodá buď rychlost, nebo bezpečnost, málokdy obojí. Obvyklý scénář: web se rychle poskládá z desítek pluginů a „bezpečnost“ se pak jednou ročně řeší jako zběsilé záplatování těch, u kterých se zrovna našla díra. My stavíme opačně. Naše weby předáváme jako ručně psaný statický kód, na kterém není skoro co napadnout: žádná databáze k injektáži, žádné přihlášení do administrace k prolomení, žádné tržiště pluginů, které vám tiše dodá cizí zranitelnost. Slib je jednoduchý: postavíme web rychle a postavíme ho bezpečně, v jednom projektu.

Malá plocha k útoku ale není totéž co žádná. Formuláře pořád přijímají vstup, API pořád odpovídají, servery pořád potřebují správné hlavičky a aktuální TLS. Kybernetická bezpečnost je přesně to místo, kde mezery hledáme schválně my, dřív než je najde někdo s horšími úmysly.

Co konkrétně prověřujeme

  • Bezpečnostní audit. Strukturovaná kontrola webu, serveru, DNS, TLS, hlaviček a skriptů třetích stran. Výsledkem je písemný report, který každý nález seřadí podle skutečného rizika, ne obecný seznam, se kterým si nevíte rady.
  • Penetrační testy. S vaším písemným souhlasem a dohodnutým rozsahem zaútočíme na váš web tak, jak by to udělal skutečný útočník: injektáž, ověřování, správa relací, zneužití formulářů a API, nahrávání souborů. Dostanete důkaz o tom, co je skutečně zneužitelné, ne teorii.
  • Revize kódu. U kódu na míru čteme zdroj a hledáme chyby, které skenery minou: rozbité řízení přístupu, nebezpečné dotazy, tajné klíče uložené v repozitáři, závislosti se známými zranitelnostmi.
  • WAF a hardening. Před web postavíme aplikační firewall (WAF), utáhneme konfiguraci serveru, doplníme bezpečnostní hlavičky a zavřeme vše, co nemusí být veřejné.

Bezpečně už od prvního commitu

Nejlevnější bezpečnostní práce je ta, kterou nemusíte dodělávat zpětně. Když web stavíme my, je hardening součástí stavby, ne příplatkem na konci: vstupy se validují, výstupy escapují, klíče zůstávají mimo kód, závislosti držíme aktuální a server odjíždí s rozumným nastavením. Proto web na míru od Prahapp startuje z mnohem lepší pozice než šablona poskládaná z tuctu pluginů neznámého původu.

Pokud už web máte od někoho jiného, prověříme ho tak, jak je, a na rovinu vám řekneme, jestli potřebuje hardening, přestavbu, nebo vůbec nic.

GDPR není jen dokument, ale bezpečnostní úkol

Podle GDPR a českého zákona o zpracování osobních údajů není únik zákaznických dat jen trapný: je oznamovací a může být pokutovaný. Většina úniků, které vidíme, přitom není nijak rafinovaná: odhalená záloha, formulář posílající data v otevřeném textu, analytický skript tiše odesílající osobní údaje do třetí země. Náš audit pokrývá technickou stránku evropské ochrany dat: kde osobní údaje leží, jak putují, kdo se k nim dostane a jak vypadá rozumné „vhodné technické opatření“ pro firmu vaší velikosti. Nejsme právníci a řekneme vám to, ale zavřeme ty technické mezery, které z papírové směrnice dělají reálné riziko.

Kolik to stojí

Cílený bezpečnostní audit s písemným reportem začíná na 25 000 Kč podle velikosti webu. Penetrační testy, revizi kódu a nastavení WAF naceníme podle rozsahu, protože pětistránkový web a rezervační platforma s přihlašováním nejsou stejná práce. Každá cena je pevná a dostanete ji písemně před začátkem. Jak ceny skládáme, najdete v ceníku, nebo nám napište, co provozujete, a do 24 hodin odpovíme s konkrétním rozsahem a cenou.

Pro koho to je

Každá pražská firma, která pracuje se zákaznickými daty nebo si nemůže dovolit výpadek: e-shopy s platebními údaji, ordinace s kartami pacientů, rezervační systémy, kdokoli, kdo právě neprošel bezpečnostním dotazníkem klienta nebo ho má podepsat. Pokud teprve zvažujete, jestli to potřebujete, audit je poctivý první krok: stojí málo, rozsah znáte předem a přesně vám ukáže, jak na tom jste, ještě než utratíte cokoli za opravy.

Časté dotazy

Jaký je rozdíl mezi bezpečnostním auditem a penetračním testem?

Audit je strukturovaná kontrola: projdeme web, server, TLS, hlavičky, DNS a skripty třetích stran a předáme písemný report, který každý nález seřadí podle skutečného rizika. Penetrační test jde dál a nálezy se s vaším písemným souhlasem a v dohodnutém rozsahu aktivně pokouší zneužít, takže vidíte, co by útočník opravdu dokázal, ne jen co vypadá slabě na papíře. Většina firem začíná auditem a penetrační test přidá tam, kde to význam dané aplikace ospravedlní.

Neshodí testování můj web?

Ne. Testujeme proti kopii na testovacím prostředí nebo v okně s nízkým provozem, rozsah si s vámi předem odsouhlasíme písemně a v okamžiku, kdy cokoli vypadá rizikově, končíme. Cílem je najít slabiny bezpečně a za našich podmínek dřív, než je někdo najde za svých. Budete přesně vědět, co a kdy děláme.

Nálezy jen popíšete, nebo je i opravíte?

Obojí, a volba je na vás. Každá zakázka končí písemným reportem, se kterým může pracovat kterýkoli vývojář. Pokud chcete, abychom mezery zavřeli my, naceníme opravy pevnou cenou, provedeme je a poté znovu otestujeme, abychom potvrdili, že je problém skutečně vyřešený, ne jen odškrtnutý.

Je malá firma vůbec cílem útoku?

Skoro každý útok, který vidíme, je automatizovaný, ne osobní. Boti skenují celý internet a hledají známé slabiny bez ohledu na to, jak jste velcí; malý e-shop se zastaralým pluginem je snazší cíl než banka. Podle GDPR je navíc únik dat vašich zákazníků oznamovací a může být pokutovaný, takže velikost firmy není velikost rizika.

Jak mi bezpečnostní kontrola pomůže s GDPR?

GDPR vyžaduje vhodná technická opatření k ochraně osobních údajů a většina úniků je technické, ne papírové selhání: odhalená záloha, formulář posílající data v otevřeném textu, skript odesílající údaje do třetí země. Náš audit zmapuje, kde osobní údaje leží, jak putují a kdo se k nim dostane, a technické mezery zavře. Nejsme právníci a řekneme vám, když je otázka spíš právní než technická.

Nevíte, kterou službu potřebujete?

Popište nám svou situaci a nasměrujeme vás na správnou možnost, i kdyby to znamenalo říct vám, že u nás zatím nakupovat nemáte.