לפני כמה עשורים אתרי האינטרנט היו דבר פשוט אשר הציגו לנו בעיקר מידע בסיסי. נושא הבטיחות לא היה דבר כל כך מהותי ולא הייתה לנו מודעות לנושא של אתר מאובטח.
אך מאז חלו תמורות רבות – השינויים הטכנולוגיים הנגישו את האינטרנט לכולם והאתרים הפכו להיות לבעלי חשיבות גדולה יותר, גם עבור בעלי העסקים ומציעי השירותים באינטרנט, וגם עבור קהל הצרכנים והגולשים.
כיום, הרבה מהפעולות שאנו מבצעים מתבססות על שימוש באתרי אינטרנט וכל פגיעה באתרים משבשת את אורח החיים המודרני.
יתרה מזאת, אתרי האינטרנט מרכזים מידע רב הכולל פרטים אישיים על הגולשים, דבר המגביר את הצורך באבטחת האתר ושמירה על הפרטיות.
במאמר זה נדבר על החשיבות של אבטחת אתרים לנוכח האיומים הקיימים ועל פרוטוקול SSL לאבטחת אתר. ולסיום כמה מילים על התועלת בקידום אתר מאובטח.
למה חשוב לאבטח אתר ?
"יום ירושלים של ההאקרים": מתקפת סייבר רחבה על אתרים בישראל
מתקפת האקרים על אתרי אינטרנט ישראליים לרגל "יום אלקודס" • אתרים הוחשכו, ובמקומם הופיעו כתובות נאצה… בגל מתקפת הסייבר שהחל בשעות הבוקר, במקום התוכן הרגיל באתרים שהושחתו, הוצגו סיסמאות נאצה נגד ישראל וסרטון וידאו, שבו נראה שידור כביכול ממצלמות רשת המכוונות לערי ישראל, ולאחריו מתקפת טילים.“ – פורסם בגלובס 21.5.2020
לא מזמן יכולנו לראות מתקפת סייבר אשר פגעה במאות אתרי אינטרנט בישראל. מתקפה אשר פגעה בעסקים פרטיים ונועדה לצורך הפחדה.
מערך הסייבר הלאומי הכריז כי זוהי מתקפה זניחה ולא הייתה פגיעה בתשתיות המדינה. אך אותה הפגיעה הזניחה יכולה להוות שיבוש רציני בפעילות העסקית של בעלי האתרים ולגרום להם להפסדים.
לאחרונה רבות מהתקפות הסייבר על האתרים מיוחסות לאירן, אך חשוב להבין שזהו אינו האיום היחידי.
ישנן התקפות סייבר המתקיימות כאקט מלחמה או טרור כמו במקרה זה אך ישנם גם מקרים נוספים: מתקפות סייבר כפשעי שנאה, ריגול תעשייתי, הונאה, גנבה וכו‘.
לנוכח האיומים אבטחת אתר היא דבר הכרחי. אתרי האינטרנט נזקקים לנקוט באמצעים אשר יגנו עליהם מפני ההתקפות אשר מעמידות בבעיה גם את האתר וגם את גולשיו.
אתרים שעוברים מתקפה יכולים קודם כל לסבול משיבוש זמני בפעילות האתר ואבדן מידע עסקי, אך יש גם תוצאות ארוכות טווח.
גנבת מידע מהאתר יכולה לפגוע בגולשים בצורות שונות ולגרום לאבדן האמון שלהם באתר אשר עד היום נהנו משירותיו.
אתרים רבים דורשים הרשמה לצורך ביצוע פעולות שונות, הרשמה אשר במסגרתה נבנה פרופיל משתמש המכיל מידע אישי רב.
המידע יכול להכיל כתובת מגורים, מספר טלפון, מספר תעודת זהות/דרכון ועוד מגוון פרטים אישיים אשר לא תרצו שיגיעו ליידיים הלא נכונות.
אנשים רבים נוהגים לחזור על אותן הססמאות באתרים שונים. יתכן שפריצה לאתר שאותו נגדיר כחסר חשיבות, תביא לגנבת הססמאות והפרטים האישיים בעזרתם ניתן בהמשך לחדור לחשבון הבנק שלכם ולבצע פעולות בשמכם.
אתרי האינטרנט אוספים עלינו מידע רב וחלקם, כמו פייסבוק או גוגל, יודעים עלינו יותר מאשר מה שיודעים עלינו בני משפחתנו.
שמירה על פרטיות היא חובה ולשם כך עלינו להשתמש בטכנולוגיות העומדות לרשותנו, כמו SSL ואמצעים אחרים לאבטחת אתר.
לאתרי האינטרנט ישנו אינטרס ברור מדוע חשוב לשמור על הפרטיות של הגולשים, בסופו של דבר זה עלול לפגוע בפעילותם.
אך לצד האינטרס חלה עליהם החובה המוסרית וגם המשפטית, בהתאם לתקנות GDPR, לשמור על פרטיות הגולשים.
איך שומרים על פרטיות
אתרי האינטרנט חייבים לקחת אחריות ולנקוט בכל האמצעים על מנת לשמור על הפרטיות ולאבטח את האתר. לכן מומלץ להשתמש בפרוטוקול HTTPS אשר שומר על פרטיות המידע בעזרת השימוש ב SSL ותעודות אבטחה.
המידע שעובר ב HTTPS הוא מוצפן ומוגן מפני התקפות המנסות לגנוב אותו, או לשנות אותו ולערוך עליו מניפולציות במהלך התקשורת.
למעשה HTTPS הוא אינו פרוטוקול תקשורת במובן הסטנדרטי של המילה, אלא הוא מורה לדפדפן לפתוח ערוץ תקשורת מאובטח באמצעות SSL.
SSL ותעודות אבטחה
כפי שציינו HTTPS עושה שימוש ב SSL ותעודות אבטחה לצורך השמירה על הפרטיות.
פרוטוקול SSL הוא פרוטוקול האבטחה העיקרי של האינטרנט והוא מוטמע בשרתים ובדפדפנים על מנת לאפשר תקשורת מאובטחת ביניהם.
תעודות אבטחה, כפי שמייד נסביר, הן הבסיס לפתיחת ערוץ תקשורת מאובטח.
לפרוטוקול SSL ישנן מספר מטרות:
- אימות – הפרוטוקול מאפשר לאמת את זהות השרת. כך אתם יכולים לדעת שמדובר באתר אמין לפני שאתם מעבירים מידע רגיש כמו למשל פרטי כרטיס האשראי שלכם.
- פרטיות – הפרוטוקול מאפשר לנהל תקשורת פרטית בין הלקוח לבין השרת מבלי שמישהו יצוטט ויאזין למידע המועבר.
- אותנטיות – הפרוטוקול מבטיח את האותנטיות בתקשורת. כאשר הלקוח מקבל מידע מהשרת הוא יודע שמדובר במידע אותנטי ולא מידע שהושתל על ידי גורם אחר המתחזה לשרת המאומת.
ננסה להסביר לכם בגובה העיניים כיצד זה עובד, לצורך כך נפשט את התהליך. ובכן, תארו לעצמכם מצב שבו אתם רוצים לנהל תקשורת מוצפנת עם מישהו אחר.
על מנת להתחיל בתקשורת כל אחד שולח לשני קופסה פתוחה אשר רק שולח הקופסה יכול לפתוח אותה. מקבל הקופסה שם בתוכה מפתח ייחודי, סוגר אותה ושולח אותה בחזרה.
לאחר שכל אחד קיבל את הקופסה שלו בחזרה הוא יכול לפתוח אותה ולמצוא בה את המפתח בעזרתו יפתחו הקופסאות העתידיות של הצד השני, שהן בעצם חבילות המידע.
בצורה מופשטת מאוד ניתן להגיד שזהו העיקרון שעומד מאחורי אתר מאובטח.
תעודות אבטחה הן אחד התנאים לתחילת אותה התקשורת. לפני ששני הצדדים מחליטים לפתוח ביניהם ערוץ תקשורת מאובטח, על הלקוח לדעת שאפשר לסמוך על השרת.
כלומר לפני שגולש פותח בהליך תקשורת מוצפן מול אתר אינטרנט, הוא נזקק לוודא את אמינות האתר.
את זה עושים בעזרת תעודות אבטחה אשר מונפקות על ידי צד שלישי. הגוף השלישי הוא גוף מוכר ואמין אשר מוודא את אמינות האתר ומנפיק לו תעודת אבטחה ציבורית בה יש את כל המידע על הדומיין והארגון אשר מאחוריו.
כיצד זה משפיע על הקידום בגוגל
נושא קידום אתרים בגוגל הוא נושא המטריד את כל בעלי האתרים. כולם מבינים שאם לא מקבלים דירוג ומקום טוב בתוצאות החיפוש, הדבר ישפיע על תנועת הגולשים והצלחת האתר.
נושא קידום האתרים הוא סוגיה בפני עצמה ולכאורה סוגיה נפרדת מאבטחת אתר, אך מסתבר שקיים קשר בין השניים.
חברת גוגל נוהגת לשמור על חשאיות גדולה בכל הנוגע לפקטורים שבעזרתה היא מדרגת את האתרים, זאת על מנת למנוע מניפולציות.
אך בהודעה לתקשורת שפרסמה לפני מספר שנים היא הכריזה במפורש כי שימוש בפרוטוקול SSL ותעודות אבטחה משפיע בצורה חיובית על דירוג האתר ומיקומו בתוצאות החיפוש.
גוגל שואפת להעניק לגולשים חווית גלישה איכותית ובטוחה ולכן היא מתעדפת אתרים אלו בתוצאות החיפוש.
לסיכום
בהחלט כדאי לכם להיות מודאגים לגבי אבטחת אתר וזה נכון גם לגבי מפעילי האתרים וגם לגבי קהל הגולשים המשתמש באתרים.
אתר מאובטח מעניק לבעל האתר יתרון במנועי החיפוש וגם מאפשר לגולשים לבטוח באתר, כלומר להרגיש בטוחים בעת ביצוע עסקאות ותשלומים מקוונים באתר.
