Hem / Säkerhet & GDPR / Hackad hemsida: steg för steg de första timmarna

Säkerhet & GDPR

Hackad hemsida: steg för steg de första timmarna

Ett larm om att hemsidan är hackad kommer sällan lägligt. Här är ordningen att göra saker i: vad som ska säkras först, vad som ska dokumenteras och vem du behöver kontakta innan sidan är återställd.

En hackad hemsida upptäcks sällan i lugn och ro. Kanske larmar webbhotellet om skadlig kod, kanske ser du själv okända sidor dyka upp i sökresultaten, eller så hör en kund av sig om att antivirusprogrammet varnar för sajten. Oavsett hur larmet kommer avgör de första timmarna både hur snabbt sajten blir säker igen och hur väl du senare kan visa vad som faktiskt hände, om en kund, ett försäkringsbolag eller en myndighet frågar. Den här sidan går igenom ordningen steg för steg, utan att gå in på tekniska detaljer som i sig kan hjälpa någon att utnyttja en specifik brist.

Snabb triage: de första timmarna

Börja med att begränsa skadan istället för att panikstäda. Om sajten aktivt sprider skadlig kod till besökare eller skickar ut spam via ett kapat formulär, be webbhotellet ta sidan offline eller spärra den tillfälligt medan du utreder vidare. Kontakta samtidigt den som sköter driften: webbhotellet, utvecklaren eller den byrå som byggde sajten, och byt lösenord till CMS, webbhotellskonto, FTP och domänkonto som ett första skydd mot att någon loggar in igen medan saneringen pågår. Körs sajten på WordPress är ett administratörskonto ingen i teamet känner igen, eller ett tillägg ingen minns att man installerat, ofta det första du bör leta efter; vår rutin för att skydda WordPress mot intrång går igenom det förebyggande arbetet mer i detalj.

Rör därefter inte filer eller loggar mer än nödvändigt innan du har antecknat vad du ser och när du upptäckte det. Den tidslinjen, alltså bevarad bevisning snarare än städning, behöver du både för egen del och om leverantören eller CERT-SE senare ska hjälpa till att förstå händelseförloppet.

Bedöm om personuppgifter är berörda

Nästa fråga är om intrånget kan ha exponerat personuppgifter, och en enkel utgångspunkt är att räkna med att svaret är ja så fort ett kontaktformulär, ett kundregister, en orderhistorik eller inloggningsuppgifter kan ha varit åtkomliga för den som tog sig in. Kontaktformulär, kunduppgifter, orderhistorik och till och med IP-adresser i loggfiler räknas som personuppgifter, och det är den bedömningen som styr om du behöver anmäla en personuppgiftsincident. Enligt Integritetsskyddsmyndigheten (IMY) ska en incident anmälas inom 72 timmar från det att du fick vetskap om den, om det inte är osannolikt att den medför risk för de registrerades rättigheter och friheter. Bedömer du att risken är hög för de berörda ska de dessutom informeras utan onödigt dröjsmål. Även om du efter genomgång landar i att risken är låg och att ingen anmälan krävs, dokumentera hur du kom fram till det. Den bedömningen kan behöva visas upp senare.

Kontakta rätt stöd: leverantör, CERT-SE och polis

De tre kontaktspåren kan behövas parallellt, men de har olika syfte och du vänder dig inte till alla av samma anledning:

  • Webbhotellet eller utvecklaren är oftast snabbast på att stänga av det som pågår och peka ut vad som är skadat, eftersom de har åtkomst till servern och driftmiljön.
  • CERT-SE ger stöd vid pågående eller redan inträffade it-säkerhetsincidenter och kan vägleda dig i det akuta skedet. En frivillig rapportering dit kan vara relevant även om ditt företag inte har någon särskild rapporteringsplikt.
  • Polisanmälan är ett eget spår för själva brottet, gör den på telefon 114 14 eller på en polisstation, och helst utan att dröja: enligt Polisen kan loggar och annan it-relaterad information bli svårare att få tag i om det gått för lång tid. En polisanmälan ersätter inte en eventuell IMY-anmälan när GDPR-kraven är uppfyllda, så räkna med att båda kan behövas beroende på vad som hänt.

Efter saneringen: dokumentera och justera rutiner

När sajten är ren och tillbaka i drift är arbetet inte riktigt klart. Skriv ihop en kort tidslinje över vad som hände, när det upptäcktes, vilka åtgärder som vidtogs och vem som informerades, så har du underlag redo om frågan kommer upp igen. Använd sedan den erfarenheten till att bygga eller uppdatera en enkel incidentplan: vem som ansvarar för vad, vilka kontaktvägar som gäller, vilka resurser som finns tillgängliga och hur ni kommunicerar internt och utåt om det händer igen. En del av den rutinen är att se till att alla lösenord som roterades under saneringen faktiskt hålls unika och delas säkert i teamet framöver, snarare än att skickas i klartext eller återanvändas mellan tjänster. En lösenordshanterare som NordPass gör den roteringen enklare att hålla i över tid, särskilt när flera personer i teamet delar inloggningar till samma adminpanel eller webbhotellskonto.

Återställ inte blint från en backup innan du har en rimlig bild av hur intrånget skedde. Vet du inte vad som släppte in angriparen riskerar du att lägga tillbaka samma sårbarhet och bli hackad igen inom kort. Stäm av med webbhotellet eller utvecklaren vilken backup som är ren innan den återställs. Vill ni bygga en säkrare rutin inför framtiden finns en genomgång i vår systersajts guide till backupstrategi för webbplats.

Vanliga frågor

Ska jag stänga ner hemsidan helt om jag misstänker intrång?

Inte alltid, men om sajten sprider skadlig kod till besökare eller skickar ut spam bör den tas offline eller spärras via webbhotellet direkt. Kontakta leverantören eller utvecklaren innan du själv raderar filer, så att spåren av vad som hänt inte försvinner.

Måste jag polisanmäla en hackad hemsida?

En polisanmälan är ett eget spår och ersätter inte en anmälan till IMY när GDPR-kraven är uppfyllda. Du kan göra båda: polisanmälan för brottet, IMY-anmälan för personuppgiftsincidenten om den bedöms medföra risk.

När ska personuppgiftsincidenten anmälas till IMY?

Om det inte är osannolikt att incidenten medför risk för registrerades rättigheter och friheter ska den anmälas till IMY inom 72 timmar från det att du fick vetskap om den. Vid sannolik hög risk ska även de berörda personerna informeras utan onödigt dröjsmål.

Vad gör CERT-SE och behöver mitt lilla företag kontakta dem?

CERT-SE ger stöd vid pågående eller redan inträffade it-säkerhetsincidenter och kan vägleda i det akuta skedet. Frivillig rapportering kan vara relevant även för dig som inte har någon särskild rapporteringsplikt, inte bara för myndigheter och större bolag.

Kan jag bara återställa från en backup direkt?

Först bör du ha en rimlig bild av hur intrånget skedde, annars riskerar du att återställa samma sårbarhet och bli hackad igen inom kort. Kontrollera med webbhotellet eller utvecklaren vilken backup som är ren innan den läggs tillbaka.

Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.