Zo lek als een (winkel)mandje

Webshops hebben zich massaal voorbereid op de drukte tijdens de feestdagen. Deze extra omzet is natuurlijk fantastisch, maar hebben ze wel de juiste maatregelen genomen? De kans dat een webshop getroffen wordt door een aanval is reëel en kan leiden tot grote (financiële) consequenties omdat de organisatie meestal volledig stil staat.

Volgens Gartner zijn de gemiddelde kosten van downtime $5600 per minuut. Met name tijdens de feestdagen kan downtime een significante impact hebben.

Hoewel er al veel stappen zijn gezet om webshops veiliger te maken, zijn er nog steeds veel winkeliers die niet goed genoeg hebben nagedacht over hun webshop. Zij zien de webshop als een verlengstuk van hun bestaande winkel en besteden te weinig aandacht aan de cyberveiligheid. Het is noodzakelijk dat ook deze ondernemers maatregelen treffen omdat cyberinbreuken een grote impact kunnen hebben op de omzet en reputatie van het bedrijf. Om nog maar te zwijgen over de eventuele boetes vanwege de meldplicht datalekken (GDPR/AVG). Echter zijn er verschillende factoren waar rekening mee gehouden moet worden om een veilige webshop te realiseren.

De eerste fout die retailers vaak maken, begint al bij het opzetten van de webshop. Veelal vergeten ze om kritisch te kijken naar de webhosting. Voor webshops is het bijvoorbeeld veiliger om gebruik te maken van dedicated hosting in plaats van shared hosting. Het is veiliger om gebruik te maken van een dedicated server of een VPS omdat deze alleen geschikt zijn voor één gebruiker. Meerdere gebruikers op dezelfde server, via een shared host, brengt risico’s met zich mee als er een website tussen zit met beveiligingsfouten. De websites van alle gedeelde gebruikers kunnen hierdoor in gevaar komen. Daarnaast is het belangrijk om te zorgen dat een webshop is voorzien van een SSL (Secure Sockets Layer) certificaat. SSL is een encryptie tussen de browser en server die gevoelige informatie, zoals persoons- en betaalgegevens, kan versleutelen. Verder is het aan te raden dat de webshop PCI DSS compliant is. Creditcardmaatschappijen hebben deze regelgeving ingesteld als gevolg van het toenemend aantal diefstallen van creditcardgegevens. Als webshops een creditcard als betaalmogelijkheid willen aanbieden moeten ze voldoen aan deze eisen.

Uiteraard is het belangrijk dat webshops naast deze maatregelen zorgen voor een solide security-oplossing voor alle apparaten. Vaak vergeten webshop-beheerders om hun mobiele apparaten te beveiligen. Dit is onverstandig omdat het perfecte doelwitten zijn om wachtwoorden te stelen. Cybercriminelen kunnen op deze manier gemakkelijk toegang krijgen tot het CMS systeem. Belangrijk is om daarbij altijd alle updates en patches, van bijvoorbeeld het WordPress of Drupal CMS, te downloaden. Zorg ervoor dat klanten sterke wachtwoorden gebruiken als ze inloggen bij de webshop. Het is tenslotte de verantwoordelijkheid van de winkelier om klanten te voorzien van een sterk wachtwoord. Monitor ook het netwerk regelmatig en weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen. Indien een webshop personeel heeft, is voorlichting cruciaal. Iedereen binnen de organisatie moet op de hoogte zijn van de risico’s. Het voltallige personeel kan bijvoorbeeld ieder jaar naar een lezing of workshop over cybercrime gaan. Om er zeker van te zijn dat er geen lekken zijn kunnen winkeliers eventueel een penetratietest laten uitvoeren. Op deze manier kunnen nieuwe lekken worden ontdekt en is het mogelijk om de veiligheid van de webshop te verbeteren.

Kortom, om succesvol te zijn met een webshop gaat het niet alleen om de supply chain en het optimaliseren van de SEO. De veiligheid van een online winkel is tegenwoordig minstens zo belangrijk om de omzet te verbeteren. Daarnaast kan een slechte beveiliging ook een enorme impact hebben op de reputatie van het bedrijf, want wat zullen klanten denken als hun gegevens op straat komen te liggen? Hoewel de bovenstaande adviezen hierbij kunnen helpen zijn webshops tegenwoordig dermate complex dat er, net als bij het beveiligen van een normale winkel, enige expertise bij komt kijken. Het is daarom verstandig om een externe specialist in te schakelen. Dit kan misschien wel duur zijn, maar een webshop zo lek als een (winkel)mandje kan ook een heleboel tijd, geld en stress kosten.

Eddy Willems, Security Evangelist bij G DATA