Kwaadwillenden vinden dagelijks manieren om webshops aan te vallen. Security is voor webwinkeliers echter geen core business en het maken van de juiste keuze voor een passende oplossing is daarom lastig. Gelukkig zijn er diverse beveiligingstools voorhanden die voor u op de winkel passen.
Mario Zimmler van Barracuda Networks zette een aantal aandachtspunten voor het beveiligen van webshop op een rij.
Door Mario Zimmler
Uitbesteden
Hostingproviders kunnen u een hoop werk uit handen nemen en in een moeite door ook de beveiliging voor u te regelen. Zij beheren immers al de server van uw webshop en ze bieden veelal aanvullende diensten aan zoals het beveiligen en optimaliseren van uw webwinkel. Voor een vast en relatief laag maandbedrag zorgt deze partij ervoor dat online criminelen buiten de deur blijven.
Houd er wel rekening mee dat de beveiligingsniveaus van de hostingproviders weinig of in mindere mate worden aangepast aan de specifieke behoeften van uw webshop. Verwacht u met de feestdagen bijvoorbeeld meer sitebezoek (waardoor u een aantrekkelijker doelwit wordt voor hackers) of worden er kwetsbaarheden geconstateerd in de webapplicatie waar uw webshop op draait, dan is het nog maar de vraag of en hoe snel de hostingprovider hierop zal reageren.
De dienstverlening en het verdienmodel van hostingproviders zijn er op ingesteld om een gedegen beveiliging aan te bieden waar het gros van hun klanten tevreden mee is. Bovendien opereren hostingproviders in een concurrerende markt, waardoor de partijen beperkt proactief investeren in security. Verder bieden niet alle hostingproviders beveiliging van webapplicaties. Dat wil zeggen: de ingang van uw webshop wordt wel beschermd tegen indringers, maar zodra criminelen op een of andere manier tóch binnen weten te komen kunnen zij alsnog hun slag slaan en klantgegevens stelen. Het is dus aan te raden om te checken of uw hostingprovider ook de beveiliging van de webapplicaties kan garanderen.
Zelf doen
U kunt er als webwinkelier ook voor kiezen om de beveiliging zelf te regelen. Dit betekent dat u snel kunt reageren op veranderende omstandigheden. Gaat u zelf aan de slag met het security-beleid, dan is het belangrijk om te investeren in technische expertise in de vorm van opleidingen voor bestaande technische medewerkers of het aantrekken van een security-specialist. Met de kennis binnen uw organisatie behoudt u de controle over beveiligingsniveaus en kunt u vrij een keuze maken voor de leverancier en oplossing die passen bij de behoefte vanuit uw business.
Veilig updates doorvoeren
Updates van webapplicaties van webshops komen met enige regelmaat uit en zijn bedoeld om de gebruikerservaring, de ‘look and feel’ of de functionaliteiten van de webwinkel te verrijken. Uiteraard is het voor u als webwinkelier verleidelijk om deze verbeteringen zo snel mogelijk voor uw klanten en websitebezoekers beschikbaar te maken. Echter, een aanpassing aan de webapplicatie kan leiden tot nieuwe kwetsbaarheden in de beveiliging die er in de ‘oude’ webapplicatie nog niet waren. Dit fenomeen is inherent aan besturingssystemen, applicaties en software en een factor die webwinkeliers – door de directe consequenties voor klanten – prioriteit zouden moeten geven.
Het advies aan webwinkeliers luidt dan ook: geef de ontwikkelaars van uw website voldoende tijd om de nieuwe versie van de webapplicatie van uw webshop afdoende te beveiligen voordat u uw klanten hiermee in aanraking laat komen. Zo hebben uw klanten te allen tijde een optimale en veilige shopervaring.
Typo-domeinen claimen
Naast het beveiligen van uw eigen webwinkel, is het ook aan te raden om te kijken naar andere manieren waarop kwaadwillenden misbruik kunnen maken van uw klanten. Een voorbeeld hiervan is typosquatting. Hierbij worden domeinnamen geclaimd door externe partijen, waardoor mensen die een spelfout maken, zoals Gooogle.nl en Twinkelmagazien.nl, terechtkomen op een namaak-site. Hackers verkrijgen zodoende gegevens van de bezoekers.
Ook kan het voorkomen dat deze typo-domeinen automatisch worden doorgelinkt naar compleet andere websites zoals gok- en pornosites. Resultaat is dat online bezoekers niet in uw webwinkel terechtkomen (en u potentiële omzet misloopt) en in het ergste geval het slachtoffer worden van een cyberaanval.
Een tip voor webwinkeliers is om deze typo-domeinen proactief te claimen om misbruik te voorkomen en ervoor te zorgen dat alle verkeer dat voor uw webwinkel bestemd is ook daadwerkelijk op de website terechtkomt. Een handig hulpmiddel hierbij zijn diensten zoals Typodomain.
Blijf op uw hoede
Helaas is er geen waterdichte strategie voorhanden om de beveiliging van uw webwinkel nu en in de toekomst te kunnen garanderen. Cybercriminelen zullen nieuwe aanvallen bedenken en kwetsbaarheden in webapplicaties kunnen nooit 100 procent worden voorkomen. Het goede nieuws voor u als webwinkelier is dat u met een aantal effectieve keuzes uw klanten en uw omzet kunt beschermen en u relatief onbezorgd online zaken kunt blijven doen.
Mario Zimmler is senior consulting system engineer bij Barracuda Networks.
We zien toch dat veel webwinkels de gevaren van slechte security niet inzien.
Een scenario:
Een hacker krijgt toegang tot de code van de webwinkel. In plaats van een verwijzing naar de payment service provider stuurt hij bezoekers door naar zijn eigen account. Betalingen worden zonder dat de klant het merkt hierdoor naar de crimineel over gemaakt.
Als webwinkel kan het even duren voor u dit door heeft. Er worden zo één of meerdere dagen omzet overgemaakt aan de crimineel. Uw klanten zijn hun geld kwijt en waarschijnlijk kunnen ze dit op u verhalen.
Naast de financiele kostenpost treft dit ook uw imago. Vaak kunnen deze problemen voorkomen worden door de beveiliging te controleren. Het probleem is namelijk vaak niet up-to-date open-source software. Hackers breken namelijk liever in bij iemand die zijn deur open heeft staan dan bij een goed beveiligde webwinkel.
Veel webwinkeliers zijn zich niet bewust van de gevaren als hacking, malware en datalek. Dit geldt niet alleen voor de kleinere webwinkels, maar ook de grote spelers. Een SSL installeren beveiligt inderdaad een deel van het proces, maar dekt niet de hele lading.
Een goede cyber security expert kan dit inderdaad goed oppakken. Dus uitbesteden, net zoals velen ook betalingen bij PSP's wegzetten. Dit is een expertise en dien je niet 'erbij' te doen, amar echt over te laten aan een vakman.
Verder heb ik het nog niet gehad over de ernstige gevolgen van hacking zoals webwinkel onbereikbaar, datalek (klantgegevens etc op straat) en malware scripts. De laatste verstuurt enge virussen en voert aanvallen vanuit de webwinkel domeinnaam. Hiermee riskeer je een penalty van Google, wordt je geblacklist door emailproviders en gaat je SEO ranking met een mokerslag naar beneden.
Kortom: Denk hier goed over na en wees preventief in het beveiligen van jouw webwinkel.
De link in mijn vorige post doet het niet. Hierbij de juiste verwijzing voor meer informatie over webwinkel beveiligen