Websites beschikken naast klantgegevens over andere informatie en systemen die het beschermen waard zijn. Er kan namelijk aanzienlijke schade optreden als een webshop tijdelijk uit de lucht is vanwege een aanval, storing of menselijke fout. En als betalingen niet goed gaan, levert dat ook direct schade op. Er zijn dus tal van redenen om je informatie en IT-systemen goed te beschermen.
Tekst: Kors Monster
We hoeven nooit lang te wachten op het volgende nieuwsbericht over gelekte gegevens of gehackte webshops. In april stonden de media nog bol van het lek bij Allekabels.nl, waarbij de klantdatabase met gegevens van 3,6 miljoen mensen was gelekt. Maar een simpele Google-zoekopdracht leert ons dat Allekabels niet de eerste en zeker ook niet de laatste zal zijn, die op deze manier in het nieuws komt. In mei was Yew York Pizza aan de beurt.
Als een volledige klantdatabase wordt gelekt, kunnen die gegevens vervolgens worden misbruikt voor allerlei vormen van criminaliteit. Zoals identiteitsfraude: er worden bijvoorbeeld bestellingen uit iemands naam gedaan, die elders worden bezorgd. Of er wordt een huurcontract van een drugspand op jouw naam gezet. En de webshop? Die heeft in eerste instantie de handen vol aan het bestrijden en dichten van het lek. Maar onderschat ook de reputatieschade niet: het kost tijd, energie en geld om het vertrouwen in je onderneming te herstellen.
Informatiebeveiliging steeds belangrijker
Naarmate de technische mogelijkheden groeien, nemen ook de kansen toe om technologie voor ons te laten werken. Zo zullen er vandaag de dag veel consumenten zijn die liever online winkelen, dan in een fysieke winkelstraat. Technologie stelt ons in staat om soms online een betere shopervaring te hebben dan in een stenen winkel.
Naarmate de technologie verder ontwikkelt, nemen echter ook de kansen op misbruik toe. Cybercriminelen beschikken over gebruiksvriendelijke toolkits waarmee ze netwerken en systemen kunnen binnendringen of platleggen. En als ze er even niet uitkomen, kunnen ze de klantenservice van de toolkit bellen voor ondersteuning. Daarnaast wordt het voor hen ook steeds interessanter naarmate de maatschappij zich meer digitaal manifesteert.
Gegeven deze ontwikkeling is het niet verwonderlijk dat er steeds meer aandacht is voor informatiebeveiliging. Dat zien we terug in wet- en regelgeving zoals de AVG, die organisaties verplicht om persoonlijke informatie goed te beveiligen. Ook de verwachtingen van klanten, toezichthouders, aandeelhouders en andere stakeholders veranderen: zij vinden het steeds belangrijker dat informatie goed wordt beschermd. Is het niet vanwege de persoonlijke risico’s (bij klanten), dan is het wel vanwege de financiële risico’s (voor onderneming en aandeelhouders).
Grip op informatiebeveiliging
Informatiebeveiliging is geen doel op zich; het is een middel om de continuïteit van informatie, IT-systemen en uiteindelijk de onderneming te kunnen waarborgen. Om je informatie en IT-systemen adequaat te beschermen, kun je het beste een risk based approach toepassen. Kort samengevat wil dat zeggen dat je beveiligingsmaatregelen selecteert op basis van de risico’s die voor jou relevant zijn.
Stap 1: bepaal wat het beschermen waard is
Wat wil je precies beschermen? Breng in kaart welke informatie je hebt en hoe belangrijk die voor jou is, en doe hetzelfde voor je IT-landschap en je bedrijfsprocessen. Leg daarbij ook de link tussen deze drie: welke informatie wordt in welk bedrijfsproces gebruikt, en welke IT-middelen zijn daarvoor nodig. Voor de gemiddelde webshop zal het klantproces de meeste (en de meest gevoelige) informatie bevatten. Maar voor innovatieve bedrijven kan informatie over hun innovaties even waardevol zijn als het klantenbestand.
Stap 2: maak je risico’s inzichtelijk
Nu moet je in beeld brengen waartegen je je wilt beschermen. Een aanpak daarvoor zou kunnen zijn om per asset (hetgeen dat beschermd moet worden) te bedenken welke kwetsbare plekken er zijn en welke dreigingen. Je kunt dit uitwerken in scenario’s, waarbij je ook beschrijft welke impact zo’n gebeurtenis heeft voor je onderneming.
Stap 3: bekijk wat je al gedaan hebt
Vaak heb je al meer beveiligingsmaatregelen getroffen dan je denkt. Bekijk welke je al hebt, of ze werken zoals je zou willen, en of met de bestaande maatregelen risico’s al voldoende worden afgedekt.
Stap 4: bepaal wat je nog te doen hebt
Nu kun je bepalen welke maatregelen je nog wilt doorvoeren om je risico’s verder te verkleinen. Je kunt denken aan:
- Overzicht hardware en software: houd een inventaris bij en controleer regelmatig. Zo kun je hardware die niet langer actief is uit je netwerk verwijderen, en weet je zeker dat alleen gebruik wordt gemaakt van veilige en ondersteunde software.
- Updates en patches: gebruik waar mogelijk geautomatiseerde updatetools zodat je besturingssystemen en kritieke software altijd over de nieuwste security updates en patches beschikken.
- Autorisaties en beheerders: houd grip op wie welke rechten heeft in systemen. Heb daarbij extra aandacht voor accounts met verhoogde rechten, zoals beheerders. Zulke accounts kunnen immers aanzienlijk meer schade berokkenen dan ‘gewone’ gebruikers. Zorg er daarnaast voor dat standaardwachtwoorden (bij nieuwe hard- en software) direct worden gewijzigd. Gebruik vanzelfsprekend veilige wachtwoorden en bij hogere risico’s multifactorauthenticatie.
- Veilige instellingen: zorg dat besturingssystemen, applicaties en apparatuur veilig worden ingesteld. Zorg er ook voor dat die instellingen niet zomaar kunnen worden aangepast.
- Logbestanden: zorg dat logging is ingeschakeld op de kritieke systemen en apparaten. Zo kun je bij een incident sneller handelen en achterhalen wat precies de impact is van het incident. Bovendien zijn logs belangrijk als een aanvullend onderzoek nodig is, of als een rechtszaak moet worden gevoerd.
En zo zijn er nog tal van andere maatregelen te benoemen die de moeite waard zijn. Welke maatregelen je neemt hangt in eerste instantie af van je risico’s, maar natuurlijk ook van de mogelijkheden en je startpunt. Besef dat je óók verantwoordelijk bent voor wat leveranciers met jouw informatie doen. Vanzelfsprekend kun (of: moet) je daar afspraken met ze over maken. Maar controleer ook of ze die afspraken nakomen en houd regie over je kritieke leveranciers.
Kors Monster is directeur bij ICTRecht Security.
Er is op dit moment 0 keer gereageerd op:
Houd je webshop secure
Je kunt niet meer reageren op dit artikel.