Als je een webshop uitbaat, wat zijn inzake security dan de grootste aandachtspunten en fouten? We overlopen de belangrijkste vier aan de hand van een onderzoek bij vierhonderd Belgisch webshops.
Voor deze checklist baseren we ons op een recente analyse van Safeshops, een vereniging van Belgische Webshops, in samenwerking met BA. Via hun onderzoek, dat Computable.be kon inkijken, onderwierpen ze ruim vierhonderd Belgische webshops aan een securitytest. Hieronder vielen zowel grote shops van enkele vooraanstaande reisorganisaties als kleinschaligere e-shop.
Het onderzoek van BA en Safeshops werkte aan de hand van soort van crawler om een aantal security basics te onderzoeken. ‘Het was een passieve test, dus geen actieve aanvallen. Al kan je daarmee ook al heel wat te weten komen’, benadrukt Jan Guldentops van BA dat de test uitvoerde. Hieronder de resultaten op basis van de vier meest voorkomende problemen:
1. Geen HTTPS
Het gebruik van https is cruciaal voor webshops. Https en ssl zijn vooraanstaande technologieën om de communicatie tussen de gebruiker en de webserver volledig met versleuteling te beveiligen zodoende dat er niemand kan meeluisteren. ‘Het gebruik ervan is uitermate belangrijk’, benadrukt Guldentops.
Volgens hem heeft een webshops alle redenen om https te gebruiken. ‘Je biedt geen toegevoegde waarde als je het niet doet’, meent hij. ‘In vergelijking met het klassieke http geeft het niet echt een verschil in performantie. Je kan op je webshop perfect de bezoekers meteen redirecten van http naar https.’
Dubbel gebruik van http en https binnen dezelfde webshop – wat overigens nog regelmatig voorkomt – vindt Guldentops niet zo’n goed idee, omdat dat het potentieel beveiligingsrisico verhoogt. Daarnaast zijn er ook niet-technische redenen om resoluut voor https te opteren. Zo plaatst Google sinds kort https-sites hoger in de ranking van zijn zoekresultaten en gaan steeds meer browsers http-sites simpelweg blokkeren.
Voor https heb je officiële certificaten nodig van een betrouwbare certificate authority, maar intussen zijn dergelijke certificaten zelfs gratis. ‘Let’s encrypt is hier een goed voorbeeld van’, haalt hij aan. ‘Op zich kost het dus niks. Je hebt alleen technisch een beetje werk om het te implementeren.’
2. Phishing
Bij websites en webshops blijkt phishing vaak de makkelijkste manier om beveiliging te omzeilen. Guldentops verwijst hierbij naar twee voornaamste types. ‘Enerzijds is er trawler net phishing. Je kent ze wel. Dat zijn de e-mails die je krijgt van al die exotische schonen, die weten dat jij de man of vrouw van hun dromen bent’, illustreert hij. Anderzijds is er spear phishing, zoals een e-mail die afkomstig lijkt te zijn van een persoon of onderneming die je kent. ‘Die vorm is beperkter en vaak op maat gemaakt.’
Phishing is heel moeilijk tegen te gaan, want criminelen doen beroep op de onwetendheid (of hebzucht) van internetgebruikers. Vooreerst is het als webshop belangrijk dat je consequent bent in je communicatie. Je communiceert bijvoorbeeld best niet via vreemde e-mailadressen en zorgt voor een consequente huisstijl.
Maar er zijn ook technische maatregelen om phishing te voorkomen. ‘Hierbij is het aangewezen dat je het zogenaamde sender policy framework implementeert’, vertelt Guldentops. Dit protocol helpt namelijk om valt te stellen of de verzender van een mailbericht gerechtigd is om een bericht te verzenden namens de afzender van het bericht.
3. Slecht systeembeheer
Security is opvolging. ‘Alle software heeft bugs. Dus moeten er structureel en snel updates uitgevoerd worden’, oppert Guldentops. Een indicatie hiervan is de juiste versie om die updates te verkrijgen. En daar knelt vaak het schoentje.
Het Safeshops-onderzoek deed de test met php. Dat is natuurlijk maar één bepaalde webtechnologie, maar wel een belangrijke. ‘Ongeveer de helft van de webshops maken gebruik van php’, weet Guldentops.
Uit hun php-test bleek dat slechts een minderheid slaagde. Bijna 70 procent van de webshops draaide een verouderde versie van php: lager dan 5.6. ‘Bij de versie 5.6 of hoger tot 7 van php zijn security updates nog vrij eenvoudig uit te voeren. Bij versies onder 5.6 is dit niet het geval. Eigenlijk zou je kunnen zeggen dat alles wat lager ligt dan 5.6 zo lek is als een mandje.’
4. Gebrek aan continuïteit
Dit laatste onderdeel valt niet rechtstreeks te meten via één parameter, maar uit zich in een aantal maatregelen. ‘Webshops worden steeds belangrijker voor bedrijven. Men zorgt er dus maar beter voor dat hierover degelijke afspraken worden gemaakt’, raadt Guldentops aan. Hij denkt hierbij aan sla’s, ook rond veiligheid. Allemaal duidelijke afspraken met de leverancier rond zaken als beschikbaarheid, tro (recovery time objective), rpo (recovery point objective), monitoring, veiligheidsniveau of updates.’
Vaak zijn eigenaars van webshops zich te weinig bewust van technische implicaties. ‘Zorg dus dat je altijd zelf je data in handen hebt. En let op voor Denial of Service-aanvallen. Ga hiervoor in zee met een partner die hier raad mee weet.’
Security is bovenal een continu proces. ‘Je kan moeilijk alles installeren en dan vijf jaar wachten en gerust zitten’, vindt Guldentops. ‘Uiteindelijk moet je ervan uitgaan dat iedereen vroeg of laat met securityproblemen te maken krijgt. Alleen moet je ze zoveel mogelijk beperken’, stelt hij ‘Waar ik me ongemakkelijk bij voel, zijn mensen en bedrijven die op dit vlak beweren dat ze onfeilbaar zijn. Maar in security is niemand is onfeilbaar.’
