De drukste winkelstraat van het land bevindt zich niet meer in Antwerpen of Brussel, maar op internet. In een paar clicks hebben we een bestelling geplaatst én betaald. Soms staat de postbode een dag later al met ons pakje voor de deur. We vinden het zo gewoon dat we niet meer stilstaan bij de belangrijkste vraag: is het allemaal wel zo veilig?
Voor wie er nog aan twijfelde: online-winkelen is tijdens de pandemie definitief doorgebroken. Er bestaan volgens recente cijfers van BeCommerce intussen meer dan 45.000 webwinkels die gelinkt zijn aan een Belgische onderneming. Een derde van die webshops is in de voorbije vijf jaar opgericht en de meerderheid van de online-winkels hoort bij een kleine startup.
Tegelijkertijd is ook cybercriminaliteit het afgelopen anderhalf jaar geavanceerd. En voor cybercriminelen zijn webshops interessante doelwitten. Winkellocaties, kantoren en magazijnen staan meer en meer met elkaar in verbinding, waardoor de volledige supply chain kwetsbaar is voor cyberaanvallen. Om de ervaring van klanten te verbeteren, grijpen retailers ook vaker naar iot-apparaten, onder meer via mobiele point-of-sale-terminals. Al die toestellen op hun beurt zijn weer geconnecteerd met gecentraliseerde systemen die verbinding maken met het e-commerceplatform van een detailhandelaar.
Gamma
Er zijn met andere woorden tal van deuren die hackers kunnen forceren om toegang tot een webwinkel of een ander digitaal platform te krijgen. Ze benutten daarbij het complete gamma aan aanvalsmogelijkheden: phishing, ddos-aanvallen, man-in-the-middle-aanvallen, malware, ransomware… Een incident kan allerlei gevolgen hebben, van schending van privacy tot verlies van klantgegevens en zelfs verstoring van de dienstverlening.
Als klant staan we er zelden bij stil dat een online-aankoop in een slecht beveiligde webwinkel catastrofaal kan aflopen. Uit recent onderzoek blijkt dat retail goed is voor twaalf procent van de securityincidenten; enkel de publieke sector en de gezondheidszorg worden vaker geviseerd.
Uiteraard zijn grote webwinkels het interessantst omwille van het grote aantal gebruikers en transacties. Maar eigenlijk mag geen enkele webshop zich honderd procent veilig voelen. Begin dit jaar waren we bijvoorbeeld nog getuige van één van de grootste datalekken in de lage landen via de webwinkel van Allekabels.nl. De wachtwoorden en gegevens van 3,6 miljoen Belgen en Nederlanders zijn toen gestolen en te koop aangeboden op een hackersforum.
Waterdicht
Door de uitbraak van het virus en de sluiting van de fysieke winkels waren veel retailers genoodzaakt om zo snel mogelijk een webshop op te zetten. Moeilijk is dat niet, want er circuleren tal van tools waarmee je in een handomdraai je eigen webwinkel uit de grond kunt stampen. Dat zijn doorgaans niet de meest waterdichte oplossingen.
Dit zijn de vier meest gemaakte fouten en hoe je ze kunt vermijden om zelf wel voor een veilige online-winkelomgeving te zorgen:
- Geen begrip van bedreigingen
Wie een huis bouwt, moet eerst stevige fundamenten aanleggen zodat het gebouw niet instort. Bij het maken van een webshop geldt hetzelfde principe. Security moet doorheen de hele cyclus van de webshop een centrale plaats krijgen: van ontwerp en ontwikkeling tot gebruik en onderhoud. Vaak zien we dat bedrijven bij de bouw van een digitaal platform vanuit functionaliteit vertrekken. Ze willen er businesswaarde mee creëren en een voordeel op de concurrentie krijgen, maar houden te weinig rekening met de manier waarop ze het platform ontwikkelen. Daarom is het belangrijk dat specialisten eerst een ‘threat landscape’ schetsen, zodat je weet welke bedreigingen er bestaan.
- Het ontbreken van securityvereisten
Als je de belangrijkste bedreigingen kent, dan kan je vanuit dat ‘threat landscape’ de vereisten op het vlak van security en compliance voor je digitaal platform uitwerken. Tegenwoordig moet je ook rekening houden met strenge regels rond privacy, zoals de GDPR-wetgeving. Al die securityvereisten dienen als leidraad voor het ontwerp en de ontwikkeling van de webshop.
- Gebrek aan informatiedoorstroming naar ontwikkelaars
Ontwikkelaars zijn te vaak nog niet goed op de hoogte van de bedreigingen die een impact kunnen hebben op de webshop die ze bouwen en de securityvereisten waaraan de webshop moet voldoen. Daarom is het belangrijk dat ze over alle informatie beschikken en goede codeerpraktijken kunnen garanderen. Laat specialisten daarom ook ‘use-cases’ en ‘abuse-cases’ zien waarmee ontwikkelaars kunnen testen of ze aan alle vereisten voldoen.
- Securityvereisten zijn niet afdwingbaar
Er is geen garantie dat een ontwikkelaar de volgende keer automatisch alle securityvereisten zal volgen. We moeten bepaalde zaken daarom afdwingbaar maken via een ciI/cd-(continuous integration/continuous deployment)-pipeline. Vandaag verschijnen er dagelijks nieuwe versies van software en dat kunnen we alleen maar opvolgen door dingen in een devsecops-context te automatiseren.
Waar op te letten?
De grootste verantwoordelijkheid voor het creëren van een veilige online-winkelervaring ligt bij de retailers zelf. Maar ook als gebruiker zijn er een paar dingen die je kunt doen om jouw online-transacties zo veilig mogelijk te laten verlopen:
-
Kies altijd een sterk wachtwoord als je ergens een account aanmaakt;
-
Houd je software up-to-date;
-
Wees alert voor phishing en social engineering-praktijken waarbij een hacker gevoelige informatie probeert te ontfutselen;
-
Kies voor webshops met een secure sockets layer (ssl)-certificaat. Ssl versleutelt de communicatie tussen webserver en browser, wat tot een veiligere gebruiksomgeving leidt. Je herkent websites met een ssl-certificaat aan het slotje in de adresbalk van de browser en aan het gebruik van https in plaats van http;
-
Check eventueel de ervaringen van andere klanten met een webshop;
-
Denk je toch het slachtoffer te zijn geworden van oplichting? Verwittig dan onmiddellijk je bank en doe aangifte bij de politie.
