Webwinkels maken het mogelijk voor het midden- en kleinbedrijf om te concurreren met grote bedrijven door directe verkoop aan consumenten. Het aantal webwinkels is de afgelopen jaren explosief gegroeid en de e-commerce verdringt de traditionele detailhandel. Een belangrijke uitdaging in e-commerce is om de informatiebeveiliging op peil te houden. Zo wordt zowel het de online retailer en de klant beschermd.
Het is meestal niet rendabel voor bedrijven in het midden- en kleinsegment om een maatwerk webwinkel op te zetten. In deze gevallen wordt er gebruik gemaakt van een standaard (open source) pakket. Een nadeel aan deze aanpak is het gebrek aan controle over standaarden in privacy en informatiebeveiliging binnen deze software. Bovendien hebben kleine en middelgrote bedrijven minder vaak de breed georiënteerde teams van ingenieurs die grote bedrijven wel hebben.
Dit artikel helpt managers en ingenieurs binnen kleine en middelgrote online retailers om webwinkels meer weerbaar te maken tegen aanvallen en calamiteiten online.
Informatiebeveiliging omvat het identificeren van risico’s en bedrijfsmiddelen hiertegen te beschermen. Dit betekent ook detecteren van bedreigingen en gepast reageren wanneer aanvallen of calamiteiten optreden. De onderstaande risico’s zijn bijzonder relevant voor webwinkels.
Hackers kunnen schadelijke scripts op websites en webwinkels te installeren. In het bijzonder thema’s en andere front-end modules zijn hier kwetsbaar voor. Criminelen kunnen op deze manier login- en creditcarddata stelen. Vervolgens kunnen andere websites, of computers van klanten geïnfecteerd worden.
Een script wordt uitgevoerd op een server, of een persoonlijke computer van het e-commerce bedrijf. Hiermee worden vervolgens alle bestanden versleuteld en ontoegankelijk gemaakt. Dit script wordt vaak geïnstalleerd door manipulatie van gebruikers door middel van phishing. Het risico hiervan is dat de website offline gaat en niet hersteld kan worden, inclusief klantdata die hierbij hoort.
Gestolen creditcarddata worden verhandeld op het dark web en worden onder andere gebruikt om aankopen te doen op webwinkels. Wanneer dit lukt wordt het vaak opgemerkt door de eigenaar van de creditcard, die dan een chargeback initieert. De webwinkel heeft dan het product uitgeleverd, maar verliest nu de omzet die hierbij hoort. Daarnaast loopt de webwinkel reputatieschade op.
Veelal per e-mail worden berichten verstuurd die zo zijn gemaakt dat het lijkt alsof ze van een legitiem bedrijf komen. Wanneer men de link volgt in een dergelijke e-mail kan er een script worden uitgevoerd, of kan men gemanipuleerd worden logindata in te voeren. Het risico is dat malware geïnstalleerd wordt of dat bedrijfsmiddelen of data gestolen worden.
Bij deze techniek wordt een SQL-script ingevoerd op een webpagina waar data wordt ingevoerd door gebruikers of andere machines. Deze locatie op een website wordt ook wel een endpoint genoemd, zoals bijvoorbeeld een webformulier. Op deze manier kan data worden toegevoegd, gestolen of gewist. Het is een bekende techniek waar websites gemakkelijk tegen kunnen worden beschermd door de input ‘op te schonen’. Maar toch zijn er nog veel websites die hier niet goed tegen beschermd zijn.
Programma’s die websites crawlen, ook bots genaamd worden ontwikkeld om securityzwaktes te vinden en uit te buiten. Veel van de hierboven genoemde aanvallen worden door automatische bots uitgevoerd. Sommige bots kopiëren pagina’s en producten van de website om elders te dupliceren. Andere bots leggen de verkoop stil door alle producten te reserveren, of trekken de bezoekersdata scheef.
Over het onderwerp van het beschermen van je webwinkel tegen online dreigingen heb je wellicht gehoord van ISO27001, PCIDSS, OWASP en AVG. Dit zijn wereldwijde, danwel Europese standaarden die best practices beschrijven in bescherming van informatie en privacy.
Belangrijk om hierbij op te merken is dat het volgen van deze standaarden niet noodzakelijk een garantie geeft op veiligheid. Ook de punten hieronder geven geen garanties, maar ze geven je wel concrete suggesties om belangrijke stappen door te voeren in informatiebeveiliging voor de webwinkel.
Backups bieden een hoge mate van beveiliging en zijn een gepast startpunt. Backups beschermen tegen ransomware, vandalisme, technische calamiteiten, of andere scenario’s waarbinnen source code en data verloren of beschadigd kunnen raken. Bovendien dienen backups om een roll-back te kunnen uitvoeren wanneer een update of wijziging iets aan de webwinkel kapot heeft gemaakt.
Gebruik alleen modules van derde partijen van een betrouwbare bron en voer een screening uit op deze modules. Punten om naar te zoeken in deze screening zijn:
Het beste is om updates voor modules van derde partijen en voor de basisbroncode direct na publicatie te installeren. Het is normaal dat software beveiligingslekken bevat die continu worden ontdekt en verholpen. Beveiligingslekken worden in veel gevallen ook openbaar, met name voor populaire open-source projecten zoals WordPress en Drupal. Door te updaten bescherm je de webwinkel tegen bekende beveiligingslekken.
Tenzij het echt noodzakelijk is, is het beter om betalingsdata van de klant te laten verwerken door een payment service provider (PSP), in plaats van op de webwinkel. Het betalingsproces en de betalingsdata zijn doelwitten voor hackers om te manipuleren. Vooral creditcarddata zijn gevoelig en kunnen in de praktijk gestolen worden door middel van bijvoorbeeld cross-site scripting. Maak gebruik van de kennis, expertise en het schaalvoordeel dat de PSP’s hebben in het beveiligen van betalingen.
Automatisch betekent dit bovendien dat het niet een verstandige optie is om de webwinkel te hosten op een server in eigen beheer. Kies dan niet zomaar iedere hostingpartij, maar kijk ook naar wat voor hostingpakketten er worden aangeboden. Kijk of er een SLA beschikbaar is die meer zekerheid geeft. Download ook een uittreksel van de KVK om het uiteindelijke hostingbedrijf iets dieper te kunnen screenen. Om het echt grondig aan te pakken kun je nagaan in welk datacenter de hostingservers plaats hebben en of er een ISO27001 certificaat beschikbaar is.
Het open web application security project (OWASP) publiceert ieder jaar een top tien van belangrijkste informatierisico’s voor webapplicaties. De risico’s gaan samen met stappen die genomen kunnen worden om ze te mitigeren. Deze bron is vooral voor webdevelopers handig om te toetsen hoe de huidige webwinkel en web development praktijken beter kunnen worden beveiligd.
Bekijk ook de cheat sheet series van OWASP: https://cheatsheetseries.owasp.org/IndexTopTen.html.
3D-authenticatie kun je zien als een vorm van tweefactorauthenticatie voor creditcards. Zonder 3D-authenticatie kan een order simpelweg worden afgerekend met het creditcard nummer, de verloopdatum en de CVC code. Het risico op betalingen met gestolen creditcards en chargebacks die meestal volgen is hiermee groot. De meeste PSP’s zijn in staat om 3D-authenticatie voor creditcards af te dwingen zodat tijdens het afrekenen een bevestiging van identiteit moet worden meegegeven. Dit houdt bijvoorbeeld in dat de klant een code uit haar creditcard-app moet invoeren.
In persoonlijke setting, professioneel, binnen studie, maar ook voor alle accounts die te maken hebben met de webwinkel is tweefactorauthenticatie sterk aan te raden. Dit geldt bijvoorbeeld voor het hostingpaneel, de Google services, of het PSP-klantenpaneel. Het lekken, geraden – of gekraakt worden van wachtwoorden is een potentiële oorzaak van een inbreuk op de webwinkel. Dit risico wordt gemitigeerd door tweefactorauthenticatie in te schakelen voor je accounts.
O ja, gebruik SSL voor het versleutelen van de HTTP-verbinding tussen de server van de webwinkel en de bezoekers. Maar als het goed is zijn er in 2021 geen webwinkels meer zonder HTTPS, toch? Lees ook: SSL certificaat installeren.
Dit artikel heeft een overzicht gegeven van informatiebeveiliging voor webwinkels. Het artikel besprak voornamelijk de belangrijkste risico’s en mitigatiemaatregelen in beveiliging van voornamelijk open-source gebaseerde, kleine en middelgrote webwinkels. Niet alle scenario’s worden hier besproken. Zo zijn er bijvoorbeeld nog het belang van incidentregistratie, protocollen, sleutelbeheer, encryptie en training. Maar je hebt niet een ISO27001-certificaat nodig om goed beveiligd te zijn. Door je bewust te zijn van deze risico’s, slimme maatregelen te nemen en een dosis goed verstand kun je een goed niveau van informatiebeveiliging halen.