Informatiebeveiliging voor webwinkels: de checklist

Webwinkels maken het mogelijk voor het midden- en kleinbedrijf om te concurreren met grote bedrijven handel van goederen en diensten aan consumenten. Het aantal webwinkels is de afgelopen jaren explosief gegroeid en de e-commerce verdringt de traditionele detailhandel. Een belangrijke uitdaging in e-commerce is om de informatiebeveiliging op peil te houden, om zowel het de online retailer en de klant te beschermen.

Het is meestal niet rendabel voor bedrijven in het midden- en kleinsegment om een maatwerk webwinkel op te zetten. In deze gevallen wordt er gebruik gemaakt van een standaard (open source) pakket. Een nadeel aan deze aanpak is het gebrek aan controle over standaarden in privacy en informatiebeveiliging binnen deze software. Kleinere en middelgrote bedrijven beschikken bovendien minder vaak over de breed georiënteerde teams van ingenieurs die grote bedrijven wel hebben.

Dit artikel helpt managers en ingenieurs binnen kleine en middelgrote online retailers om webwinkels meer weerbaar te maken tegen aanvallen en calamiteiten online.

Informatiebeveiliging voor e-commerce

Meest voorkomende risico’s voor webwinkels

Informatiebeveiliging omvat het identificeren van risico’s en bedrijfsmiddelen hiertegen te beschermen. Dit houdt ook in het kunnen detecteren van bedreigingen en gepast kunnen reageren wanneer aanvallen of calamiteiten optreden. De onderstaande risico’s zijn bijzonder relevant voor webwinkels.

Cross-site scripting (XSS)

Hackers kunnen in staat zijn schadelijke scripts op websites en webwinkels te installeren. In het bijzonder thema’s en andere front-end modules zijn hier kwetsbaar voor. Criminelen kunnen op deze manier login – en creditcard data stelen. Ook kunnen door middel van deze scripts andere websites, of computers van klanten geïnfecteerd worden.

Ransomware aanvallen

Een script wordt uitgevoerd op een server, of een persoonlijke computer van het e-commerce bedrijf dat vervolgens alle bestanden versleutelt en ontoegankelijk maakt. Dit script wordt vaak geïnstalleerd door manipulatie van gebruikers door middel van phishing. Het risico dat hierbij hoort is dat de website offline gaat en niet hersteld kan worden, inclusief klantdata die hierbij hoort.

Creditcard fraude

Gestolen creditcard data worden verhandeld op het dark web en worden onder andere gebruikt om aankopen te doen op webwinkels. Wanneer dit lukt wordt het vaak opgemerkt door de eigenaar van de creditcard, die dan een chargeback initieert. De webwinkel heeft dan al het product uitgeleverd, maar verliest nu de omzet die hierbij hoort. Daarnaast loopt de webwinkel reputatieschade op.

Phishing en social engineering

Veelal per e-mail worden berichten verstuurd die zo zijn gemaakt dat het lijkt of ze afkomstig zijn van een legitiem bedrijf. Wanneer men de link volgt in een dergelijke e-mail kan er een script worden uitgevoerd, of kan men gemanipuleerd worden logindata in te voeren. Het risico is dat malware geïnstalleerd kan worden of dat bedrijfsmiddelen of data gestolen worden.

SQL injectie

Bij deze techniek wordt een SQL-script ingevoerd op een locatie van de website waar data kan worden ingevoerd door gebruikers of andere machines. Deze locatie op een website wordt ook wel een endpoint genoemd, zoals bijvoorbeeld een formulier. Op deze manier kan data worden toegevoegd, gestolen of gewist. Het is een bekende techniek waar websites gemakkelijk tegen kunnen worden beschermd door de input ‘op te schonen’. Maar toch zijn er nog veel websites die hier niet goed tegen beschermd zijn.

Kwaadaardige bots

Programma’s die websites crawlen, ook bots genaamd worden ontwikkeld om securityzwaktes te vinden en uit te buiten. Veel van de hierboven genoemde aanvallen worden door automatische bots uitgevoerd. Sommige bots kopiëren pagina’s en producten van de website om elders te dupliceren. Andere bots leggen de verkoop stil door alle producten te reserveren, of trekken de bezoekersdata scheef.

De webwinkel beschermen tegen risico’s in informatiebeveiliging

Over het onderwerp van het beschermen van je webwinkel tegen online dreigingen heb je wellicht gehoord van ISO27001, PCIDSS, OWASP en AVG. Dit zijn wereldwijde, danwel Europese standaarden die best practices beschrijven in bescherming van informatie en privacy.

Belangrijk om hierbij op te merken is dat het volgen van deze standaarden niet noodzakelijk een garantie geeft op veiligheid. Ook de punten hieronder geven geen garanties, maar ze geven je wel concrete suggesties om belangrijke stappen door te voeren in informatiebeveiliging voor de webwinkel.

Maak regelmatig back-ups

Backups bieden een hoge mate van beveiliging en zijn een gepast startpunt. Backups beschermen tegen ransomware, vandalisme, technische calamiteiten, of andere scenario’s waarbinnen source code en data verloren of beschadigd kunnen raken. Bovendien dienen backups om een roll-back te kunnen uitvoeren wanneer een update of wijziging iets aan de webwinkel kapot heeft gemaakt.

Wees voorzichtig met modules en thema’s van derden

Gebruik alleen modules van derde partijen van een betrouwbare bron en voer een screening uit op deze modules. Punten om naar te zoeken in deze screening zijn:

Update de webwinkel regelmatig

Het beste is om updates voor modules van derde partijen en voor de basisbroncode direct na publicatie te installeren. Het is normaal dat software beveiligingslekken bevat die continu worden ontdekt en verholpen. Beveiligingslekken worden in veel gevallen ook openbaar, met name voor populaire open-source projecten zoals WordPress en Drupal. Door te updaten bescherm je de webwinkel tegen bekende beveiligingslekken.

Verwerk betalingsdata van de klant niet zelf

Tenzij het echt noodzakelijk is, is het beter om betalingsdata van de klant te laten verwerken door een payment service provider (PSP), in plaats van op de webwinkel. Het betalingsproces en de betalingsdata zijn doelwitten voor hackers om te manipuleren. Vooral creditcarddata zijn gevoelig en kunnen in de praktijk gestolen worden door middel van bijvoorbeeld cross-site scripting. Maak gebruik van de kennis, expertise en het schaalvoordeel dat de PSP’s hebben in het beveiligen van betalingen.

Kies de hostingpartij zorgvuldig uit

Automatisch betekent dit bovendien dat het niet een verstandige optie is om de webwinkel te hosten op een server in eigen beheer. Kies dan niet zomaar iedere hostingpartij, maar kijk ook naar wat voor hostingpakketten er worden aangeboden. Kijk of er een SLA beschikbaar is die meer zekerheid geeft. Download ook een uittreksel van de KVK om het uiteindelijke hostingbedrijf iets dieper te kunnen screenen. Om het echt grondig aan te pakken kun je nagaan in welk datacenter de hostingservers plaats hebben en of er een ISO27001 certificaat beschikbaar is.

Beoordeel je webwinkel met de OWASP standaard

Het open web application security project (OWASP) publiceert ieder jaar een top tien van belangrijkste informatierisico’s voor webapplicaties. De risico’s gaan samen met stappen die genomen kunnen worden om ze te mitigeren. Deze bron is vooral voor webdevelopers handig om te toetsen hoe de huidige webwinkel en web development praktijken beter kunnen worden beveiligd.

Bekijk ook de cheat sheet series van OWASP: https://cheatsheetseries.owasp.org/IndexTopTen.html.

Gebruik 3D-authenticatie voor creditcards

3D-authenticatie kun je zien als een vorm van tweefactorauthenticatie voor creditcards. Zonder 3D-authenticatie kan een order simpelweg worden afgerekend met het creditcard nummer, de verloopdatum en de CVC code. Het risico op betalingen met gestolen creditcards en chargebacks die meestal volgen is hiermee groot. De meeste PSP’s zijn in staat om 3D-authenticatie voor creditcards af te dwingen zodat tijdens het afrekenen een bevestiging van identiteit moet worden meegegeven. Dit houdt bijvoorbeeld in dat de klant een code uit haar creditcard-app moet invoeren.

Gebruik zo veel mogelijk tweestapsauthenticatie

In persoonlijke setting, professioneel, binnen studie, maar ook voor alle accounts die te maken hebben met de webwinkel is tweefactorauthenticatie sterk aan te raden. Dit geldt bijvoorbeeld voor het hostingpaneel, de Google services, of het PSP-klantenpaneel. Het lekken, geraden – of gekraakt worden van wachtwoorden is een potentiële oorzaak van een inbreuk op de webwinkel. Dit risico wordt gemitigeerd door tweefactorauthenticatie in te schakelen voor je accounts.

O ja, gebruik SSL voor het versleutelen van de HTTP-verbinding tussen de server van de webwinkel en de bezoekers. Maar als het goed is zijn er in 2021 geen webwinkels meer zonder HTTPS, toch? Lees ook: SSL certificaat installeren.

Conclusie

Dit artikel heeft een overzicht gegeven van de belangrijkste risico’s en mitigatiemaatregelen voor beveiliging van voornamelijk open-source gebaseerde, kleine en middelgrote webwinkels. Niet alle scenario’s worden hier besproken. Zo zijn er bijvoorbeeld nog het belang van incidentregistratie, protocollen, sleutelbeheer, encryptie en training. Maar je hebt niet een ISO27001-certificaat nodig om goed beveiligd te zijn. Door je bewust te zijn van deze risico’s, slimme maatregelen te nemen en een dosis goed verstand kun je een goed niveau van informatiebeveiliging halen.