Retailer vreest vooral reputatieschade door hack

Het risico op een flinke deuk in de reputatie lijkt dus een goede reden voor bedrijven om serieus werk te maken van de beveiliging van hun webshop. Toch geeft veertig procent van de onderzochte bedrijven aan niet in staat te zijn om internetcriminaliteit te voorkomen of detecteren. En dit is koren op de molen van internetcriminelen.

Webwinkel gemakkelijk doelwit voor hackers

‘We zien helaas dat webwinkels steeds vaker worden aangevallen om klantgegevens te bemachtigen’, vertelt Erwin de Horde, partner binnen de websecurity praktijk van PwC. ‘Doordat webwinkels vaak onvoldoende beveiligd zijn, vormen zij een gemakkelijk doelwit voor hackers.’

De opkomst van internetcriminaliteit is sterk gerelateerd aan de groei van online winkelen. Daar komt bij dat internetcriminaliteit een relatief veilige werkwijze is, waarbij met geringe investeringen grote winsten kunnen worden behaald. Door het grenzeloze karakter van internetcriminaliteit is de pakkans relatief klein.

Webwinkel heeft te weinig inzicht in kwaliteit eigen beveiliging

‘Consumenten laten persoonsgegevens en betaalinformatie achter bij webwinkels in de veronderstelling dat deze goed beveiligd worden. Dat terwijl veel organisaties onvoldoende in staat zijn om de kwaliteit van de veiligheid van hun webshop te beoordelen’, aldus Tonne Mulder, websecurity-specialist bij PwC.

Dat komt enerzijds doordat online veiligheid vaak onvoldoende aandacht krijgt binnen organisaties. Anderzijds doordat het ontwerp, de bouw en het beheer - inclusief de beveiliging - van een webwinkel nog te vaak wordt uitbesteed aan een leverancier.

Neem beveiliging webshop net zo serieus als beveiliging fysieke winkel

Volgens De Horde zijn de meeste beveiligingsproblemen eenvoudig te voorkomen. ‘Denk aan programmeerfouten in de webapplicatie of het ontbreken van kritieke beveiligingsupdates. Door een goed security-ontwerp voorkom je dit soort problemen.’

PwC heeft vier beveiligingsaandachtspunten voor webwinkels:

1. Zie online beveiliging als randvoorwaarde. In de huidige tijd wordt er geen enkele winkel meer geopend zonder de nodige beveiliging in de vorm van camera’s, detectiepoortjes en labeling. Neem de beveiliging van je webwinkel minstens zo serieus, vanaf het begin.
2. Neem preventieve maatregelen. Zorg voor de nodige beveiligingsupdates, hanteer daarnaast veiligheidsstandaarden als PCI-DDS. En voer periodieke security-onderzoeken uit om te zien of de webshop nog afdoende is beveiligd.
   
3. Organiseer detectieve maatregelen. Zo zorgt u ervoor dat beveiligingsincidenten (en de ernst ervan) snel aan het licht komen. Bijvoorbeeld door eerder genoemde security-onderzoeken uit te voeren en door gebruik te maken van auditing & logging en het analyseren van deze gegevens.
   
4. Denk na over reactieve maatregelen. Zorg dat er een crisisplan ligt in het geval van een serieus incident. Essentiële onderwerpen daarin zijn het afsluiten van de website, het informeren van de klanten, pers en andere instanties en het zo spoedig mogelijk weer veilig op kunnen starten van de webshop. Test dit plan ook op gezette tijden.
   

De publicatie 'Websecurity: essentieel onderdeel van multi-channel retail' is te downloaden via de link aan de rechterkant van deze tekst.