Webwinkel achilleshiel van uw digitale beveiliging?

Consumenten en zakelijke afnemers verwachten steeds meer digitaal gebruiksgemak en willen de kosten- en tijdvoordelen incasseren van een goed georganiseerde webwinkel. Verkoopafhankelijke bedrijven kunnen (en willen) dan ook niet meer zonder online verkoopfiliaal. Sommige worden zelfs web only.

Digitale bedreigingen

Met de groeiende populariteit van webwinkels nemen ook de veiligheidsrisico’s toe. Het gemak waarmee zijn team bij kwetsbaarheidstesten weet door te dringen tot de diepste geheimen van de webwinkel en de achterliggende databestanden en systemen, verbaast Tonne Mulder van PwC nog dagelijks.

‘Gezien het steeds grotere belang van online verkopen voor organisaties, is het zorgelijk dat er nog zo weinig aandacht is voor een betere beveiliging van voor iedereen toegankelijke websites’, vertelt de digitale beveiligingsexpert. ‘Zeker als je bedenkt dat vrijwel elke webwinkel tegenwoordig wel is gekoppeld aan de informatiesystemen van het moederbedrijf, en cybercriminelen steeds professioneler en vindingrijker worden. De webwinkel is de achilleshiel van de digitale beveiliging geworden.’

Cybercriminaliteit

De koppeling van de webshop aan informatiesystemen en databestanden van het bedrijf maakt websites complexer. En als de complexiteit toeneemt, groeit ook de kans op uitglijders, constateert forensisch onderzoeker Gerwin Naber van PwC. Bovendien lijkt het kraken en (tijdelijk) onbereikbaar maken van webshops te zijn ontdekt als een zeer lucratieve en relatief eenvoudige manier van cybercriminaliteit.

Uit de onderzoeksresultaten van de 2011-editie van het Global Economic Crime Survey van PwC bleek dat bij vijftien procent van de deelnemende grote en middelgrote bedrijven in Nederland in de afgelopen twee jaar vitale klant- en/of bedrijfsgegevens zijn ontvreemd of gemanipuleerd. Mulder en Naber vermoeden dat de meeste cybercriminelen zich toegang hebben verschaft tot deze gegevens via de website of webwinkel.

Beveiliging

Het beveiligen van de webwinkel verdient al in de ontwerpfase van de website aandacht. Vaak gaat men er ten onrechte van uit dat de leverancier van de website de beveiliging er “wel even” bij doet, waardoor onvoldoende rekening wordt gehouden met de beveiligingsaspecten. Mulder: ‘Achteraf iets inbouwen in een bestaand model is bovendien duurder en onderhoudsgevoeliger.’

Een andere noodzakelijke preventieve maatregel is om de eigen medewerkers te overtuigen alert te zijn op misstanden en ze duidelijk te maken dat ze hun digitale hygiëne op orde moeten hebben. Zo zijn wachtwoorden, die toegang bieden naar het besturingshart van het digitale filiaal, vaak bij (te) veel mensen bekend of simpelweg te kraken.

De fysieke tegenmaatregelen bij bestaande webwinkels moeten beginnen met het uitvoeren van een uitgebreide risicoanalyse, zoals het in kaart brengen welke integriteitsrisico’s een organisatie loopt. Aansluitend moet een response plan worden opgesteld, waarin wordt vastgelegd hoe te handelen bij reële of verwachte cyberdreiging.

Hackers

Om te kijken of al deze voorzorgsmaatregelen in de praktijk doelmatig zijn, kunnen er kwetsbaarheidtesten worden gedaan. ‘Dat levert steeds weer nieuwe inzichten op’, oordeelt Mulder. ‘De hackers van ons team zijn getraind om net zo te denken en te handelen als criminele hackers. Zelfs als de opdrachtgever denkt dat men afdoende beveiligd is, weten wij altijd wel weer een gaatje of zwakheid te vinden in de webwinkel of de daaromheen gebouwde infrastructuur. Je kunt je in deze tijd nu eenmaal nooit meer helemaal veilig voelen.’

Dit artikel is onderdeel van het relatieblad ‘Inzake uw zaken’ van PwC, te downloaden via www.inzakeuwzaken.nl