Goede online beveiliging begint bij de basis

Security is, net als hosting, vaak een sluitpost van een website of een webwinkel. Goede beveiliging begint echter bij de basis en is een proces: ontwerpen, bouwen, testen en monitoren. Beveiliging is ook een attitude, een manier van werken. Hoe beveilig je je online business, zonder allerlei drempels op te werpen voor de bezoekers?

Slot
Vaak wordt eerst een website gebouwd, daarna nagedacht waar de website te plaatsen en tenslotte geprobeerd met een soort hangslot ongenode gasten te weren. Het aantal hangsloten dat, zonder de daar bijbehorende fiets, in grote steden aan hekken en verkeerspalen vastgeroest zit, geeft precies weer hoe goed dit werkt. Een stevig slot is geen garantie dat een fiets niet wordt gestolen. En: goede beveiliging bestaat uit meerdere lagen. Een fiets die in het volle licht in een fietsenrek staat, wordt minder snel gestolen dan een fiets die in een donker park aan een boom is vastgeketend.

Over-compliancy
Na een inbraak volgt als natuurlijke tegenreactie: over-compliancy. De site wordt volledig dichtgetimmerd of zelfs offline gehaald. Accessibility en Usability, in het voortraject nog zo belangrijk, worden volledig vergeten omwille van de security. Met als gevolg een omslachtig bestelproces, dalende conversie en ontevreden klanten die weglopen naar de concurrent.

Begin bij het begin
Goede beveiliging begint bij de basis en beveiliging is een proces: ontwerpen, bouwen, testen en monitoren. Maar beveiliging is ook een attitude, een manier van werken:

• Wijzig wachtwoorden regelmatig
• Zorg voor goede antivirus-software en update deze regelmatig
• Zorg dat klantgegevens en andere data veilig zijn en voorzien van een reservekopie voor als het misgaat.
• Zend privacy gevoelige informatie bij voorkeur gecodeerd wanneer gebruik wordt gemaakt van openbare netwerken (Internet!).
• Zorg dat informatie beveiliging wordt ingebed in de organisatie, train medewerkers en leg procedures vast
• Voorzie netwerk en computersysteem van voor de hand liggende technische beveiligingsmaatregelen, zoals firewalls, waardoor verkeer van medewerkers die aan het systeem moeten werken wordt  gescheiden van bezoekers die iets willen bestellen.
• Denk ook aan IDS systemen die potentiële inbraken signaleren zodat direct actie kan worden ondernemen.
• Test de aanwezige beveiligingssystemen zelf regelmatig

Als al deze zaken vanaf de bouw van de website zijn geregeld, is de basis in orde. Maar er is meer nodig, bijvoorbeeld Vulnerability Scanning: software die systemen scant op mogelijke onveiligheden. En natuurlijk is het regelmatig patchen (updaten) van systemen op basis van de resultaten van deze scans een integraal onderdeel van de basis beveiliging. Hackers zijn immers altijd op zoek naar servers en websites die nog niet zijn voorzien van de laatste (OS) updates.

Waar ligt de verantwoordelijkheid?
Security zou vanaf het begin moeten worden meegenomen in een online business plan. Denk dus na over de gevolgen van een mogelijke DDos aanval op uw website en dat iemand met erg veel interesse de creditcard betalingen van uw website volgt. De hostingprovider is daar namelijk niet voor verantwoordelijk. Een SLA is natuurlijk van belang, daar staat meestal een vergoeding in vermeld, maar gevolgschade wordt bijna nooit vergoed. De SLA-breuk gaat over het “niet leveren van de minimale service”. In het beste geval krijg u dus het betaalde maandbedrag terug, maar dat zal in de meeste gevallen slechts een fractie zijn van de gederfde inkomsten. Als u creditcard betalingen toestaat op uw website, moet u zelf zorgen dat deze PCI-DSS compliant is. Is dat niet het geval en komen gegevens van creditcardhouders “op straat”, dan loopt u het risico van een boete die kan oplopen tot 750.000 dollar.

Uitbesteden voor zekerheid
Er zijn vele partijen in de markt die de betalingen kunnen afwikkelen en dit binnen uw eigen winkel kunnen integreren. Maar ook het analyseren van uw huidige situatie zou u eigenlijk door een derde partij moeten laten uitvoeren. Hoge veiligheidseisen kunnen een reden zijn  om creditcard betalingen te laten verlopen via een Payment Provider. Maar zelfs dan gaat uw eigen verantwoordelijkheid ver. Want wat niet wordt geregeld in de SLA, noch in het contract, is de bijvoorbeeld de vraag of er door uw leverancier een gedegen huishouding wordt gevoerd. U zult dus zelf moeten onderzoeken hoe de zaken bij uw leverancier(s) zijn geregeld. Heeft de leverancier back-to-back overeenkomsten met zijn eigen leveranciers, is de operatie daadwerkelijk ingericht en bemand om de veiligheid van uw online business 24/7 te monitoren? Want als u slaapt, is men in andere delen van de wereld klaarwakker en niet altijd met de beste bedoelingen. De recente Diginotar hack bijvoorbeeld, waardoor heel veel overheidssites plotseling onveilig en daardoor onbruikbaar werden, vond zijn oorsprong in Iran.

Tijd voor een check
Als u het nog niet heeft gedaan is het dus tijd om de veiligheid van uw online business eens goed onder de loep te nemen. Ook als u dit heeft uitbesteed, is het goed nog eens na te gaan hoe het bij uw leveranciers is geregeld. Wat is de ervaring van de mensen die daar werken, zijn zij gecertificeerd, hoe zijn de processen ingericht en in het geval van calamiteiten, hoe verlopen de escalaties?

En tenslotte: monitor en analyseer het verkeer op uw websites. In offline winkels zijn camera’s aanwezig om de veiligheid te verhogen en diefstal te voorkomen. Als u denkt dat dit bij een online winkel niet nodig is, is het hoog tijd om wakker te worden. Doe het nog voordat mooie dromen over grote omzetten veranderen in een nachtmerrie die niet alleen uw omzet, maar ook uw reputatie om zeep helpt.

)*Auteur  Egbert Veldhuis is Marketing Manager Europe bij Terremark