Webwinkel beveiliging: zo beveilig je je webshop tegen cybercrime

Webwinkel beveiliging: zo beveilig je je webshop tegen cybercrimeWebwinkel beveiliging: zo beveilig je je webshop tegen cybercrime
Nick Knuppe
Product Marketing Manager
Customer-centric marketer en Go-To-Market perfectionist.

Steeds vaker hoor je van websites die platliggen door een cyberaanval van hackers, lokaal of wereldwijd. Dan komt die vraag weer op: ‘Hoe beveilig ik mijn webshop?’. Terecht, want veiligheidsgaten in je webshopsysteem of server kunnen je veel geld en ook je reputatie kosten. Het gaat niet alleen om je eigen systemen en gegevens, maar ook om het beveiligen van de gegevens die je klanten je toevertrouwen. Hieronder lees je hoe je als webshop eigenaar je website beveiligt voor jezelf maar ook voor je klanten.

Waarom is beveiliging belangrijk voor je webwinkel?

Als webwinkelier heb je te maken met allerlei privacygevoelige gegevens van je klanten. Denk aan klantgegevens, wachtwoorden, bankgegevens, IP-adressen, e-mailadressen. Klanten vertrouwen je die gegevens toe als ze je product of dienst afnemen. Het draait hier om het woord ‘vertrouwen’. Je klanten mogen erop vertrouwen dat je goed omgaat met hun gegevens en dat je je systemen goed beveiligt. Maar een veilige webshop is niet alleen voor je klanten, en voor je reputatie, belangrijk. Je wil ook niet een makkelijke prooi zijn voor cybercrime. 

Wat valt er onder cybercrime?

Cybercrime is een verzamelbegrip voor allerlei illegale activiteit via het internet. Cybercriminelen of hackers breken in op je computers, telefoon of een heel netwerk. Hun doel kan activistisch zijn (denk aan Anonymous) of geo-politiek. Maar meestal gaat het ze gewoon om geld, jouw geld. Dat doen ze door je webshop plat te leggen of je gegevens te stelen. Of die van je klanten. 

Er zijn allerlei soorten cybercriminaliteit. Hieronder sommen we de meest voorkomende soorten op.

  • Virus

Een virus is een klein softwareprogramma dat de werking van je computer verstoort. Het kan gegevens beschadigen of verwijderen, kan je e-mailprogramma en je contacten gebruiken om zichzelf te verspreiden. Een virus komt vaak binnen als bijlage bij een e-mail, bijvoorbeeld vermomd als leuke foto.

  • Malware

De naam zegt het al: Mal (malicious) ware (software). Onder Malware valt alle software die slechte bedoelingen heeft, die opzettelijk schade wil aanrichten. Virus en malware worden vaak als term door elkaar gebruikt.

  • Phishing

Via digitale kanalen (maar ook via de telefoon) hengelen naar informatie door criminelen noemen we phishing. Met bijna niet van echt te onderscheiden mails en websites proberen zij inloggegevens, creditcardinformatie, je pincode of andere persoonlijke gegevens te achterhalen.

  • Randsomware

Randsomware is virussoftware die je computer kaapt. Met een virus wordt je computer of je hele systeem geblokkeerd. De enige manier om weer toegang te krijgen is het losgeld te betalen dat de criminelen vragen. 

  • Botnet

Zonder dat je het doorhebt kan je computer besmet worden met software die maakt dat criminelen je netwerk misbruiken. Bijvoorbeeld voor het versturen van spam, of voor het uitvoeren van cyberaanvallen. Of voor het mijnen van cryptocurrency.

  • DdoS-aanval

DDoS staat voor Distributed Denial-of-Service. Met een DDoS aanval wordt een website of internetdienst opzettelijk overbelast en daardoor onbruikbaar. Het zijn vooral grote organisaties die het doel zijn van DDoS aanvallen, denk aan banken, creditcardmaatschappijen of e-maildiensten.

  • Identiteitsfraude

Bij identiteitsfraude maakt iemand misbruik van persoonlijke gegevens. Deze gegevens worden bijvoorbeeld gebruikt voor het bestellen van producten of diensten. Als webshophouder weet je dit pas als je klant melding doet dat hij bijvoorbeeld de bestelling niet geplaatst heeft maar wel ontvangen.

  • Password cracking

Met een speciaal programma achterhalen cybercriminelen wachtwoorden. Als een wachtwoord met een zwak algoritme is opgeslagen op je computer, dan ontdekt zo’n programma het gemakkelijk. Zelfs als je braaf cijfers, Hoofdletters en symbolen hebt gebruikt.

De 4 basisbeginselen van een veilige webshop

Direct wanneer je gaat starten met e-commerce is het slim om direct webwinkel beveiliging op je to-do-lijstje te zetten. De processen van je webwinkel zijn zo verweven met je organisatie, dat kan je niet los zien. De online security is dan ook een probleem van de hele organisatie, niet alleen van de IT-afdeling. Er zijn een aantal basisbeginselen voor een veilige webshop.

1: Sterke wachtwoorden

Bijna elk programma, app of apparaat heeft een wachtwoord. Mensen vinden wachtwoorden maar lastig om te onthouden. Toch is het gebruiken van sterke wachtwoorden de basisregel van cybersecurity. Met een wachtwoordmanager hoef je maar één hoofdwachtwoord te onthouden en staan al je wachtwoorden in een veilige kluis. 

Wil je het liever zelf doen? Gebruik dan in ieder geval geen getallenreeksen van je toetsenbord en maak ze langer dan 8 tekens. Een wachtwoordzin is vaak makkelijker te onthouden en ook nog veiliger. Overweeg gebruik van tweestapsverificatie, dat is een extra toegangscode naast je wachtwoord, zoals een pincode of een vingerafdruk.

Tip: maak het je klanten makkelijk om een veilig wachtwoord te gebruiken of geef ze de optie om in je checkout zonder account te bestellen. 

2: https-versleuteling

De gegevens die je webshop uitwisselt met klanten kan je beveiligen door het versleutelen ervan. Hiervoor wordt een zogenaamd SSL-protocol gebruikt. Daarmee voorkom je dat hackers de verzonden informatie kunnen zien of stelen. 

3: Back-ups maken

Gebruik van alle programma’s en ook je beveiligingssoftware steeds de laatste versie. De updates repareren zwakke plekken in de software. Maak back-ups van je systemen voor calamiteiten zoals een cyberaanval. Eigenlijk zou je drie back-ups moeten hebben. Het systeem waarmee je werkt, een back-up hiervan, die je liefst op een andere fysieke plek opslaat. En daarnaast nog een back-up in de cloud. Mocht je webshop dan platgelegd worden door cybercriminelen, dan heb je je gegevens nog. 

4: Firewall installeren

Het is aan te raden je netwerk in segmenten op te delen, zo kan een virus niet direct je hele netwerk infecteren. Per segment is het makkelijker om toegang te verlenen alleen aan die mensen die in dat segment moeten zijn. Tussen de segmenten plaats je dan firewalls, die je netwerk beschermen tegen misbruik van buitenaf. 

Het belang van https-versleuteling

Why is SSL encryption so important for online shop operators?

Met een SSL-protocol worden gegevens versleuteld zodat ze veilig uitgewisseld kunnen worden. SSL staat voor Secure Sockets Layer en is weliswaar inmiddels opgevolgd door TLS (Transport Layer Security), maar als term nog steeds gangbaar. Zo beveilig je je website met een ‘SSL-certificaat’, waarbij de nieuwere en veiligere TLS wordt toegepast. 

Op het gangbare communicatieprotocol voor netwerken ‘http’ (Hypertext Transfer Protocol) komt dan een toevoeging met een ‘s’ van Secure. 

Met zo’n https-verbinding bescherm je niet alleen je eigen gegevens, maar ook die van je klanten. Met een SSL-versleuteling laat je je klanten zien dat je de veiligheid van je site en hun privacybescherming serieus neemt. 

Hieraan herken je of een website https-versleuteld is:

  • De toevoeging ‘s’ aan het standaard protocol http, zodat er ‘https’ staat in de url-balk

  • Een icoon van een slotje in de url-balk voor de url

  • Een deel van het websiteadres is mogelijk groen. Dit hangt van het soort certificaat af

Er zijn drie verschillende SSL-certificaten, met verschillende mate van controle op de juistheid van gegevens, de validatiemethode: Domeinvalidatie, Organisatievalidatie en Uitgebreide validatie. Alleen dit laatste certificaat levert een groen slotje in je adresbalk op. 

Hoe kom je aan zo’n SSL-certificaat?

Er zijn allerlei aanbieders van SSL-certificaten of Certificate Authorities (CA), bijvoorbeeld:

  • SSL.com

  • Namecheap

  • TheSSLStore.com

  • GoDaddy SSL

  • GlobalSign

Vergeet niet te checken of je eigen websiteprovider een SSL-certificaat aanbiedt. Deze zijn vaak gratis.

Een veilig betaalsysteem creëren

Als je een veilige webshop wil bieden aan je klanten, hoort beveiliging er gewoon bij. Ontwikkelingen gaan snel, de cybercriminelen zijn creatief en inventief en online security bedrijven moeten alle zeilen bijzetten om bij te blijven. Wat kan je doen om veilige betalingen mogelijk te maken?

Tweestapsverificatie

Niets nieuws onder de zon, we zijn al lang gewend aan de extra stap die je moet doen bij pinbetalingen, bij de geldautomaat, bij iDEAL betalingen, bij mobiel bankieren en internetbankieren. Bij online creditcardbetalingen is dit nu ingevoerd. Met een mobiele app die je ontgrendelt met een pincode, vingerafdruk of gezichtsscan geef je goedkeuring aan een betaling. 

Online betalingen moeten voldoen aan de technische standaarden voor sterke klantauthenticatie van PSD2 (Payment Services Directive 2), de wettelijke richtlijn voor betaaldiensten in de Europese Unie. Daarin is SCA (strong customer authentication) of tweefactorauthenticatie de standaard. Payment Service Providers (PSP’s) of betaaldienstverleners als Mollie, vallen onder de strenge regels van PSD2 en voldoen aan alle online security regels. Als je je webshop betalingen via zo’n betaaldienstverlener regelt, hoef je zelf niet te zorgen dat je up-to-date bent met alle regelgeving.

Verschillende betaalopties, allemaal veilig

Dat die veiligheid gegarandeerd wordt is fijn als je je klanten hun favoriete, vertrouwde betaalmogelijkheden wil bieden. Naast iDEAL en creditcards zijn er zoveel opties bijgekomen. Denk aan

Gegevensbescherming garanderen

Als webshop verwerk je persoonsgegevens. De regels over het gebruiken, bewaren of delen van persoonsgegevens staan in de Algemene verordening persoonsgegevens (AVG). Daarin staat dat je heel duidelijk aan je bezoekers moet uitleggen wat je doet met hun persoonsgegevens, en waarom. Dit zet je in begrijpelijke taal in een privacyverklaring. 

Data protection for online shops

Veelvoorkomende lekken in webshops 

Cybercriminelen gaan op zoek naar de zwakke plekken in je systemen, daarom probeer je die zo goed mogelijk te beveiligen. Maar veel gevallen van hacking zijn terug te voeren naar menselijke fouten. Niet de techniek, maar we zijn vaak zelf de zwakste schakel! 

Bewustwording in je bedrijf

Hoe kan je die menselijke fouten vermijden? Door je medewerkers bewust te maken van de gevaren van onoplettendheid. Als je aangeeft met verhalen uit de praktijk – en die zijn er helaas genoeg – dan zijn die lastige veiligheidsregels makkelijker tot een routine te maken.

Maak goede afspraken over hoe veilig met informatie, systemen en apparaten om te gaan met je medewerkers. Bijvoorbeeld over het altijd vergrendelen van het scherm, meteen installeren van updates en het direct melden van vermiste USB-sticks, mobiele telefoons of laptops. Vergeet vakantiekrachten, uitzendwerkers, stagiairs en freelancers niet mee te nemen hierin. 

10 Tips voor een goed beveiligde webwinkel

10 Tips voor een goed beveiligde webwinkel

Naast de basisvereisten voor gegevensbescherming kan je als webshophouder nog meer doen voor een veilige webshop en een veilige winkelervaring. De volgende tips helpen je op weg.

Tip 1: Voeg back-up plug-ins toe

Voor de verschillende winkelsystemen zijn back-up plug-ins beschikbaar die de website extra beveiligen. Hiermee kan je naar keuze handmatig of geautomatiseerd back-ups laten uitvoeren. In een noodgeval kan je verloren gegevens of zelfs de volledige installatie van het winkelsysteem herstellen.

Tip 2: Gebruik zelf veilige wachtwoorden

Veilige wachtwoorden vormen een basisonderdeel van webwinkel beveiliging. Niet alleen voor je klanten, maar natuurlijk voor je eigen organisatie. De volgende wachtwoorden zijn vooral belangrijk voor webshop houders:

  • Beheerderstoegang tot het winkelsysteem (winkel-backend)

  • Toegangsgegevens voor de webserver of FTP-toegang

  • Toegang tot gegevens voor databases

  • Toegang tot gegevens voor de webhost, webserver en webinterfaces

  • Eventueel toegang tot gegevens voor marktplaatsen

  • Toegangsgegevens voor internetbankieren

Tip 3: Beperk inlogpogingen

Zelfs met sterke wachtwoorden kunnen brute force-aanvallen succesvol zijn. Het is beter om het aantal mogelijke inlogpogingen te beperken. Dit kan je in je winkelsysteem instellen. Na te veel mislukte pogingen wordt het IP-adres van de aanvaller geblokkeerd. 

Tip 4: Beperk schrijftoegang op de server

Het is veiliger om de schrijfrechten voor bestanden en mappen op de webserver te beperken. Met het File Transfer Protocol (FTP) kan bijvoorbeeld worden ingesteld welke functies voor het betreffende bestand zijn toegestaan:

  • Lezen

  • Schrijven

  • Uitvoeren

Tip 5: Gebruik de nieuwste virusscanners en firewalls

Er zijn talloze manieren waarop virussen ongemerkt een computer kunnen binnensluipen. Om ervoor te zorgen dat klanten veilig online kunnen winkelen, is het daarom essentieel om geschikte beveiligingsprogramma's te installeren. Hier hoort naast een goede virusscanner ook een firewall bij. 

Tip 6: Voeg captcha's toe

Zogenaamde captcha's kunnen de websitebeveiliging verhogen voor formulieren zoals contact- en inlogpagina's. Ze herkennen of mensen of machines de formulieren invullen en voorkomen zo ongewenste spamverzoeken van bots. 

Tip 7: Vermijd openbare wifi-netwerken

Wat voor consumenten geldt, geldt ook voor de beveiliging van webshops. Webwinkeliers kunnen in principe overal werken waar internet is. Het is niet veilig om andere winkelsystemen te gebruiken en openbare WLAN-hotspots. Dit zijn meestal onbeveiligde netwerkverbindingen, zodat hackers er gemakkelijk toegang toe hebben. 

Tip 8: Gebruik een failover-systeem

Net zo belangrijk als de verdediging tegen datamisbruik zijn maatregelen tegen onvoorziene systeemstoringen, zoals:

  • Onderhoudswerkzaamheden

  • Technische serverproblemen

  • Stroomstoringen

Failover-systemen zijn hiervoor een betrouwbare methode, ze zorgen voor de webshop in de lucht blijft. Als de primaire winkelomgeving niet beschikbaar is, schakelt het systeem automatisch over op back-up installaties.

Tip 9: Voeg een keurmerk toe

Als webshophouders keurmerken en certificaten op hun website plaatsen, zorgen ze niet alleen voor meer vertrouwen bij kopers. Het is tegelijk een bescherming tegen alle risico's, omdat gekwalificeerde IT-experts van deze keurmerken de veiligheid van online winkelen controleren. Aanbieders van keurmerken en encryptiecertificaten beoordelen in de webshop:

Dit geeft webshops de zekerheid dat ze aan alle eisen voldoen en dat ze hun hun kopers een veilige winkelervaring bieden.

Tip 10: Laat een scan maken

Om te checken of je e-commerce beveiliging goed op orde is kan je een scan laten doen. De Kamer van Koophandel (NL) adviseert twee basisscans:

  • De basisscan Cyberweerbaarheid van het Digital Trust Center (DCT), een onderdeel van het ministerie van Economische Zaken en Klimaat

  • De Cyberweerbaarheidsscan, die is ontwikkeld door de Haagse Hogeschool en wordt aangeboden door de onafhankelijke stichting Centrum voor Criminaliteitspreventie en Veiligheid (CCV)

Met zo’n algemene scan dek je gaten in je beveiliging niet af, maar ze maken je bewust van wat je nog meer aan de beveiliging van webshop of website kan doen. 

Kortom

Cybercriminaliteit is een feit en gaat helaas niet meer weg. Het beveiligen van je website en webshop hoort bij je bedrijfsvoering. Gelukkig kan je zelf veel doen om je webwinkel veilig te maken. En voor die zaken die voor jezelf te technisch zijn: ga met experts in zee! 

Zorg voor veilige betaalmethodes in je webshop
Meld je direct aan