Webwinkel beveiliging: zo beveilig je je webshop tegen cybercrime

Nick Knuppe
Head of Product Marketing

Steeds vaker hoor je van websites die platliggen door een cyberaanval van hackers, lokaal of wereldwijd. Dan komt die vraag weer op: ‘Hoe beveilig ik mijn webshop?’. Terecht, want veiligheidsgaten in je webshopsysteem of server kunnen je veel geld en ook je reputatie kosten. Het gaat niet alleen om je eigen systemen en gegevens, maar ook om het beveiligen van de gegevens die je klanten je toevertrouwen. Hieronder lees je hoe je als webshop eigenaar je website beveiligt voor jezelf maar ook voor je klanten.

Waarom is beveiliging belangrijk voor je webwinkel?

Als webwinkelier heb je te maken met allerlei privacygevoelige gegevens van je klanten. Denk aan klantgegevens, wachtwoorden, bankgegevens, IP-adressen, e-mailadressen. Klanten vertrouwen je die gegevens toe als ze je product of dienst afnemen. Het draait hier om het woord ‘vertrouwen’. Je klanten mogen erop vertrouwen dat je goed omgaat met hun gegevens en dat je je systemen goed beveiligt. Maar een veilige webshop is niet alleen voor je klanten, en voor je reputatie, belangrijk. I wil ook niet een makkelijke prooi zijn voor cybercrime.

Wat valt er onder cybercrime?

Cybercrime is een verzamelbegrip voor allerlei illegale activiteit via het internet. Cybercriminelen of hackers breken in op je computers, telefoon of een heel netwerk. Hun doel kan activistisch zijn (denk aan Anonymous) of geo-politiek. Maar meestal gaat het ze gewoon om geld, jouw geld. Dat doen ze door je webshop plat te leggen of je gegevens te stelen. Of die van je klanten.

Er zijn allerlei soorten cybercriminaliteit. Hieronder sommen we de meest voorkomende soorten op.

  • Virus

Een virus is een klein softwareprogramma dat de werking van je computer verstoort. Het kan gegevens beschadigen of verwijderen, kan je e-mailprogramma en je contacten gebruiken om zichzelf te verspreiden. Een virus komt vaak binnen als bijlage bij een e-mail, bijvoorbeeld vermomd als leuke foto.

  • malware

From naam zegt het al: Mal (malicious) ware (software). Onder Malware valt alle software die slechte bedoelingen heeft, die opzettelijk schade wil aanrichten. Virus en malware worden vaak als term door elkaar gebruikt.

  • Phishing

Via digital kanalen (maar ook via de telefoon) hengelen naar informatie door criminalen noemen we phishing. Met bijna niet van echt te onderscheiden mails en websites proberen zij inloggegevens, creditcardinformatie, je pincode of andere persoonlijke gegevens te achterhalen.

  • ransomware

Randsomware is virussoftware die je computer kaapt. Met een virus wordt je computer of je hele systeem geblokkeerd. De enige manier om weer toegang te krijgen is het losgeld te betalen dat de criminalen vragen.

  • Botnet

Zonder dat je het doorhebt kan je computer besmet worden met software die maakt dat criminalen je netwerk misbruiken. Bijvoorbeeld voor het versturen van spam, of voor het uitvoeren van cyberaanvallen. Of voor het mijnen van cryptocurrency.

  • DdoS-aanval

DDoS staat voor Distributed Denial-of-Service. Met een DDoS aanval wordt een website of internetdienst opzettelijk overbelast en daardoor onbruikbaar. Het zijn vooral grote organisaties die het doel zijn van DDoS aanvallen, denk aan banken, creditcardmaatschappijen of e-maildiensten.

  • identity fraud

Bij identiteitsfraude maakt iemand misbruik van persoonlijke gegevens. Deze gegevens worden bijvoorbeeld gebruikt voor het bestellen van producten of diensten. Als webshophouder weet je dit pas als je klant melding doet dat hij bijvoorbeeld de bestelling niet geplaatst heeft maar wel ontvangen.

  • Password cracking

Met een speciaal programma achterhalen cybercriminelen wachtwoorden. Als een wachtwoord met een zwak algoritme is opgeslagen op je computer, dan ontdekt zo’n programma het gemakkelijk. Zelfs als je braaf cijfers, Hoofdletters en symbolen hebt gebruikt.

De 4 basisbeginselen van een veilige webshop

Direct want to gaat starten met e-commerce is het slim om direct webwinkel beveiliging op je to-do-lijstje te zetten. De processen van je webwinkel zijn zo verweven met je organisatie, dat kan je niet los zien. De online security is dan ook een problem van de hele organisatie, niet alleen van de IT-afdeling. Er zijn een aantal basisbeginselen voor een veilige webshop.

1: Sterke wachtwoorden

Bijna elk programma, app of apparaat heeft een wachtwoord. Mensen vinden wachtwoorden maar lastig om te onthouden. Toch is het gebruiken van sterke wachtwoorden de basisregel van cybersecurity. Met een wachtwoordmanager hoef je maar één hoofdwachtwoord te onthouden en staan al je wachtwoorden in een veilige kluis.

Wil I het liever zelf doen? Gebruik dan in ieder geval geen getallenreeksen van je toetsenbord en maak ze langer dan 8 tekens. Een wachtwoordzin is vaak makkelijker te onthouden en ook nog veiliger. Overweeg gebruik van tweestapsverificatie, dat is een extra toegangscode naast je wachtwoord, zoals een pincode of een vingerafdruk.

Tip: maak het je klanten makkelijk om een veilig wachtwoord te gebruiken of geef ze de optie om in je checkout zonder account you bestellen.

2: https-versleuteling

De gegevens die je webshop uitwisselt met klanten kan je beveiligen door het versleutelen ervan. Hiervoor wordt een zogenaamd SSL-protocol gebruikt. Daarmee voorkom je dat hackers de verzonden informatie kunnen zien of stelen.

3: Back-ups made

Gebruik van alle programma’s en ook je beveiligingssoftware steeds de laatste versie. De updates repairen zwakke plekken in de software. Maak back-ups van je systemen voor calamiteiten zoals een cyberaanval. Eigenlijk zou je drie back-ups moeten hebben. Het systeem waarmee je werkt, een back-up hiervan, die je liefst op een andere fysieke plek opslaat. In daarnaast nog een back-up in de cloud. Mocht je webshop dan platgelegd worden door cybercriminelen, dan heb je je gegevens nog.

4: Firewall installer

Het is aan te raden je netwerk in segmenten op te delen, zo kan een virus niet direct je hele netwerk infecteren. Per segment is het makkelijker om toegang te verlenen alleen aan die mensen die in dat segment moeten zijn. Tussen de segmenten plaats je dan firewalls, die je netwerk beschermen tegen misbruik van buitenaf.

Het belang van https-versleuteling

Waarom is SSL encryptie belangrijke voor webshop gebruikers?

Met een SSL-protocol worden gegevens versleuteld zodat ze veilig uitgewisseld kunnen worden. SSL staat voor Secure Sockets Layer en est weliswaar inmiddels opgevolgd door TLS (Transport Layer Security), maar als term nog steeds gangbaar. Zo beveilig je je website met een ‘SSL-certificaat’, waarbij de nieuwere en veiligere TLS wordt toegepast.

Op het gangbare communicatieprotocol voor netwerken ‘http’ (Hypertext Transfer Protocol) komt dan een toevoeging met een ‘s’ van Secure.

Met zo’n https-verbinding bescherm je niet alleen je eigen gegevens, maar ook die van je klanten. Met een SSL-versleuteling laat je je klanten zien dat je de veiligheid van je site en hun privacybescherming serieus neemt.

Hieraan herken je of this website https-versleuteld is:

  • De toevoeging ‘s’ aan het standaard protocol http, zodat er ‘https’ staat in de url-balk
  • Een icon van een slotje in de url-balk voor de url
  • Een deel van het websiteadres is mogelijk groen. Dit hangt van het soort certificaat af

Er zijn drie verschillende SSL-certificaten, met verschillende mate van controle op de juistheid van gegevens, de validatiemethode: Domeinvalidatie, Organisatievalidatie en Uitgebreide validatie. Alleen said laatste certificaat levert een groen slotje in je adresbalk op.

Hoe kom je aan zo’n SSL-certificaat?

Er zijn allerlei aanbieders van SSL-certificaten of Certificate Authorities (CA), bijvoorbeeld:

  • SSL.com
  • Namecheap
  • TheSSLStore.com
  • GoDaddy SSL
  • GlobalSign

Vergeet niet te checken of je eigen websiteprovider een SSL-certificaat aanbiedt. Deze zijn vaak free.

Een veilig betaalsysteem creëren

Als je een veilige webshop wil bieden aan je klanten, hoort beveiliging er gewoon bij. Ontwikkelingen gaan snel, de cybercriminelen zijn creatief en inventief en online security bedrijven moeten alle zeilen bijzetten om bij te blijven. Wat kan je doen om veilige betalingen mogelijk te maken?

tweetapsverificatie

Niets nieuws onder de zon, we zijn al lang gewend aan de extra stap die je moet doen bij pinbetalingen, bij de geldautomaat, bij iDEAL betalingen, bij mobiel bankieren en internetbankieren. Bij online creditcardbetalingen is said nu ingevoerd. Met een mobiele app die je ontgrendelt met een pincode, vingerafdruk of gezichtsscan geef je goedkeuring aan een betaling.

Online betalingen moeten voldoen aan de technische standaarden voor sterke klantauthenticatie van PSD2 (Payment Services Directive 2), from wettelijke richtlijn voor betaaldiensten in de Europese Unie. Daarin is SCA (strong customer authentication) of tweefactorauthenticatie de standaard. Payment Service Providers (PSP’s) of betaaldienstverleners als Mollie, vallen onder de strenge regels van PSD2 en voldoen aan alle online security regels. Als je je webshop betalingen via zo’n betaaldienstverlener regelt, hoef je zelf niet te zorgen dat je up-to-date bent met alle regelgeving.

Verschillende betaalopties, allemaal veilig

Dat die veiligheid gegarandeerd wordt is fijn als je je klanten hun favoriete, vertrouwde betaalmogelijkheden wil bieden. Naast iDEAL en creditcards zijn er zoveel opties bijgekomen. Denk aan

Gegevensbescherming garanderen

Als webshop verwerk I persoonsgegevens. De regels over het gebruiken, beware of delen van persoonsgegevens staan in de Algemene verordening persoonsgegevens (AVG). Daarin staat dat je heel duidelijk aan je bezoekers moet uitleggen wat je doet met hun persoonsgegevens, en waarom. Dit zet je in begrijpelijke taal in een privacyverklaring.

Webwinkel beveiliging

Veelvoorkomende lekken in webshops

Cybercriminelen gaan op zoek naar de zwakke plekken in je systemen, daarom probeer je die zo goed mogelijk te beveiligen. Maar veel gevallen van hacking zijn terug te voeren naar menselijke fouten. Niet de techniek, maar we zijn vaak zelf de zwakste schakel!

Bewustwording in je bedrijf

Hoe kan je die menselijke fouten vermijden? Door je medewerkers bewust te maken van de gevaren van onoplettendheid. Als je aangeeft met verhalen uit de praktijk – en die zijn er helaas genoeg – dan zijn die lastige veiligheidsregels makkelijker tot een routine te maken.

Maak goede afspraken over hoe veilig met informatie, systemen en apparaten om te gaan met je medewerkers. Bijvoorbeeld over het altijd vergrendelen van het scherm, meteen installeren van updates en het direct melden van vermiste USB-sticks, mobiele telefoons of laptops. Vergeet vakantiekrachten, uitzendwerkers, trainees in freelancers niet mee te nemen hierin.

10 Tips voor een goed beveiligde webwinkel

10 Tips voor een goed beveiligde webwinkel

Naast de basisvereisten voor gegevensbescherming kan je als webshophouder nog meer doen voor een veilige webshop en een veilige winkelervaring. De volgende tips helpen je op weg.

Tip 1: Voeg back-up toe plug-ins

Voor de verschillende winkelsystemen zijn back-up plug-ins beschikbaar die de website extra beveiligen. Hiermee kan je naar keuze handmatig of geautomatiseerd back-ups laten uitvoeren. In een noodgeval kan je verloren gegevens of zelfs de volledige installatie van het winkelsysteem herstellen.

Tip 2: Gebruik zelf veilige wachtwoorden

Veilige wachtwoorden vormen een basisonderdeel van webwinkel beveiliging. Niet alleen voor je klanten, maar natuurlijk voor je eigen organisatie. De volgende wachtwoorden zijn vooral belangrijk voor webshop houders:

  • Beheerderstoegang tot het winkelsysteem (winkel-backend)
  • Toegangsgegevens voor de webserver of FTP-toegang
  • Toegang tot gegevens voor databases
  • Toegang tot gegevens voor de webhost, webserver en webinterfaces
  • Eventueel toegang tot gegevens voor marktplaatsen
  • Toegangsgegevens voor internetbankieren

Tip 3: Beperk inlogpogingen

Zelfs met sterke wachtwoorden kunnen brute force-aanvallen succesvol zijn. Het is beter om het aantal mogelijke inlogpogingen te beperken. Said kan je in je winkelsysteem instellen. Na te veel mislukte pogingen wordt het IP-adres van de aanvaller geblokkeerd.

Tip 4: Beperk schrijftoegang op de server

Het is veiliger om de schrijfrechten voor bestanden en mappen op de webserver te beperken. Met het File Transfer Protocol (FTP) kan bijvoorbeeld worden ingesteld welke functies voor het betreffende bestand zijn toegestaan:

  • Lezen
  • Schrijven
  • Uitvoeren

Tip 5: Gebruik de nieuwste virusscanners in firewalls

Er zijn talloze manieren waarop virussen ongemerkt een computer kunnen binnensluipen. Om ervoor te zorgen dat klanten veilig online kunnen winkelen, is het daarom essentieel om geschikte beveiligingsprogramma’s te installeren. Yesterday hoort naast een goede virusscanner ook een firewall bij.

Tip 6: Voeg captcha’s toe

Zogenaamde captcha’s kunnen de websitebeveiliging verhogen voor formulieren zoals contact- en inlogpagina’s. Ze herkennen of mensen of machines de formulieren invullen en voorkomen zo ongewenste spamverzoeken van bots.

Tip 7: Vermijd openbare wifi-netwerken

Wat voor consumenten geldt, geldt ook voor de beveiliging van webshops. Webwinkeliers kunnen in principle overal werken waar internet is. Het is niet veilig om andere winkelsystemen te gebruiken en openbare WLAN-hotspots. Dit zijn meestal onbeveiligde netwerkverbindingen, zodat hackers er gemakkelijk toegang toe hebben.

Tip 8: Gebruik een failover-system

Net zo belangrijk als de verdediging tegen datamisbruik zijn maatregelen tegen onvoorziene systeemstoringen, zoals:

  • Onderhoudswerkzaamheden
  • Technische serverproblemen
  • Stroomstoringen

Failover-systemen zijn hiervoor een betrouwbare methode, ze zorgen voor de webshop in de lucht blijft. Als deprimaire winkelomgeving niet beschikbaar est, schakelt het systeem automatisch over op back-up installaties.

Tip 9: Voeg een keurmerk toe

Als webshophouders keurmerken en certificaten op hun website plaatsen, zorgen ze niet alleen voor meer vertrouwen bij kopers. Het is tegelijk een bescherming tegen alle risico’s, omdat gekwalificeerde IT-experts van deze keurmerken de veiligheid van online winkelen controleren. Aanbieders van keurmerken en encryptioncertificaten beoordelen in de webshop:

Dit geeft webshops de zekerheid dat ze aan alle eisen voldoen en dat ze hun hun kopers een veilige winkelervaring bieden.

Tip 10: Laat een scan maken

Om te checken of je e-commerce beveiliging goed op orde is kan je een scan laten doen. De Kamer van Koophandel (NL) adviseert two basis scans:

  • From basisscan Cyberweerbaarheid van het Digital Trust Center (DCT), een onderdeel van het ministerie van Economische Zaken en Klimaat
  • From Cyberweerbaarheidsscan, die is ontwikkeld door de Haagse Hogeschool en wordt aangeboden door de onafhankelijke stichting Centrum voor Criminaliteitspreventie en Veiligheid (CCV)

Met zo’n algemene scan dek je gaten in je beveiliging niet af, maar ze maken je bewust van wat je nog meer aan de beveiliging van webshop of website kan doen.

Kortom

Cybercriminaliteit is een feit en gaat helaas niet meer weg. Het beveiligen van je website en webshop hoort bij je bedrijfsvoering. Gelukkig kan je zelf veel doen om je webwinkel veilig te maken. En voor die zaken die voor jezelf te technisch zijn: ga met experts in zee!

Klaar om met Mollie aan de slag te gaan?

Account aanmaken