Wat je moet weten over het beschermen van je e-commercesite tegen cyberbedreigingen

E-commercesites zullen altijd een populair doelwit zijn van cyberaanvallen. Voor potentiële dieven zijn het schatkamers vol persoons- en financiële gegevens. En voor bedrijven van alle groottes geldt dat een aanval zowel qua gelekte gegevens als gedaald klantvertrouwen ontzettend veel bedrijfsschade kan toebrengen. 

Eigenaren van e-commercebedrijven zijn zich maar al te bewust van deze problemen en verhogen hun beveiligingsmaatregelen. Uit het rapport van de VMWare Carbon Black 2020 Cybersecurity Outlook blijkt dat 77% van de ondervraagde bedrijven in het afgelopen jaar nieuwe beveiligingsproducten heeft gekocht en dat 69% meer beveiligingspersoneel had. 

In dit constante kat-en-muisspel, waarin online verkopers steeds innovatievere technologieën aan hun sites toevoegen om concurrerend te blijven, verbeteren cyberaanvallers hun vaardigheden en vinden ze nieuwe kwetsbaarheden om te misbruiken. De beste manier om voorop te blijven lopen, is door op de hoogte te zijn van de best practices op het gebied van e-commercebeveiliging en de soorten aanvallen waar je op moet letten.

Het aantal cyberaanvallen is de afgelopen jaren explosief gestegen en ze zijn slimmer geworden. E-commercebeveiliging verwijst naar de maatregelen die worden genomen om je bedrijf en je klanten te beschermen tegen cyberdreigingen.

Laten we eens kijken naar enkele termen en veelvoorkomende acroniemen die je moet kennen:

PCI DSS (vaak gewoon "PCI" genoemd) is een industriestandaard die ervoor zorgt dat online verzamelde creditcardgegevens op een veilige manier worden verzonden en opgeslagen.

ISO is een internationale instantie die vereisten opstelt aan de hand waarvan bedrijven ervoor kunnen zorgen dat hun producten en processen hun doel dienen. Een van hun normen, ISO/IEC 27001:2013, heeft betrekking op gegevensbeveiliging. Bedrijven die deze certificering hebben behaald, beschikken over hoogwaardige managementsystemen, gegevensbeveiliging, risicomijdende strategieën en gestandaardiseerde bedrijfsvoering.

Persoonsgegevens of persoonlijke informatie verwijzen naar alle gegevens die kunnen worden herleid naar een specifiek persoon. Eenvoudige voorbeelden zijn namen, e-mailadressen en telefoonnummers. Maar het kan ook ingewikkelder worden. Elke dataset (zelfs datasets waar specifieke namen of nummers uit zijn verwijderd) die een bepaalde persoon kan identificeren, valt onder de categorie persoonsgegevens. De bescherming van persoonsgegevens is vooral belangrijk in het kader van gegevensprivacyregelgeving zoals de AVG (daarover later meer). 

Het gebruik van SSL helpt bij het verifiëren en versleutelen van koppelingen tussen netwerkcomputers. Zodra je een SSL-certificaat voor je e-commercesite hebt, kun je overstappen van HTTP naar HTTPS, zodat klanten het vertrouwen krijgen dat je site veilig is.

MFA, 2FA en 2SV worden soms door elkaar gebruikt. Ze zijn vergelijkbaar, maar er zijn onderlinge verschillen. Naast het invoeren van een gebruikersnaam en wachtwoord, vereisen alle drie deze methoden ten minste één verdere methode voor identiteitsverificatie van een gebruiker die inlogt op een site, zoals jouw webwinkel.

We leggen de verschillen globaal uit:

• 2SV kan de gebruiker vragen om een eenmalige code in te voeren, die is verstuurd via een e-mail, sms of telefoontje.
• 2FA gaat een stap verder en kan van de gebruiker eisen dat deze de inlogpoging via een ander apparaat bevestigt, bijvoorbeeld door een specifieke app te openen op een mobiel apparaat terwijl de gebruiker inlogt vanaf een laptop.
• MFA is vergelijkbaar met 2FA, maar kan verwijzen naar de implementatie van meer dan twee authenticatiefactoren.

Een DDoS-aanval verwijst naar een verstoring van het server-, service- of netwerkverkeer door het te overweldigen met een stortvloed aan verkeer. Deze bron op Cloudflare, die meer gedetailleerde informatie biedt over DDoS-aanvallen, vergelijkt het met een file. Stel je voor dat je tijdens de spits een grote weg probeert op te rijden (dat zijn je klanten en legitiem verkeer). Al die stilstaande auto's zijn het gecompromitteerde verkeer en blokkeren klanten uit je winkel.

Malware (kwaadaardige software) is software die aanvallers op je systeem installeren. Ransomware is een type malware dat het slachtoffer buiten het systeem vergrendelt of de toegang tot gegevens verhindert, totdat er losgeld wordt betaald aan de aanvaller. Dit kan er gebeuren als je systeem geïnfecteerd raakt:

• Links leiden naar de verkeerde paginabestemming.
• Er verschijnen nieuwe werkbalken of knoppen in je browser, of er verschijnen nieuwe pictogrammen op je bureaublad.
• Je ervaart een bijna constant spervuur van advertentie-pop-ups.
• Je systeem is traag of loopt herhaaldelijk vast, of je browser loopt regelmatig vast en reageert niet meer.
• Je e-mails blijven bouncen.

De concepten compliance en cyberbeveiliging worden vaak door elkaar gebruikt, en in sommige opzichten zijn ze gerelateerd. Maar er zijn enkele belangrijke verschillen.

Compliance gaat over het vermogen om te voldoen aan een specifieke reeks normen die zijn opgesteld door overheden of particuliere instellingen, en er kunnen juridische gevolgen zijn voor het niet naleven ervan. Maar ook al voldoe je aan die nalevingsnormen, betekent dat niet meteen dat jouw webwinkel volledig veilig is. (Houd er rekening mee dat er veel nalevingsnormen zijn waaraan je bedrijf mogelijk moet voldoen. We bespreken alleen enkele van de belangrijkste regels met betrekking tot cyberbeveiliging.)

Elk bedrijf dat creditcardtransacties beheert, moet voldoen aan de PCI-DSS-vereisten rond de bescherming van kaarthoudergegevens, ongeacht hun inkomsten of creditcardtransactievolumes. Deze normen voor gegevensbeveiliging zijn gedefinieerd door de PCI Security Standards Council (PCI SSC) en worden gehandhaafd door creditcardmaatschappijen.

AVG is een relatief recente wet die in de Europese Unie is uitgevaardigd om de bescherming van de persoonsgegevens en privacy van burgers van de Europese Economische Ruimte (EER) te waarborgen. En het geldt niet alleen voor bedrijven in de EU. Als je internationaal producten verkoopt aan een van deze burgers, moet je voldoen aan de AVG bij het verwerken van hun gegevens.

Nadat de AVG in de EU werd geïmplementeerd, begon de staat Californië met de implementatie van zijn eigen wetgeving inzake gegevensbescherming. De deadline voor bedrijven die werken met inwoners van Californië of die inwoners van Californië in dienst hebben om te voldoen aan de CCPA is 1 januari 2020. De CCPA is vergelijkbaar met de AVG in die zin dat de wet is toegewijd aan het beschermen van de gegevens en privacy van particulieren, maar er zijn een paar belangrijke verschillen. Hoewel dit de meest recente en meest verreikende norm voor gegevensbescherming in de VS is, hebben ten minste 15 andere staten een vorm van normen voor privacy of gegevensbescherming van particulieren.

Er zijn veel en uiteenlopende soorten en methoden cyberaanvallen en het zou bijna onmogelijk zijn om ze allemaal in één blogpost te behandelen. Toch springen er een aantal uit die belangrijk zijn om te kennen als je een sterke beveiliging voor je e-commercesite wilt opzetten.

Phishing is een vorm van social engineering en verwijst naar methoden die door aanvallers worden gebruikt om slachtoffers te misleiden (meestal via e-mail, sms of telefoon) tot het verstrekken van privégegevens zoals wachtwoorden, rekeningnummers, burgerservicenummers en meer.

Opmerking: BigCommerce zal nooit een e-mail sturen met een link om je winkel of je inloggegevens bij te werken. Als je een e-mail, telefoontje of sms ontvangt van 'BigCommerce' waarin om persoonlijke informatie wordt gevraagd, neem dan rechtstreeks contact op met de klantenondersteuning voor validatie.

Als je apparaat of netwerk geïnfecteerd raakt met malware of ransomware (een soort malware), kan het zijn dat je geen toegang meer hebt tot al je belangrijke gegevens en systemen. Downtime is duur, maar regelmatige back-ups van je sitegegevens kunnen helpen voorkomen dat dit een verwoestende klap voor je bedrijf wordt. En door niet op verdachte links te klikken of onbekende software op een computer te installeren, ben je beter beschermd tegen aanvallen.

Mogelijk loop je risico als je e-commercesite onveilig gegevens opslaat in een SQL-database. Als die niet goed is gevalideerd, kan een kwaadaardige query die in een verpakte payload wordt geïnjecteerd, de aanvaller toegang geven tot het bekijken en zelfs manipuleren van informatie in een database.

XSS omvat het invoegen van een stukje kwaadaardige code (meestal JavaScript) in een webpagina. In tegenstelling tot sommige andere soorten aanvallen, heeft deze geen invloed op de site zelf, maar wel op de gebruikers van die pagina (jouw klanten) door hen bloot te stellen aan malware, phishing-pogingen en meer.

E-skimming is een methode voor het stelen van creditcardinformatie en persoonlijke gegevens van pagina's voor het verwerken van betaalkaarten op e-commercesites. Aanvallers krijgen toegang tot je site via een succesvolle phishing-poging, brute force-aanval, XSS of een compromittering door derden, en leggen vervolgens in realtime de betalingsinformatie vast die je klanten invoeren op de afrekenpagina.

De hierboven genoemde nalevingswetten zullen niet meer verdwijnen. Trends in privacykwesties maken het zelfs aannemelijk dat we in de toekomst meer regelgeving mogen verwachten, aangezien mensen van alle leeftijden zich steeds meer zorgen maken over wat er met hun gegevens gebeurt.

Dit Data Breach Investigations Report gaat dieper in op trends in cyberaanvallen in de detailhandel. Betalingsinformatie blijkt het belangrijkste doelwit te zijn, en e-commerceaanvallen blijven toenemen, aangezien het aantal inbreuken op verkooppunten en kaartskimmers over het algemeen afneemt.

Als een inbreuk op de beveiliging van je e-commercesite leidt tot verlies van klantgegevens, kunnen de bijbehorende boetes, en schade aan je merkreputatie, verwoestend zijn.

Volgens het Verizon Data Breach Investigations Report uit 2020 was er bij 37% van de inbreuken op inloggegevens sprake van gestolen of zwakke inloggegevens. Het is de extra moeite waard om ervoor te zorgen dat jij, je medewerkers en je klanten sterke wachtwoorden gebruiken:

• Sterke wachtwoorden zijn minimaal acht tekens lang en bevatten hoofdletters en kleine letters, cijfers en symbolen.
• Wachtwoorden mogen nooit worden gedeeld. Elke gebruiker moet zijn of haar eigen unieke, persoonlijke gebruikersnaam en wachtwoord hebben om in te loggen.
• Gebruik nooit hetzelfde wachtwoord voor andere inloggegevens als voor je webwinkel.
• Overweeg het gebruik van een wachtwoordmanager.
• Deel nooit publiekelijk privé-informatie zoals je geboortedatum, burgerservicenummer of andere informatie die je gebruikt als antwoord op beveiligingsvragen.

"Gebruik geen enkele vorm van de standaard opgegeven beheerdersnaam. Aanvallers schrijven scripts die dag en nacht draaien en steeds opnieuw proberen in te loggen op het beheerdersdashboard. Als je iets hebt gebruikt wat lijkt op 'admin', is de kans groter dat ze het kraken." -Jason Simmons, CEO, Dead Soxy

Of je nu één computer in een thuiskantoor of op een hoofdkantoor met een volledig netwerksysteem hebt, zorg ervoor dat je aangesloten apparaten beveiligd zijn met antivirussoftware, firewalls of een andere geschikte methode om je tegen bedreigingen te beschermen.

Een van de beste manieren om malware-infecties te voorkomen, is door te voorkomen dat je in de phishing-vallen trapt. Geef nooit enige persoonlijke informatie op, tenzij je de identiteit van de ontvanger hebt geverifieerd. Bovendien zal geen enkele legitieme organisatie je ooit vragen om je wachtwoord te delen.

Klik nooit op links in verdachte e-mails, want die kunnen je naar een webpagina leiden die eruitziet als een bekende inlogpagina, maar die in plaats daarvan bedoeld is om je gegevens te stelen. En download geen bijlagen die je niet al verwachtte.

Er zijn een paar manieren om phishing-pogingen te onderscheiden van legitieme e-mails. Hier moet je op letten:

• Voor de hand liggende spel- en grammaticafouten in de onderwerpregel of hoofdtekst van een e-mail kunnen wijzen op een verdachte afzender.
• Look closely at the domain of the email sender. They are often made to look like a familiar domain but are off by just one letter (e.g., BigCommerce.com could become BgCommerce.com).
• Hetzelfde geldt voor alle URL's waarop je mogelijk klikt. Op het eerste gezicht kunnen ze legitiem lijken, maar de spelling kan één letter afwijken in de hoop dat je het niet opmerkt en toch naar een gevaarlijk domein klikt.
• Verdachte e-mails kunnen je vragen om iets te doen zoals geld overmaken of een afschrijving goedkeuren, en een reden noemen waarom dit onmiddellijk moet gebeuren.

Het kan soms lastig zijn, maar het gebruik van tweestapsverificatie, tweefactorauthenticatie of multi-factorauthenticatie geeft je meer zekerheid dat jijzelf en je geautoriseerde gebruikers de enige mensen zijn die inloggen op je winkel. Gezien de mogelijke gevolgen van een inbreuk, is het de moeite waard.

Als het gaat om het opslaan van gegevens, komt het erop neer dat je nooit meer vasthoudt dan je nodig hebt om je bedrijf optimaal te runnen. Maar om te beslissen wat dat precies voor jou betekent, zijn er veel factoren waarmee je rekening moet houden.

Gezien het groeiende aantal regels voor gegevensprivacy is het belangrijk om de filosofie van je eigen bedrijf zorgvuldig vast te stellen, zodat je een evenwicht kunt vinden tussen klantervaring, zakelijk gemak en veiligheid.

"Houd de privégegevens van je klanten altijd gescheiden van andere informatie door je netwerk te segmenteren. Implementeer firewalls en voer audits uit om ervoor te zorgen dat al je beveiligingsmaatregelen werken zoals ze moeten." -Shane Barker, ShaneBarker.com

Beveiliging is een continu kat-en-muisspel. Aanvallers zoeken kwetsbaarheden en software-engineers patchen ze. Als je een SaaS-e-commerceplatform zoals BigCommerce gebruikt, worden je software-updates automatisch gedaan. Maar met on-premise e-commerceoplossingen is je bedrijf verantwoordelijk voor het implementeren van updates, bugfixes of kwetsbaarheidspatches voor de software waarop je winkel draait.

"Met ons vorige e-commerceplatform waren er voortdurend beveiligingsupdates die we handmatig moesten installeren, waardoor altijd weer iets anders kapotging. We moesten een secundaire sandbox-site maken om beveiligingsupdates te testen voordat we deze naar onze live-site konden uploaden. Zoals je je kunt voorstellen, was dit niet ideaal." -Billy Thompson, directeur, Thompson Tee

Veilige HTTPS-hosting, waarvoor een SSL-certificaat vereist is, draagt bij aan de beveiliging van je website. Het is ook handig voor je marketingafdeling omdat Google websites met HTTP lager plaatst in de organische zoekresultaten. Met HTTPS hebben klanten meer vertrouwen in je webwinkel, vooral als ze digitaal onderlegd zijn.

Als je wordt aangevallen en de toegang tot je gegevens kwijtraakt, wil je een back-up om je bedrijf zo snel mogelijk weer up-and-running te krijgen.

Inventariseer alle oplossingen van derden die je in je winkel gebruikt. Zorg ervoor dat je weet wat ze zijn en evalueer je voortdurende vertrouwen in die derde partij. Als je ze niet meer gebruikt, verwijder integraties dan uit je winkel. Het idee is om zo min mogelijk partijen toegang te geven tot de gegevens van je klanten, zonder de vooruitgang van je bedrijf in de weg te staan.

Tijdens de feestdagenperiode kun je jammer genoeg meer pogingen tot fraude en cybercriminaliteit verwachten. Iedereen heeft het druk en webwinkels trekken veel meer bezoekers, waardoor afwijkend gedrag moeilijker op te merken is. Aanvallers weten dit en zien het als een kans.

Dit zijn enkele dingen die je kunt doen om de veiligheid van je website tijdens de feestdagen te garanderen:

"Het feestdagenseizoen is de tijd waarin een grote meerderheid van de cyberaanvallen op e-commerce plaatsvindt, waarbij wordt geprofiteerd van de vakantiedrukte. Verkopers moeten zich hierop voorbereiden en een grondige veiligheidscontrole uitvoeren voordat de feestdagen beginnen. Dit moet onder meer het controleren op malware in kassasystemen en het verbeteren van de beveiliging van webservers omvatten." -Shane Barker, ShaneBarker.com

Je beveiligingsaudit voor de feestdagen moet ook een onderzoek omvatten van wie toegang heeft tot wat:

"Zorg ervoor dat je accounts en rechten op beheerdersniveau voor je winkel, marketingsoftware en andere tools goed nakijkt. Schakel ongebruikte accounts uit of verwijder ze. Update de machtigingen zodat ze aansluiten bij daadwerkelijke workflows voor bepaalde gebruikers." -Jordan Brannon, President, Coalition Technologies

Een hoge piek in het aantal klanten gaat vaak gepaard met een toename van frauduleuze activiteiten. Volgens de TransUnion Holiday Retail Fraud Survey uit 2019 was 46% van de klanten bang om slachtoffer te worden van fraude tijdens het online winkelen met de feestdagen. 

"Een andere vorm van cyberrisico en een van de grootste risico's voor e-commercemerken van vandaag is de terugboekingszwendel. Aanvallers verkrijgen creditcardgegevens samen met inloggegevens en gaan geld uitgeven. De verkoper krijgt een bestelling en verzendt deze zonder aarzelen. Maar dan volgt de terugvordering omdat de afschrijving frauduleus was. De verkoper kan er niets tegenin brengen en is genoodzaakt de bestelling terug te betalen, terwijl de producten weg zijn. Dit wordt nog versterkt door loyaliteitsprogramma's en cadeaubonnen.

Deze vorm van cyberfraude is zeer moeilijk te voorkomen. Nadat we duizenden aan merchandise hadden verloren, begonnen we de Eye4fraud.com-app voor BigCommerce te gebruiken. De app laat ons in realtime weten of een bestelling moet worden verzonden of niet en biedt een garantie voor eventuele terugvorderingen." -Jason Simmons, CEO, Dead Soxy

Zorg dat jij en je team voorbereid zijn op veelvoorkomende bedreigingen, waaronder een duidelijk proces voor het verifiëren van de identiteit van klanten die om wijzigingen in hun bestellingen of accounts vragen.

Het is slim om je winkel zo goed als hermetisch te vergrendelen voor de feestdagen en er niet te veel wijzigingen in aan te brengen, om het extra risico te vermijden dat dat met zich mee kan brengen. Maar die algemene richtlijn is niet van toepassing als het gaat om beveiliging en het patchen van je site tegen kwetsbaarheden. Dit is vooral van toepassing als je een on-premise e-commerce-oplossing hebt (BigCommerce-handelaren kunnen rustig ademhalen!). Je moet een beproefd plan hebben voor site-updates als ze nodig zijn om de veiligheid van je bedrijf en je klanten te garanderen.

Elk onderdeel van het BigCommerce-platform is gebouwd met het oog op beveiliging. Ons multi-tenant SaaS e-commerceplatform helpt je totale eigendomskosten te verlagen. Je organisatie is niet verantwoordelijk voor het onderhouden van servers, het installeren van updates of het patchen van de servers wanneer beveiligingsproblemen worden ontdekt.

Toonaangevende SaaS-applicaties zoals BigCommerce bieden robuuste beveiligingslagen, strenge fraudepreventie, informatiebeveiligingsnormen en nalevingskaders. En updates en beveiligingspatches worden afgehandeld door de SaaS-provider, waardoor een deel van de last van de gebruikers wordt weggenomen.

Met een overstap naar Google Cloud Platform zijn de beveiligingsvoordelen van BigCommerce alleen maar toegenomen en bieden ze ondernemingen extra beveiligingsmaatregelen, waaronder de beste bescherming tegen DDoS-aanvallen.

Daarnaast handhaaft BigCommerce PCI-compliance namens verkopers en is het ISO 27001-gecertificeerd volgens de internationale norm die best practices voor informatiebeveiligingsbeheersystemen beschrijft.

"PCI-vereisten, complexiteit en kosten nemen voortdurend toe. Om dit te beperken, is een overstap naar SaaS vereist." -Jason Greenwood, Director Solutions & Delivery, Moustache Republic

BigCommerce neemt zowel beveiliging als privacy zeer serieus, zowel in de manier waarop we onze producten bouwen als in de interactie met klanten. We gaan een stap verder en stellen duidelijke grenzen in wat we doen met klantgegevens.

De gegevens en klanten van onze klanten zijn van hen en alleen van hen. Om de betalingsinformatie van je klanten zo veilig mogelijk te houden, worden gevoelige betalingsgegevens tijdens de overdracht versleuteld en komen ze niet terecht op de infrastructuur van BigCommerce.

Het ontwikkelen van een goede e-commercebeveiliging is van cruciaal belang voor het succes van je bedrijf. Je kunt het je niet veroorloven het vertrouwen van klanten te verliezen door hun persoonlijke gegevens op straat te laten belanden. Door gebruik te maken van een SaaS-platform zoals BigCommerce, profiteer je van de voordelen van meer tijd besteden aan de groei van je bedrijf, en hoef je je minder zorgen te maken over bewaking en onderhoud van beveiliging.

Maar dat betekent niet dat je niets hoeft te doen. Het is bijzonder belangrijk om zorgvuldig om te gaan met wachtwoorden, niet zomaar op links te klikken en bijlagen uit je e-mail te downloaden en regelmatig je externe integraties te controleren, zelfs voor verkopers op ons beveiligde SaaS-platform.

Door de tips in dit bericht te volgen en op de hoogte te blijven van wat er gebeurt in de wereld van cyberbeveiliging, kun je je klanten een winkelervaring bieden waarop ze kunnen vertrouwen.

Lees meer over beveiliging in SaaS in dit technische artikel.

Dit vormt geen juridisch, fiscaal, professioneel of financieel advies en BigCommerce wijst elke aansprakelijkheid met betrekking tot dit materiaal af. Raadpleeg je advocaat of professionele adviseur over specifieke juridische, professionele of financiële aangelegenheden.