Tussen het verwerken van betalingen en het opnemen van persoonlijke informatie zijn e-commercesites helaas aantrekkelijke doelwitten voor hackers.
Er zijn de afgelopen jaren verschillende spraakmakende datalekken geweest en in één rapport werd zelfs vastgesteld dat 29% van het verkeer op e-commercewebsites kwaadwillige bedoelingen had.
Vanzelfsprekend is de beveiliging van e-commercewebsites een topprioriteit voor elk platform en bedrijf.
Een inbreuk kan de reputatie van een bedrijf permanent beschadigen en het vertrouwen van klanten wegnemen. Klanten verwachten dat het bedrijf de lasten van de beveiliging op zich neemt. Er ontstaan steeds vaker nieuwe bedreigingen voor de veiligheid van de e-commerce en cybercriminaliteit wordt steeds gebruikelijker.
Beveiliging is niet iets dat leuk is om te hebben, het is iets dat je moet hebben.
Waarom e-commerce websitebeveiliging een topprioriteit is
E-commercesites ontvangen en bewaren een grote hoeveelheid online transacties en gebruikersgegevens; gegevens die van bijzonder belang zijn voor kwaadwillenden.
Volgens het Trustwave Global Security Report 2020 was de detailhandel de sector die het meest het doelwit was van cyberaanvallen. Het is een strijd die nooit eindigt en die altijd evolueert naarmate er nieuwe en meer geavanceerde manieren om aan te vallen worden ontwikkeld.
Het is onze taak om de site (en de klanten) veilig te houden. Goede beveiligingspraktijken leiden tot goede beveiligingsprotocollen.
Grote bedreigingen voor de cyberveiligheid op het gebied van e-commerce
Hoewel er met toenemende regelmaat nieuwe methoden opduiken, blijven dit de meest voorkomende manieren waarop hackers zich op e-commerceplatforms richten:
Phishing-aanvallen.
Phishing is social engineering. Hier verkrijgen aanvallers privé-informatie over een doelwit en gebruiken deze in een poging iemand te misleiden om belangrijke informatie te verstrekken, zoals bankrekeninggegevens of burgerservicenummers.
Malware- en ransomware-aanvallen.
Malware en ransomware gaan terug naar de inbelmodemdagen van het internet. Malware kan systemen aanzienlijk beschadigen en ransomware kan u volledig buitensluiten, tenzij u losgeld betaalt, zonder garantie dat u ooit weer toegang zult krijgen.
3. SQL-injectie
Als er kwetsbaarheden zijn in de database waarin u gevoelige informatie opslaat, kan een kwaadaardige query worden geïnjecteerd om de aanvaller inzage- of zelfs bewerkingsrechten te geven.
4. Cross-site scripting (XSS)
XSS voegt kwaadaardige code in een website in, meestal via JavaScript. Dit kan al dan niet van invloed zijn op de site zelf, maar kan ook gevolgen hebben voor klanten of bezoekers van de site.
E-skimmen.
Bij e-skimming stelen hackers gevoelige betalingsinformatie, zoals creditcardnummers, van online shoppers. Dit wordt doorgaans gedaan door kwaadaardige code in e-commercewebsites of point-of-sale (POS)-systemen te injecteren om creditcardgegevens te stelen terwijl klanten aankopen doen.
Distributed Denial of Service (DDoS)-aanvallen.
Bij een Distributed Denial of Service (DDoS) wordt een website overbelast met verkeer uit meerdere bronnen, waardoor deze niet meer beschikbaar is voor gebruikers. Bij een DDoS-aanval wordt een groot aantal gecompromitteerde apparaten gebruikt om een website met verkeer te overspoelen.
Brute force-tactieken.
Brute force-aanvallen worden door hackers gebruikt waarbij een aanvaller probeert het inlogwachtwoord van een gebruiker te raden door systematisch elke mogelijke combinatie te proberen totdat de juiste is gevonden.
Deze methode is tijdrovend en vereist veel rekenkracht, maar kan succesvol zijn als het wachtwoord zwak of eenvoudig is.
Interne veiligheidsrisico's voor e-commerce waar u op moet letten
Niet alle bedreigingen voor de veiligheid komen van buitenaf. Er zijn tal van interne bedreigingen – waarvan sommige geheel onbedoeld – waar e-commercebedrijven zich bewust van moeten zijn.
Nalatigheid van de werknemer.
Het is jammer, maar veel cyberaanvallen slagen als gevolg van simpele menselijke nalatigheid. Dit gebeurt wanneer werknemers het gevestigde beveiligingsbeleid en de vastgestelde procedures niet volgen, zoals het gebruik van zwakke wachtwoorden, het klikken op verdachte links of bijlagen of het delen van gevoelige informatie met ongeautoriseerde partijen.
Sabotage door medewerkers.
Aan de andere kant van het spectrum van nalatigheid bevindt zich opzettelijke sabotage. Hoewel er geen onfeilbare manier bestaat om ontevreden werknemers te vermijden, kan het beperken van de toegang tot gevoelige gegevens, het afdwingen van sterke wachtwoordstandaarden en het regelmatig controleren van de toegang de schade helpen beperken.
Insiders van derden.
Hierdoor wordt de sabotage door medewerkers uitgebreid naar extra partijen die met uw bedrijf samenwerken. Aannemers, leveranciers of zelfs klanten kunnen worden blootgesteld aan aanvallers, die deze besmetting vervolgens in uw systemen brengen.
Voorbeelden van datalekken bij grote ondernemingen
Datalekken treffen niet alleen kleine bedrijven met beperkte middelen. Zelfs enkele van de grootste merken ter wereld zijn negatief beïnvloed.
adidas.
Het mondiale schoenenbedrijf is in het verleden zwaar getroffen. In 2018 werd de Amerikaanse website van het bedrijf getroffen doordat klantcontactinformatie openbaar werd gemaakt.
Mercari.
Mercari is een Japans e-commercebedrijf dat een online marktplaats exploiteert. In 2021 maakte het bedrijf een groot incident met datalekken bekend.
Target.
De e-commerce winkel van Target werd getroffen door een van de grootste datalekken in de geschiedenis. In 2013 werden miljoenen klanten getroffen door een cyberaanval waarbij misbruik werd gemaakt van kwetsbaarheden in de betalingsgateway van het bedrijf, waardoor hackers betaalkaartinformatie konden stelen, zoals creditcard- en debetkaartnummers, vervaldata en CVV-codes.
Best practices voor beveiliging van e-commercewebsites
Online bedrijven willen om veiligheidsredenen nooit in het nieuws komen. Het volgen van deze best practices zal de kans op mogelijke beveiligingsproblemen in ieder geval aanzienlijk verkleinen.
Creëer een wachtwoordbeleid voor uw bedrijf.
Vereist complexe wachtwoorden die minimaal acht tekens vereisen, met een combinatie van hoofdletters en kleine letters, cijfers en symbolen. Dit zou verplicht moeten zijn voor zowel medewerkers als klanten.
Beperk de toegang tot gevoelige gegevens.
Gevoelige gegevens mogen alleen toegankelijk zijn voor gebruikers en systemen die deze absoluut nodig hebben. Hoe minder toegangspunten, hoe beter.
Voer routinematig beveiligingskwetsbaarheden uit en voer penetratietests uit.
De beste manier om je te verdedigen tegen bots en hackers is door zo te denken. Voer regelmatig aanvalssimulaties uit en probeer in realtime inbreuk te maken op uw eigen systemen. Hierdoor worden zwakke punten geïdentificeerd voordat anderen er misbruik van maken.
Maak een beveiligingsplan voor het toevoegen van plug-ins en integraties van derden.
Maak een balans op van de systemen van derden die in uw tech-stack zijn opgenomen en zorg ervoor dat deze volledig up-to-date zijn. Identificeer de beveiliging van elk en zorg ervoor dat ze voldoen aan uw eigen beveiligingsnormen.
Zorg ervoor dat de PCI-DSS-regelgeving wordt nageleefd.
De Payment Card Industry Data Security Standard (PCI-DSS) is een reeks beveiligingsstandaarden die moeten worden gevolgd door elke organisatie die creditcard- of debetkaartbetalingen accepteert. PCI-naleving is verplicht, dus u moet op de hoogte zijn van eventuele wijzigingen in de normen.
Kies een veilig e-commerceplatform.
Alle onderdelen van uw winkel moeten voorbereid zijn op de unieke vereisten van e-commerce. Van betalingen tot gegevensopslag tot logistiek: uw hele technologiepakket moet aan de hoogste beveiligingsnormen voldoen.
Gebruik een SSL-certificaat.
Secure Sockets Layer (SSL)-certificaten komen steeds vaker voor in de e-commerce en brengen een veilige, gecodeerde verbinding tot stand tussen een webserver en browser.
Het SSL-certificaat verifieert de identiteit van de website en de encryptietechnologie zorgt ervoor dat alle gegevens die tussen de server en de browser worden verzonden privé blijven en niet kunnen worden onderschept of dat er mee kan worden geknoeid.
Tweefactorauthenticatie
We zijn inmiddels allemaal bekend met het sms'en van een code om in te loggen op een systeem. 2FA komt nu veel vaker voor en dient als een sterke verdedigingslaag en biedt een extra stap bij het bevestigen van identiteiten.
Houd uw software up-to-date.
Software in uw tech-stack ontvangt waarschijnlijk regelmatig updates en patches, waaronder extra beveiliging. Zorg ervoor dat alle software indien nodig wordt bijgewerkt.
Train uw werknemers en aannemers op het gebied van best practices.
Social engineering gebeurt voortdurend en het is aan het bedrijf om zijn personeel te trainen en te informeren over hoe ze aanvallen kunnen vermijden. Bedrijven testen hun werknemers regelmatig met valse e-mails om te zien hoe ontvankelijk ze zijn voor phishing-aanvallen.
Ontwikkel een incidentresponsplan.
Hoewel u eraan kunt werken om alle aanvallen te vermijden, moeten bedrijfseigenaren altijd op het ergste voorbereid zijn. Zorg voor een volledig gerealiseerd reactieplan in het geval van een inbreuk, dat identificatie, mitigatie en communicatie moet omvatten.
Naleving van de beveiliging van e-commercewebsites
Er zijn normen – zowel juridisch als sectoraal – waaraan elk e-commercebedrijf moet voldoen. Dit garandeert geen veilig platform, maar het voldoen hieraan helpt wel de klantinformatie te beschermen.
1. Payment Card Industry Data Security Standard (PCI-DSS)
Elke entiteit die creditcardtransacties verwerkt, moet voldoen aan de PCI-DSS-normen. Deze richtlijnen beschermen creditcardgegevens, van opslag tot afrekenen.
2. Algemene verordening gegevensbescherming (AVG)
De Europese Unie heeft de AVG ingevoerd om de persoonlijke gegevens van alle EU-burgers te beschermen. Dit geldt voor bedrijven die buiten de EU bestaan, maar ook aan Europeanen verkopen.
3. California Consumer Privacy Act (CCPA)
De CCPA is vergelijkbaar met de AVG, maar geldt uitsluitend voor de staat Californië. Het is momenteel de strengste norm in de Verenigde Staten.
Gids overstappen van platform: Een stappenplan voor de migratie van je e-commercewinkel
Maak van uw replatformingproject voor e-commerce een succes met onze stapsgewijze handleiding vol best practices van experts op het gebied van zakelijke migratie.
Het laatste woord
Beveiliging is van cruciaal belang om e-commercebedrijven open te houden en om het vertrouwen van klanten te behouden.
Door vrijwillig persoonlijke informatie over te dragen, vertrouwen ze erop dat e-commercebedrijven klantgegevens beheren en beschermen.
Of het nu gaat om een Web Application Firewall (WAF), een Content Delivery Network (CDN) of het beschermen van de creditcardgegevens van een klant, de online winkel moet strenge veiligheidsmaatregelen treffen.