Risico's
Een volledig waterdichte beveiliging van de online digitale wereld bestaat helaas niet. Een ieder die dat wel beweert schildert de zaken mooier af dan ze in werkelijkheid zijn. Beveiliging van informatie en internet is er dan ook op gericht om het risico op beveiligingslekken te mitigeren en zo klein mogelijk te maken. En dat is een statement waar we bij MVM Design onze naam onder durven te zetten. Het minimaliseren van die risico's is ook iets wat we waar kunnen maken qua beveiligingsstrategie en technologie.
Ter ondersteuning van het organiseren van informatiebeveiliging kan gebruik gemaakt worden van een aantal standaarden, waaronder ISO 27002 en NEN 7510. Deze standaarden bevatten vele maatregelen die helpen bij het krijgen van grip op informatiebeveiliging. De maatregelen zijn zowel technisch als organisatorisch en logistiek en wij vinden het een morele verplichting van een ieder die websites aanbiedt om deze standaarden en maatregelen, daar waar van toepassing, te implementeren voor de klant.
Wat zijn nu precies de risico's?
Er zijn materiële en immateriële risico's. Denk bijvoorbeeld aan financiële schade voor u of uw klant door diefstal en misbruik van gevoelige informatie of reputatie schade voor uzelf als iemand de teksten op uw website vervangt door ongepaste en kwetsende teksten. Denk aan bedrijfsschade als de continuïteit van uw webshop wordt verstoord door een Denial of Service Attack en uw site dagenlang uit de lucht is. Denk aan de wetten met betrekking tot bescherming van persoonsgegevens en wat dat voor u betekent. Wat mag u wel en wat mag u niet opslaan en welke wettelijke verplichtingen tot beveiliging zitten daar aan vast?
In het beoordelen en voorkomen van dreigingen (risico's) komen aan bod uw en onze verantwoordelijkheid, wet- en regelgeving, incidenten en incidentafhandeling, misbruik van systemen, ongeautoriseerde toegang, op een veilige manier uitwisselen en opslaan van gegevens, fysieke beveiliging, systeem en gebruikersfouten en bedrijfscontinuïteit. Dit klinkt allemaal zwaar en formeel en dat is het ook. Gelukkig komt een flink gedeelte van de beheersmaatregelen op het conto van de hosting provider en de software leverancier maar U heeft zelf ook een verantwoording m.b.t. uw bedrijfsvoering. Veel risico's kunnen voorkomen worden door ze simpelweg niet te introduceren. Is het ècht nodig om het rekeningnummer van de klant op te slaan? Meestal niet.
Vertaald naar het dagelijks leven en het gros van de websites, de meeste hacks van 'gewone' websites zijn eenvoudig te voorkomen. De doorsnee websites zijn niet interessant genoeg voor de professionele cybercriminelen om er veel tijd aan te besteden. In 99% van de gevallen zijn hackpogingen hobby-hackers die vanuit een Tor netwerk of VPN met geautomatiseerde tools die ze zelf niet gemaakt hebben op bekende veiligheidslekken scannen in de software waar uw website op draait (ongeautoriseerde toegang). Daarnaast is er ook een groei in ook weer geautomatiseerde, professionele aanvallen met als doel om de server waarop uw website wordt gehost te gebruiken in een 'botnet' om spam te versturen of DDOS-aanvallen mee te doen (misbruik van systemen).
Let op : Veel van de hacking tools zijn gericht op CMS systemen zoals bijvoorbeeld WordPress of Joomla. Met name WordPress is populair bij hackers, omdat een groot gedeelte van alle websites erop draait. De keerzijde van het gemak waarmee je in WordPress plug-ins kunt installeren is dat deze vaak kwetsbaar zijn voor veiligheidslekken. Internet veiligheidsexperts ontdekken dagelijks nieuwe veiligheidslekken, oftewel 'exploits' in plug-ins.