menu

Hoe veilig zijn webwinkels na Lektober?

Hoe veilig zijn webwinkels na Lektober?Als je een webwinkel hebt en dus klantendata en online betalingen ontvangt is het zaak hier zo zorgvuldig mogelijk mee om te gaan. Veilige hosting en bijgewerkte software zijn dan niet meer genoeg, zo toonde ‘Lektober’ ons eerder aan. Wat heeft Thuiswinkel.org hier sindsdien aan gedaan?

Sinds Thuiswinkel.org in de maand ‘Lektober’ goed met de neus op de feiten is gedrukt, is de organisatie actiever met veiligheid dan ooit. Daarvoor wilden ze nog wel eens focussen op een veilige betaling, gebruik van SSL-certificaten of andere meer juridische of financiële zaken van de webwinkel. Maar sinds internetjournalist Brenno de Winter in een themamaand in oktober 2011 elke dag een enorm lek bij de overheid, grote instellingen en ook de verschillende kwetsbaarheden van de leden van Thuiswinkel.org genadeloos blootlegde, is ook de software van de webwinkel een topprioriteit geworden.

“Dat klopt!”, geeft woordvoerder Roland van Kortenhof van Thuiswinkel.org ons aan. “Dat was een lastig moment voor ons, al zijn we er de journalist zelf wel dankbaar voor. Natuurlijk hadden wij het anders willen brengen maar hij toonde wel duidelijk de essentie van een veilige
webwinkel aan. Ook bij onze leden ging dat in 2011 niet altijd ideaal.”

Veiligheid als topprioriteit
“Het liefste laat je dan gelijk alles vallen om je hier compleet op te focussen. Maar commercieel gezien wil je ook weer niet gelijk in november je hele webwinkel overhoop halen. Na het bepalen van de strategie zijn we er dus in januari 2012 echt mee gestart en precies een jaar geleden hadden we de eerste positieve resultaten. Dat was toen nog grotendeels op basis van vrijwilligheid, maar daar stappen we inmiddels wel vanaf. We eisen inmiddels ook van onze leden dat ze veiligheid als topprioriteit zien.”

Thuiswinkel.org heeft zelf geen programmeurs om het werk te doen dus het zal uiteindelijk bij de leden zelf moeten gebeuren.Let wel, webwinkels zijn natuurlijk zelf eindverantwoordelijk voor de veiligheid van hun website. De organisatie zet daarom vooral in op ‘awareness’. Met diverse gratis tests en scans voor alle leden, verschillende workshops, businesspartners, whitepapers en adviezen brengt Thuiswinkel.org het onder de aandacht. Leden zien veiligheid ook in de Thuiswinkel Waarborg-eisen terugkomen.

Op de vraag hoe veilig webwinkels dan nu al zijn geeft Roland liever geen direct antwoord. “Het zou zeker kunnen voorkomen dat er nog leden gehackt kunnen worden. Ook hackers gaan tenslotte met hun tijd mee. Maar in een fysieke winkel heb je ook geen 100% veiligheid en dat zal online ook nooit gebeuren. Wel streven we ernaar om op 1 januari 2014 de meeste belangrijke veiligheidsproblemen opgelost te hebben. In Lektober bleek wel hoe gemakkelijk sommige kwetsbaarheden te misbruiken waren. Een simpele SQL-injectie mag bijvoorbeeld bij onze leden niet meer mogelijk zijn.”

SQL-injectie voorkomen
“Een aardig lange aanlooptijd natuurlijk maar dat is ook niet zo gek. Een klein probleem qua SQL-injecties of dergelijke zaken heb je zo opgelost, maar als jouw webwinkel gebruikersaccounts aanbiedt en wachtwoorden aanmaakt en per e-mail verstuurt, wat volgens de nieuwe richtlijnen eigenlijk niet zou moeten, kan dat een aardige ingreep zijn voor de software van webwinkels om daar weer vanaf te stappen.”

“Als we webwinkels werkelijk dwingen om alle adviezen door te voeren zullen sommigen flink moeten investeren ja. Thuiswinkel.org zal van webwinkels niet kunnen en willen eisen dat ze vergelijkbaar worden met Fort Knox. Wel vinden we dat we van onze leden mogen vragen minimaal deuren en ramen gesloten te hebben zogezegd. Daarom zetten we in op de meest voorkomende kwetsbaarheden, en voeren het niveau van veiligheid langzaam op. We eisen dus wel een bepaalde grens qua veiligheid van onze leden, maar denken wel mee over de kosten die dat met zich meebrengt.”

Tags

Reacties