E-commerce; webshop cybersecurity

In eerdere blogs hebben we het al gehad over het belang van het up-to-date houden van je webshop. Naast het zorgen dat je webshop op de nieuwste software draait, zijn er nog meer  risico’s bij het runnen van een webshop als het gaat over cybersecurity. (of dit nou een Magento of Shopify shop is, het platform maakt niet uit) Met je webshop verwerk je transacties, en verzamel je privacy gevoelige informatie van je klanten. Denk aan verzendadressen en betaalgegevens. Dit gegeven alleen maakt webshops natuurlijk uitermate interessant voor hackers. Daarom is het van het grootste belang dat je op de hoogte bent van de grootste bedreigingen en je weet wat je ertegen kunt doen. Daarom bekijken we deze week hoe je jouw webshop het best kunt beveiligen.

E-commerce cybersecurity: Cyberaanvallen een trend?

Helaas zien we nog steeds een stijgende trend als het gaat om het aantal cyberaanvallen per jaar. Als we alleen al kijken naar het aantal DDOS aanvallen per jaar zien we volgens de laatste rapporten van Cisco een stijging van 807% sinds 2013. In 2022 alleen waren er al meer dan 13 miljoen aanvallen gerapporteerd en in 2023 is dit aantal al gestegen naar 15.4 miljoen. Daarbij zien we dat een groot deel van de aanvallen zich richten op e-commerce bedrijven.

De Impact DDOS Cyberaanvallen

De Gemiddelde kosten per incident van DDoS-aanvallen zijn € 48.000,- voor bedrijven in het MKB, en € 420.000,- voor grotere ondernemingen. De meest voorkomende operationele gevolgen van DDoS-aanvallen zijn een aanzienlijke toename in laadtijden (52%), transactiefouten (29%) en complete verstoring/niet-beschikbaarheid van diensten (13%).

In veel gevallen moeten als gevolg van een  DDoS-aanvallen software en hardware worden vervangen. Andere consequenties zijn een daling van inkomsten, verlies van consumentenvertrouwen, diefstal van klantgegevens, financiële diefstal en verlies van intellectueel eigendom.

Artificial intelligence en phishing

Hoewel kunstmatige intelligentie (AI) niet meer nieuw is, zorgen de ontwikkelingen in generatieve AI en taalmodellen (LLMs) voor nieuwe standaarden in wat mogelijk is binnen e-commerce en retail. Maar dit geldt ook voor hackers. Als organisatie moet je je nog meer dan voorheen bewust zijn van deze risico’s. 

AI en LLMs bieden grote voordelen voor hackers die phishing-e-mails proberen te gebruiken om toegang te krijgen tot hun doelwitten. Phishing blijft de belangrijkste methode voor het verkrijgen van een eerste toegangspunt, en AI en LLMs die authentiek ogende en foutloze e-mails kunnen genereren, maken het moeilijk voor de ontvanger om deze te herkennen.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) is een van de meest voorkomende beveiligingsbedreigingen voor webapplicaties, inclusief e-commerce platforms zoals Magento. XSS-aanvallen stellen aanvallers in staat om kwaadaardige scripts in de webpagina's te injecteren die worden bekeken door nietsvermoedende gebruikers. Deze scripts kunnen worden gebruikt om gebruikersgegevens te stelen, zoals sessiecookies, of om kwaadaardige acties uit te voeren namens de gebruiker zonder hun kennis. Voor een Magento-webshop kan dit leiden tot datalekken, verlies van klantenvertrouwen en zelfs ernstige financiële schade.

E-skimmen

Met E-skimmen wordt er door hackers specifiek kwaadaardige code op een e-commerce website geïnjecteerd met het doel om creditcardgegevens en andere persoonlijke informatie buit te maken. Deze aanvallen richten zich specifiek op het betaalproces van websites. De code werkt vervolgens ongemerkt op de achtergrond en wordt vaak pas (te) laat opgemerkt, bijvoorbeeld omdat klanten melding maken van verdachte transacties van hun creditcard of een acute daling van conversieratio’s in de webshop.

(AI) Brute force aanval

Een brute force aanval is een methode om toegang te krijgen tot een systeem door alle mogelijke combinaties van inloggegevens te proberen tot de juiste combinatie is gevonden. Hierbij wordt gebruik gemaakt van specifieke software. Brute force aanvallen kunnen gericht zijn op het kraken van wachtwoorden, PIN-codes, encryptiesleutels en andere vormen van beveiligde toegang. Nu wordt ook steeds vaker AI ingezet bij het uitvoeren van deze aanvallen, waarbij AI wordt gebruikt om patronen in gebruikersgedrag te ontdekken waardoor het makkelijker is om wachtwoorden te raden, of worden zogenaamde AI ‘password prediction models’ ontwikkeld door hackers.

Zo bescherm je je tegen cyberaanvallen

Zoals je hierboven al hebt kunnen lezen zijn er dus verschillende manieren waarop je webshop doelwit kan worden van hackers en worden hierbij verschillende methodes ingezet. Daarbij zijn de ontwikkelingen in AI ook een punt van zorg. Het maakt dat hackers ook steeds vaker slagen in het succesvol uitvoeren van deze aanvallen.

Je kunt deze risico’s gelukkig ook goed inperken door een aantal voorzorgsmaatregelen te nemen. Daarbij zijn er software gerelateerde oplossingen, maar misschien nog wel belangrijker is je te richten op de zwakste schakel binnen de beveiliging van je webshop; jijzelf of terwijl de mens. 

Daarmee bedoel ik dat het van essentieel belang is dat iedereen binnen je organisatie zich voldoende bewust is van bovengenoemde risico’s en dat je je beleid hierop aanpast. Hoe vaak het niet voorkomt dat er onvoldoende zorgvuldig wordt omgesprongen met wachtwoorden of deze zomaar gedeeld worden, etc. Dus…

Zorg voor een wachtwoordbeleid binnen je bedrijf

Vereis voor zowel medewerkers als klanten het gebruik van complexe wachtwoorden die minimaal acht tekens vereisen, met een combinatie van hoofdletters en kleine letters, cijfers en symbolen. 

Beperk ook de toegang tot systemen met gevoelige informatie alleen voor medewerkers die dit absoluut nodig hebben voor hun werkzaamheden. Zorg daarnaast voor dat toegang accounts direct worden gesloten bij uitdiensttreding, en dat wachtwoorden altijd in betrouwbare password managers worden opgeslagen en niet achteloos op een geeltje op het bureau worden opgeschreven en achtergelaten. Klinkt misschien gek, maar het gebeurt nog steeds te vaak.

Zorg voor een incident response plan

Mocht er zich toch een incident/ hack voordoen. Zorg er dan voor dat je medewerkers weten wat ze in zo’n situatie moeten doen. Welke acties worden wanneer, door wie uitgezet om zo adequaat mogelijk te reageren. Je kunt hierbij gebruik maken van het 6 stappen model van het SANS instituut: 

Identificatie: Identificeer de hack.

Beperking: Beperk wat werd aangevallen en isoleer de dreiging.

Verwijdering: Verwijder alle bedreigingen van je apparaten en netwerk.

Herstel: Herstel je systeem en netwerk naar hun staat voor het incident.

Geleerde Lessen: Begrijp welke fouten zijn gemaakt en welke stappen genomen moeten worden om toekomstige aanvallen te beperken.

Houd je software up to date

Zorg er altijd voor dat je software, zoals je Magento versie, up to date is. Wij helpen onze klanten daar pro-actief bij. Ben je klant bij ons, dan is ons beleid om ervoor te zorgen dat je altijd de laatste versie van Magento draait en de laatste security patches geïnstalleerd zijn.

Dit geldt natuurlijk ook voor andere software die je hebt draaien in je bedrijf.

Gebruik een SSL certificaat

SSL-certificaten (Secure Sockets Layer) beschermen de gevoelige informatie die over het internet wordt verzonden, zoals persoonlijke gegevens, creditcardnummers en inloggegevens, door deze te versleutelen.

Twee factor authenticatie

Zorg ervoor dat je voor al je logins gebruik maakt van twee factor authenticatie (2FA). Maak daarbij het liefst gebruik van een authenticator app zoals Google Authenticator. Deze genereert tijdelijke codes en is daarmee veiliger dan bijvoorbeeld via sms en werkt offline ook zonder mobiele service.

Wet en regelgeving

Zorg ervoor dat je de PCI DSS standaarden naleeft

De beveiligingsstandaarden van de Payment Card Industry Data Security Standard zijn er niet voor niets. Zorg er dus ook voor dat jij als bedrijf die debet en creditkaart transacties accepteert, weet wat deze standaarden zijn en dat je de maatregelen hebt genomen om hieraan te voldoen.

Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR), is een wetgeving die op 25 mei 2018 van kracht werd in de Europese Unie (EU) om de privacy en bescherming van persoonsgegevens van individuen binnen de EU en de Europese Economische Ruimte (EER) te versterken. De AVG geldt voor alle organisaties, zowel binnen als buiten de EU, die persoonsgegevens verwerken van EU-burgers.

Zorg dus dat je voldoet aan deze kernpunten:

Toestemming: Organisaties moeten duidelijke en expliciete toestemming verkrijgen van personen voordat ze hun persoonsgegevens verwerken.

Recht op toegang: Individuen hebben het recht om toegang te vragen tot hun persoonsgegevens en te weten hoe deze worden gebruikt.

Recht op rectificatie: Individuen kunnen een verzoek indienen om onjuiste of onvolledige gegevens die over hen worden bewaard, te corrigeren.

Recht op gegevenswissing: Ook bekend als het 'recht om vergeten te worden'. Dit geeft individuen het recht om te eisen dat hun persoonsgegevens worden verwijderd.

Gegevensportabiliteit: Individuen hebben het recht om hun gegevens van de ene dienstverlener naar de andere over te dragen.

Privacy by Design: Dit vereist dat gegevensbescherming vanaf de ontwerpfase van producten of processen wordt geïntegreerd.

Tot slot

Zoals je hebt kunnen lezen zijn er dus veel aspecten waar je als webshopeigenaar mee te maken hebt. Waarbij het belangrijk is te weten welke verplichtingen je hebt, maar je daarnaast ook voldoende bewust moet zijn van de risico’s op het gebied van cybersecurity. Hopelijk heeft deze blog je hier wat meer inzicht in gegeven. Wil je nu weten of jouw webshop voldoende beveiligd is of op de laatste Magento versie draait? WIj helpen je graag verder door jouw shop te updaten en een analyse van je externe Magento extensies te doen. 

Neem gerust contact met ons op voor een adviesgesprek of plan direct een afspraak in. Bekijk ook onze blog over alle Magento updates en toekomstige releases voor meer informatie.