Het is dit voorjaar druk geweest bij de meldpunten voor datalekken. Bol.com onderzocht in april een claim over 400.000 gelekte klantrecords. Een paar weken eerder meldde huidverzorgingsketen Rituals dat een hacker lidmaatschapsgegevens had buitgemaakt: namen, adressen, e-mailadressen, telefoonnummers en geboortedata. Twee grote namen, twee vergelijkbare verhalen. Wat opvalt: achter veel van deze incidenten zit uiteindelijk een technisch mankement, niet alleen menselijke onachtzaamheid. Beveiligde hosting voor webshops is daardoor allang geen achterkamertjesonderwerp meer. Het is iets waar klanten, journalisten en toezichthouders inmiddels vragen bij stellen.
Bron: Pexels
Een opvallende reeks meldingen
Los van elkaar lijken zulke berichten incidenten. Bij elkaar opgeteld vormen ze een patroon. Begin dit jaar kreeg telecomaanbieder Odido te maken met een aanval waarbij inloggegevens van klantenservicemedewerkers werden buitgemaakt, met gevolgen voor 6,2 miljoen (ex-)klanten. Die gegevens duiken sindsdien op in phishingpogingen die niets meer met Odido zelf te maken hebben. Criminelen combineren buit uit verschillende lekken tot steeds overtuigendere oplichting. Dat maakt elk nieuw lek relevanter dan het incident op zich al is.
Tegelijkertijd groeit de online detailhandel gestaag door. Het Centraal Bureau voor de Statistiek meldde onlangs dat de omzet van online winkels in het eerste kwartaal met 4,7 procent steeg, harder dan de detailhandel als geheel. Meer transacties, meer accounts, meer opgeslagen data. De aantrekkingskracht voor criminelen groeit dus evenredig mee.
Waarom webwinkels zo'n gewild doelwit zijn
Een webwinkel verzamelt van nature veel: adresgegevens, bestelhistorie, soms betaalgegevens, vaak een wachtwoord dat ergens anders hergebruikt wordt. Voor een aanvaller is dat een aantrekkelijk pakket. Niet omdat de webshop bijzonder is, maar omdat de aanvallen doorgaans geautomatiseerd verlopen. Scripts scannen duizenden sites tegelijk op bekende kwetsbaarheden, zonder onderscheid tussen een miljoenenbedrijf en een eenmanszaak. Kleinschaligheid biedt dus geen bescherming. Sterker nog: kleinere webwinkels investeren vaak minder in updates en monitoring, wat ze relatief kwetsbaarder maakt.
De meldplicht die op een lek volgt
Wordt een lek vastgesteld, dan begint de klok te lopen. Onder de AVG geldt de meldplicht datalekken: een organisatie moet een ernstig lek binnen 72 uur melden bij de toezichthouder. Soms moeten ook de betrokkenen zelf worden geïnformeerd, afhankelijk van het risico dat zij lopen. Die verplichting geldt voor elke organisatie die persoonsgegevens verwerkt, van multinational tot webwinkel met tien bestellingen per dag. Het is precies dat democratische karakter van de wetgeving dat kleine ondernemers soms overvalt: onwetendheid is geen excuus, en een boete kan hard aankomen bij een bedrijf zonder juridische afdeling.
Waar de techniek vaak tekortschiet
Opvallend genoeg zit het probleem zelden in de wet. Het zit in de basis. Verouderde software, ontbrekende patches, een ontbrekende firewall op de betaalpagina. Dat zijn geen exotische risico's, het zijn precies de dingen die bij een goed beheerde omgeving standaard geregeld worden. Wie zijn hosting zelf beheert, moet die updates ook zelf bijhouden. Vergeet je dat een paar maanden, dan sta je zonder het te weten met de voordeur op een kier.
Dit is precies waar de keuze voor beveiligde hosting voor webshops in beeld komt. Een gespecialiseerde omgeving neemt patches, monitoring en beveiligingslagen structureel uit handen, in plaats van dat een ondernemer dit ernaast moet doen tussen inkoop en klantenservice door. Niet omdat techniek ineens onfeilbaar wordt: dat bestaat niet. Wel omdat het aantal momenten waarop iets over het hoofd wordt gezien drastisch afneemt.
Voorkomen is nooit klaar
Beveiliging is geen vinkje dat je één keer zet. Het is onderhoud, continu. Ook consumenten kunnen trouwens hun eigen risico verkleinen. Denk aan oude accounts opruimen bij webwinkels die niet meer gebruikt worden: data die er niet meer staat, kan ook niet lekken. Klein gebaar, reëel effect.
Voor webwinkels zelf geldt iets vergelijkbaars, maar dan structureel. De vraag is niet meer óf een aanvaller een keer aanklopt. De vraag is of er dan iemand thuis is die het merkt, en of de voordeur op dat moment daadwerkelijk op slot zit. Nu de online omzet in Nederland blijft groeien, groeit ook het aantal potentiële doelwitten. Bedrijven die hun technische fundament serieus nemen, voorkomen dat ze volgend kwartaal zelf het volgende naam in het rijtje worden.
