Uptime - Security

Ondernemers hebben vaak te weinig aandacht voor IT security. Beperkte budgetten, beperkte kennis, rekenen op derde partijen… de excuses zijn legio als het misgaat en de website of webshop platgaat, gehackt wordt of data verloren gaat. Op de meeste recente eTrade Summit van Safeshops.be werd het probleem nogmaals pijnlijk duidelijk. De track met presentaties over security kon amper op enige aandacht rekenen.

Data News wijst e-commercebedrijven terecht

Het deed Kristof Van der Stadt, hoofdredacteur van IT-vakblad Datanews, die er samen met ons een presentatie gaf over security voor e-commerce achteraf in zijn pen kruipen. Het resultaat is een scherp editoriaal op Datanews.be waaruit ik graag enkele elementen pluk om ons eigen verhaal te brengen.

“Deze maand was ik te gast op de eTrade Summit van Safeshops.be: een vzw ter promotie van online shopping in België die ontstond op initiatief van enkele van de grootse Belgische webshops. Drie simultane tracks op het programma: hoe je e-commerce bedrijf uitbouwen en laten groeien, hoe nieuwe klanten aantrekken en ‘converteren’, en tot slot: hoe je business ook beveiligen. Drie keer raden welke track veruit het minste volk lokte.” (Kristof Van der Stadt)

Wiens fout is slechte security?

Het blijft inderdaad pijnlijk om te zien hoe weinig aandacht er is voor security. Zeker als je weet dat wanneer het misloopt, de (financiële) schade flink kan oplopen. Toch staat men op zo’n moment nog al te vaak

  1. met de armen in de lucht
  2. met de handen in het haar.

Het eerste omdat men foetert tegen de webshopbouwer en de hoster. Zij hadden maar aan de veiligheid moeten denken. En inderdaad, dat zijn de twee partijen die daar iets kunnen aan doen: developer en sysadmin samen. Maar zij zijn uiteraard ook geen filantropen: zij doen waar ze voor betaald worden en wat hen opgedragen wordt. Zij brengen security sowieso ook wel ter sprake, maar worden dan meestal afgestopt met de woorden “daar hebben we geen budget voor”.

Het tweede gebaar komt van radeloosheid. Men weet niet hoe groot de schade is, hoe ze veroorzaakt wordt, laat staan hoe ze verholpen moet worden. Er is geen plan voor dit scenario en men moet dus ter plaatse beginnen improviseren.

Geen disaster recovery, te weinig back-ups

“Ik zei het al, ik begrijp het ergens wel: zorgen genoeg voor de dappere ondernemer die de concurrentie met pakweg Bol.com, Amazon of Coolblue aandurft. Eerst maar zorgen voor klanten, en dan zullen we het wel over veiligheid, redundantie, hosting, business continuity, DDoS-beveiliging, en disaster recovery hebben. “Kristof, een beginnend e-commercebedrijf begrijpt écht niet wat al die termen betekenen en gaat er op dat moment ook geen aandacht aan besteden. Zijn webshop in de lucht krijgen is zijn grootste zorg en hij laat zich op dat moment leiden door ofwel zijn buikgevoel, ofwel zijn persoonlijk netwerk en contacten,” fluisterde mij een e-commercemanager mij tijdens de eerste koffiepauze in. OK, maar wie potten wil breken in e-commerce zou toch beter ook wat meer oog hebben voor de technische e-kant van de zaak. Want wat heb je aan een webshop die klanten met foutmeldingen opzadelt of die niet performant is wegens een te goedkoop hostingpakket?” (Kristof Van der Stadt)

Op dit punt konden we een glimlach niet onderdrukken. Kristof vertelt bijna letterlijk wat wij ook zo vaak aan klanten duidelijk maken. Hij heeft duidelijk goed geluisterd en is geschrokken.

Het gaat trouwens verder dan e-commerce alleen. Een recent onderzoek dat we deden over hosting, downtime en business continuity toont ons dat zelfs heel wat (grote) bedrijven geen disaster recovery plan hebben. De meeste bedrijven zitten qua leercurve net aan het punt van het besef dat back-ups écht wel nodig zijn. Een deel van hen leert nu mondjesmaat dat de volgende stap het regelmatig testen van die back-ups is.

“Wij zijn nog nooit gehackt”

“Doen jullie aan pentesting en werken jullie samen met ethical hackers?”, gooide ik een andere e-commerce manager voor de voeten tijdens de tweede koffiepauze. Zijn blik was al veelbetekend. Zijn antwoord een luttele seconde later ook: “Nee, weggegooid geld. We hebben trouwens toch nog nooit een hackaanval gekregen.” En daarmee waren de grenzen van mijn begrip toch overschreden. Het is al lang niet meer de vraag of je ooit een hackdoelwit zal worden: de vraag is eerder wanneer. Maar vooral: wat ga je doen om het te vermijden én het op te lossen wanneer een snoodaard er toch in slaagt om in je systemen in te breken? Of wanneer iemand een DdoS-aanval je webshop onbereikbaar maakt?” (Kristof Van der Stadt)

De reactie “we zijn nog nooit gehackt geweest” zal bij ons altijd de repliek “voor zover je weet” krijgen. Het is niet omdat de hackers het je niet laten weten, dat ze nog niet in je systemen hebben gezeten. Niet iedere hacker verdient geld door je rechtstreeks te chanteren… Wie wel gehackt is, zal er zelden over spreken. Daarom lijkt het zo’n klein probleem: het wordt dood gezwegen. Ondernemers waarschuwen elkaar graag en delen graag advies met beginnende ondernemers, maar zelden horen we zulk advies over IT security. Dus wordt er ook binnen het bedrijf geen aandacht aan geschonken.

“Ik kom even het netwerk updaten”

Onze goede kennis Jan Guldentops van Better Access doet vaak security audits bij openbare instellingen. Zijn geliefde manier om er binnen te raken: gewoon binnen lopen en zich voorstellen als iemand die gevraagd werd updates aan het netwerk uit te voeren. Meestal heeft hij al genoeg aan de receptioniste om toegang te krijgen tot het netwerk en met wat social engineering weet hij snel voldoende om meestal ook wachtwoorden te pakken te krijgen. Hacking is soms eenvoudiger dan je denkt en gebeurt dagelijks en overal.

Hoe goed is jouw IT security?

“100% beschikbaarheid van je website is een utopie maar dat betekent niet dat je niet moet streven naar een maximale uptime. Meer nog: het zou een prioriteit voor e-commercespelers moeten zijn. De gevolgen zijn namelijk meteen heel tastbaar. Ligt de webshop plat door een technische panne of een hackaanval? Dat betekent dat je inkomsten meteen naar nul herleid worden: geen klanten, geen omzet. Maar ook je hele backoffice heeft plotseling geen werk meer en je logistieke keten draait in het honderd. Om over imagoshade nog maar te zwijgen.” (Kristof Van der Stadt)

Neen, we hebben Kristof niet betaald om dat te schrijven, maar hij heeft duidelijk wel heel aandachtig geluisterd naar onze presentatie op de eTrade Summit.

Ja, security moet een prioriteit zijn. Helaas valt die uitspraak nog al te vaak in dovemansoren. Of zoals iemand van de organisatie ons zei “ja, security krijgt weinig aandacht. Ik had wel verwacht dat deze track de minste bezoekers zou krijgen.” Welnu, als je een organisatie hebt die Safeshops noemt en je weet dit, waarom dan deze presentaties in een aparte track steken? Waarom niet gewoon pal in het hoofdprogramma? Dat zou een grote stap vooruit zijn.

Vermijd een perte totale

Kristof heeft ook gelijk over de inkomsten en reputatieschade. Ondernemers weten niet wat het kost en dat is dan meteen ook de tweede reden waarom dit thema zo weinig aandacht krijgt en waarom er geen geld is. Waarom zou men budget voorzien als men niet weet hoeveel geld men er mee uitspaart?

Onze enquete toont duidelijk aan dat de aanvaardingsdrempel voor downtime veel lager ligt bij hen die al downtime hebben gehad. Alarmsystemen worden ook makkelijker verkocht aan personen die al dieven over de vloer hebben gehad. En omnium-verzekeringen worden niet als kost beschouwd door hen die al een perte totale hebben gehad.

Daarom hebben we op onze website een downtime cost calculator geplaatst. Geen exacte wetenschap die tot op de euro nauwkeurig uitrekent wat een uur downtime kost, maar wel een handige tool die je een idee geeft wat downtime jou kan kosten en die je helpt om anderen een geweten te schoppen. En uiteraard zijn er ook onze eBooks die heel duidelijk en pragmatisch tips geven hoe je beter te beveiligen. Ons eBook “Hoe goede security downtime voorkomt” is op dat vlak het ideale startpunt.

Doe er je voordeel mee en vermijd de perte totale!

Gerelateerde berichten
Uptime GDPR

6 onverwacht positieve gevolgen van GDPR

GDPR is het buzzword van het moment. Iedereen is momenteel druk bezig om GDPR compliant te worden tegen mei 2018. Of wordt bang gemaakt […]

Lees meer

WPA2 Krack

WPA2 Krack onderstreept belang van correcte HTTPS-verbinding

Deze week was iedereen in de ban van WPA2 Krack, de (Belgische) hack in het WPA2-protocol. Er was de nodige paniek en vendors maakten overuren […]

Lees meer

HTTPS

Chrome en Firefox worden strenger voor websites zonder HTTPS: zorg nu dat je website niet gestraft wordt

Vanaf deze maand tonen de webbrowsers Google Chrome en Mozilla Firefox een nog duidelijkere waarschuwing wanneer gebruikers een website bezoeken die niet via het https-protocol beveiligd is. Omdat beide partijen op termijn nog strenger zullen worden, is het nu het moment om je website beter te beveiligen met HTTPS.

Lees meer