WSV2017

1. Safeshops?
Hoe bescherm ik mijn webshop tegen cybercrime?
3 mei 2017
Greet Dekocker ( greet@safeshops.be)
Jan Guldentops ( j@ba.be )

2. Wie ben ik ?
 Jan Guldentops (°1973)
 Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren
 Oprichter Better Access (°1996) en BA (°2003)
 Open Source Fundamentalist (na mijn uren)
 Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢
Plotseling ben je security expert
 R&D (vooral security)

4. Samengevat:
COMMON SENSE
AS A SERVICE
(CAAS)

5. Wat is security ?
CIA !

6. Moeilijk evenwicht
➢ Moeilijke (soms onmogelijke) balans tussen :
➢ veiligheid
➢ functionaliteit
➢ Gebruikersgemak
➢ Budget

7. Waarom aandacht besteden aan
informatieveiligheid ?
● Eigenbelang
● E-commerce draait
om vertrouwen
● Reputatieverlies
● Inkomensverlies
– Onbeschikbaarheid

8. Waarom aandacht besteden aan
informatieveiligheid?
● Omdat het moet !
● Nieuwe EU privacy webgeving :
● Van kracht sinds mei 2016
● Afdwingbaar in mei 2018 ! (-> 1,5
jaar)
● Wet met tanden !
– Boeteclausules( 4% turnover tot €
20.000.000)
– Meldingsplicht binnen 72 uur!
– DPO
– Etc.

9. Zijn de webshops er klaar voor?
● We hebben een klein demografisch onderzoek
gedaan.
● 406 belangrijkste Belgische webshops
● Passief getest op het niveau van hun security
– Geen actieve aanvallen
● Kan niet zonder toestemming !
● We noemen geen namen, enkel statistieken
– Dit is geen schandpaal maar een wakeupcall
● Sneak preview van de resultaten op basis van de ons
inziens meest voorkomende problemen

10. 1. HTTPS / Encryptie
● Wat is https en SSL ?
● Manier om communicatie tussen de gebruiker en de
webserver volledig met versleuteling te beveiligen
zodoende dat er niemand kan meeluisteren.
● Uitermate belangrijk !

12. Caveats HTTPS
● Gebruik zoveel mogelijk https !
● Eigenlijk liefst altijd !
● Enige http op je website = redirectie naar https
● Je google score gaat omhoog gaan
● Gebruik altijd officiële certificaten van een
betrouwbare Certificate Authority !
● Bewaar deze certificaten veilig !

13. Hoe scoren de webshops ?

14. Hoe scoren onze websshops ?

15. Zelf testen ?

16. 2. Phising
● Makkelijkste manier om beveiliging te omzeilen
● Twee types :
● Trawler net phising
– e.g. de mail die u als man krijgt van schares aan exotische schones(m/v)die
gewoon weten dat u de m/v van hun leven bent
● Spear phising
– Beperkt, op uw maat gemaakt
● Moeilijk om tegen te gaan maar :
● Implementeer Sender Policy Framework
● Zorg voor consequente communicatie ( emailadressen, stijl, etc.)
● Sensibiliseer / informeer uw klanten

17. Hoe scoren onze webshops ?

18. 3. Goed systeembeheer
● Alle software heeft
bugs!
● Dus: er moeten
structureel en snel
updates gedaan
worden!
● Zwakste schakel
● Bv. Dirty Cow

19. Hoe scoren onze websites ?

20. 4. Gebrek aan continuiteit
● Uw shop is belangrijk voor uw bedrijf !
● Zorg ervoor dat u hierrond degelijke afspraken
hebt !
● Spreek SLA’s af, ook rond veiligheid
● Zorg ook dat je altijd zelf je data in handen hebt
!
● Opgepast voor Denial-of-Service aanvallen

21. Giet alles in afspraken !
● Maak duidelijke afspraken met de leverancier rond :
● Beschikbaarheid
● RTO/RPO
● Monitoring / Rapportering
● Veiligheidsniveau
● Updates & ander goed systeembeheer
● Security by design
● Ontwikkelaar moet secure ontwikkelen !
● Maak een plan :
● Security is belangrijk vanaf dag één !
● Volg alles op volgens de structuren van PDCA !
● Plan for the worst

22. PDCA

23. Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
info@ba.be
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/