1. Safeshops?
Hoe bescherm ik mijn webshop tegen cybercrime?
3 mei 2017
Greet Dekocker ( greet@safeshops.be)
Jan Guldentops ( j@ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢
Plotseling ben je security expert
R&D (vooral security)
7. Waarom aandacht besteden aan
informatieveiligheid ?
● Eigenbelang
● E-commerce draait
om vertrouwen
● Reputatieverlies
● Inkomensverlies
– Onbeschikbaarheid
8. Waarom aandacht besteden aan
informatieveiligheid?
● Omdat het moet !
● Nieuwe EU privacy webgeving :
● Van kracht sinds mei 2016
● Afdwingbaar in mei 2018 ! (-> 1,5
jaar)
● Wet met tanden !
– Boeteclausules( 4% turnover tot €
20.000.000)
– Meldingsplicht binnen 72 uur!
– DPO
– Etc.
9. Zijn de webshops er klaar voor?
● We hebben een klein demografisch onderzoek
gedaan.
● 406 belangrijkste Belgische webshops
● Passief getest op het niveau van hun security
– Geen actieve aanvallen
● Kan niet zonder toestemming !
● We noemen geen namen, enkel statistieken
– Dit is geen schandpaal maar een wakeupcall
● Sneak preview van de resultaten op basis van de ons
inziens meest voorkomende problemen
10. 1. HTTPS / Encryptie
● Wat is https en SSL ?
● Manier om communicatie tussen de gebruiker en de
webserver volledig met versleuteling te beveiligen
zodoende dat er niemand kan meeluisteren.
● Uitermate belangrijk !
11.
12. Caveats HTTPS
● Gebruik zoveel mogelijk https !
● Eigenlijk liefst altijd !
● Enige http op je website = redirectie naar https
● Je google score gaat omhoog gaan
● Gebruik altijd officiële certificaten van een
betrouwbare Certificate Authority !
● Bewaar deze certificaten veilig !
16. 2. Phising
● Makkelijkste manier om beveiliging te omzeilen
● Twee types :
● Trawler net phising
– e.g. de mail die u als man krijgt van schares aan exotische schones(m/v)die
gewoon weten dat u de m/v van hun leven bent
● Spear phising
– Beperkt, op uw maat gemaakt
● Moeilijk om tegen te gaan maar :
● Implementeer Sender Policy Framework
● Zorg voor consequente communicatie ( emailadressen, stijl, etc.)
● Sensibiliseer / informeer uw klanten
20. 4. Gebrek aan continuiteit
● Uw shop is belangrijk voor uw bedrijf !
● Zorg ervoor dat u hierrond degelijke afspraken
hebt !
● Spreek SLA’s af, ook rond veiligheid
● Zorg ook dat je altijd zelf je data in handen hebt
!
● Opgepast voor Denial-of-Service aanvallen
21. Giet alles in afspraken !
● Maak duidelijke afspraken met de leverancier rond :
● Beschikbaarheid
● RTO/RPO
● Monitoring / Rapportering
● Veiligheidsniveau
● Updates & ander goed systeembeheer
● Security by design
● Ontwikkelaar moet secure ontwikkelen !
● Maak een plan :
● Security is belangrijk vanaf dag één !
● Volg alles op volgens de structuren van PDCA !
● Plan for the worst