Webwinkels zijn lang niet altijd veilig. Veel online winkeliers laten hun klanten risico's lopen doordat persoonsgegevens niet goed zijn afgeschermd. Ondanks de toenemende dreiging van cybercrime en de aandacht daarvoor, is dit nu nog steeds het geval. Dat blijkt uit een steekproef van het Algemeen Dagblad (AD), die twintig webwinkels heeft onderzocht.
Makkelijke buit
Veertien van de gekeurde webwinkels hebben hun security zo slecht op orde dat personalia en inloggegevens vrij makkelijk zijn buit te maken. Die ondernemers schenden daarmee de vorig jaar aangescherpte Wet Bescherming Persoonsgegevens (Wbp). Online winkels vallen daar nu ook onder.
De Wbp stelt dat bedrijven en organisaties "passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen". Dat is dus niet het geval bij veel webwinkels. Daaronder bevinden zich ook grote namen als de Kijkshop, Albert Heijn, V&D, Free Record Shop en Bart Smit. Webwinkels die in de steekproef van het AD goed uit de verf komen, zijn: Bol.com, Hema en Cristine Le Duc. De cio van eerstgenoemde heeft in oktober de Computable Award voor cio van het jaar 2008 ontvangen.
Het Ministerie van Justitie biedt organisaties een handleiding om hun informatievergaring en -afhandeling te toetsen aan deze wet. Die handleiding stamt uit juli 2006. De controle op naleving van de Wbp is aan het College Bescherming Persoonsgegevens (CBP). De Consumentenbond eist nu dat het CBP deze webwinkels aanpakt. De betroffen winkels zijn zelf ook geschrokken en zeggen maatregelen te nemen om de beveiliging te verbeteren.
Ziekenhuizen
Vorige maand is al aan het licht gekomen dat ziekenhuizen niet zorgvuldig omgaan met persoonlijke gegevens. Het CBP en de Inspectie voor de Gezondheidszorg (IGZ) hebben twintig ziekenhuizen onderzocht. Daarvan voldoet er geen enkele aan de norm voor informatiebeveiliging.
Dit ondanks het feit dat het ict-budget van zorgorganisaties de afgelopen tien jaar is verdrievoudigd. Dat blijkt uit onderzoek door Q-consult in opdracht van de vereniging van ziekenhuizen (NVZ). Zorginstellingen investeren met name voor het elektronisch patientendossier en voor informatiebeveiliging. De zorgsector loopt met de ict-investeringen echter achter op andere sectoren, zoals transport, distributie en overheid.
Reacties
Wat mij bevreemd is dat vrijwel alle onderzochte webshops aangesloten zijn bij een of meerdere webwinkel-keurmerken. Organisaties die pretenderen zich bezig te houden met hoe een webwinkel zijn klanten zou moeten (be)dienen. Blijkbaar schieten ook deze keurmerk organisaties ook zeer tekort. Blijkbaar controleren ook zij niet hoe het is gesteld met de veiligheid van hun aangesloten webwinkel leden, en moet dit eerst via het AD onderzocht worden om daarna vanuit de keurmerk organisaties te horen dat zij het probleem onderkennen en nu een checklist gaan samenstellen. Mosterd na de maaltijd lijkt me. Bij een consument wordt door het voeren van zo'n keurmerk ondertussen wel een vals beeld van "vertrouwen" opgewekt wanneer een consument dergelijke webwinkel-keurmerken als criterium hanteert bij de selectie van artikelen tussen verschillende webshops.
Beveiliging is vaak een van de minder belangrijke onderwerpen - dus ook als het gaat om geld verdienen om e-commerce. Juist omdat de interactiviteit bij een webshop gebruikersvriendelijkheid vergt - een gebruiker moet bijvoorbeeld wel zijn eigen wachtwoord kunnen kiezen - gaat security al meteen op de schop. Maar dat wil niet zeggen dat de webshop zelf onveilig is. Het ligt vaak meer aan de gebruiker dan aan de gebruikte software zelf.
Daarnaast valt het me wel op dat hier zo'n ophef over wordt gemaakt. We kennen allemaal het verhaal van de studenten die de OV-chip kraakten. Maar kennen we echt allemaal de ins-en-outs van het verhaal? Wat is onveiliger: Een boek bestellen bij bol.com of Windows op je pc draaien?
Over dat keurmerk: Een hacker-safe logo betekent niet meer dan "dat je graag de indruk wekt van een veilige website". Keurmerken betekenen niets zonder een uitvoerige interne audit.
Wat ik hier mis is een minimale opsomming waar een webshop op moet letten. Het is geen eenvoudige zaak een webshop goed te runnen en ook nog zeker te houden.
Misschien een idee voor een vervolgartikel.
Door dit artikel en de reactie van Peter toch eens gekeken bij de voorwaarden die de keurmerken hanteren. Het valt inderdaad op dat er meer gelet wordt op de correctheid van de procedure. Goede naamsvermelding, bereikbaarheid en naleving van garantie en retourprocedures. Thuiswinkel.org rept wel kort over privacy, maar over beveiliging kan ik zo snel niets vinden. Het lijkt me inderdaad zaak dat deze keurmerken zich zo snel mogelijk aanpassen en zich ook meer profileren als informatievraagbaak naar de leden. Zo worden de wetswijzingen ook beter gecommuniceerd en doorgevoerd. Moet toch kunnen gezien de bedragen die de winkeliers betalen aan zo'n keurmerkinstantie.
Bedrijven besteden vermogens aan interne beveiliging.
Ze hebben vaak vrijwel onbeperkte website budgettten om marktaandeel te veroveren en besteden niets of onvoldoende aan de beveiliging van de webserver (deed de website bouwer dat niet..). Veel van de schade ontstaat door SQL-injecties en gaten in de website software of het operating system. Blijkbaar vertrouwen we er allemaal op dat het in orde is.
Initiatieven zoals Hackersafe en McAfeeSecure dienen slechts voor het afkopen van het schuldgevoel van de eigenaar van de website maar pakken de wortel van het probleem niet aan. Wat zou het al mooi zijn als de websites voortaan up to date gehouden werden...
Het invoeren van een beveiligingskeurmerk kan wellicht iets uithalen. Als bewijs dat aandacht is besteed aan een aantal basale beveiligingsmaatregelen. Vergelijk het met de andere keurmerken voor webshops of het hebben van een (ISO-)certificaat. Als uitbreiding op het Thuiswinkel waarborg. De keurende partij moet wel geaccrediteerd zijn anders zegt het nog niet veel. Het is wel jammer dat zoveel moeite nodig is voor iets dat zo gemakkelijk te regelen valt ... Tja, commercie en marketing ondermijnen wel vaker beveiliging.
t ja als webwinkel kun je ook niet inversteren daar verdienen zij te wijnig voor het is maar snel doosjes schuiven maar service ho maar
Dat had ik van bart smit zeker niet verwacht opppassen geblazen dus voortaan
Uit de beschikbare gegevens is het niet na te gaan wat er nu precies getest is. Zonder nadere gegevens over de bevindingen is de ernst van de situatie moeilijk te bepalen. "Erg zorgwekkend" is dan een stemmingmakende aanduiding.
Ik leid af dat er gekeken is naar de encryptie van de communicatie met de website. De norm zou moeten zijn dat vanaf inloggen op de website alle communicatie versleuteld is en dat die versleuteling op basis van een "extended validation" certificaat gebeurd. De consument ziet dan in zijn browser een bevestigende groene adresbalk als bevestiging dat het goed zit - en rood als dat niet het geval is. Deze norm wordt helaas bij lange na nog niet gehaald en vergt vaak het geheel opnieuw opzetten van de website. Verbetering is hier mogelijk, maar een witte adresbalk is niet per definitie fout. De consument moet dan wel letten op de "https:" voor het adres.
Er is hier sprake van webwinkels die er alle belang bij hebben dat het hele koopproces betrouwbaar afgehandeld wordt en dat de beleving bij de consument ook betrouwbaarheid uitstraalt. Privacy is hier maar een klein onderdeel van, waar nu wel de nadruk op gelegd wordt zonder naar verdere context te kijken.
Beveiliging op basis van een keurmerk is slechts een momentopname. Regelmatige controle, zoals bijvoorbeeld eenmaal per jaar zou goed zijn, waarbij de consument ook kan nagaan wanneer het keurmerk is toegekend en hoe lang het nog duurt tot de volgende controle. Zo is het systeem echter niet ingeregeld. Dan kan pas beoordeeld worden dat:
- de beveiligingsuitgangspunten goed gedefinieerd zijn;
- de verantwoordelijkheden goed belegd zijn;
- de beveiligingsprocessen goed lopen (inclusief de aantoonbare werking ervan);
- naar verbeteringen gezocht wordt;
- verbeteringen ook daadwerkelijk aangebracht worden.
Als het bovenstaande goed ingevuld is, komt het met de techniek ook vanzelf goed voor elkaar.
Security is nog steeds een ondergeschoven kindje, een sluit post. Het wordt pas echt belangrijk als het fout is gegaan. Security is afhankelijk van verschillende factoren zoals implementatie en beheer met bijkomende verschillen in verantwoordelijkheden en competenties. Er komt dus best wat bij kijken, dat kost tijd en geld.
De beveiliging begint feitelijk bij de implementatie. Functioneel wordt een oplossing getest door de implemenatie partij en de klant. Maar die zijn niet altijd op de hoogte van de beveiligings aspecten. Zelf heb ik een aantal jaar cursussen gegeven op implementatie vlak (ik ben verre van security expert!) en heb me verbaasd over het aantal ontwikkelaars op internet vlak wat onbekend was met sql injection en cross side scripting. Tel daar bij op dat op veel plekken met verouderde technologie wordt gewerkt en de kans op fouten en daarmee gaten is groot.
Als het gelukt is een veilige implementatie te laten realiseren ben je niet klaar. Dan begint het beheer pas. Qua implementatie en beheer is het nogal eens onduidelijk wie welke verantwoordelijkheden draagt.
Implementaties worden bv (deels) in eigen beheer opgenomen. Daarmee neemt men verantwoordelijkheden op zich zonder dat men zich dat afdoende realiseert. Het kan nog zo veilig geimplementeerd worden, als je morgen de security patch voor je os, database of webserver vergeet staan er wellicht een paar achterdeuren wagenwijd open!
Het is raadzaam om bij oplevering
een uitgebreide security scan te laten uitvoeren door een derde partij. Daarna duidelijk in te zien welke elementen beheerd worden en wie welke verantwoordelijkheden draagt. Beheer de zaak goed en las periodiek een security scan in.
Zo'n keurmerk zou daar eigenlijk op moeten rusten, ik ken ze niet maar betwijfel of dat zo is.
Keurmerken kosten geld zeggen mij de webshop owners. En geregelde herkeuringen of zelfs monitoring kost nog meer. Het gaat hier om de business case. Als de kosten te hoog worden dan is de tent niet meer rendabel, een superkeurmerk met herkeuring, monitoring en dergelijk zou de kosten flink doen toenemen. Nog maar niet te spreken over het implementeren van alle punten en komma's die zo'n keurmerk adviseert.
Een andere opinie die ik geregeld van eigenaren van fysieke winkels die ook een webshop openen:je zit helemaal niet te springen om een webwinkel. Je doet maar mee omdat je anders de boot misschien mist. Maar het liefst loods je de klanten naar je eigen echte winkeldeur. Simpelweg om dat je gekozen hebt voor een winkel, niet voor een webshop. Niet voor niets dat BOL daar goed uitspringt. Schoenmaker...
Nog een andere uitspraak die ik geregeld hoor: hoeveel bekeuringen zijn er nou eigenlijk uitgedeeld aan bijvoorbeeld die Free Recordshop, Bart Smit, V&D? En dat gepraat over Imago... het is meer schade aan de hele webshopwereld dan aan een enkel bedrijf. En dat komt een echte winkelier niet slecht uit. Waar is die businesscase dat de HEMA het vele malen beter doet dan V&D omdat ze de security op orde hebben?
Dus ja, wat verwacht je eigenlijk?
Even een beetje dromen: Misschien moeten we een VWW introduceren, een Veilig Winkel Web. Iedere winkel wordt hier doorlopend gehouden aan de hoogste eisen anders worden ze gedegradeerd tot het WWW. Iedere bezoeker identificeert zichzelf op een sterke wijze op dit virtuele subnetwerk om binnen te mogen, dat geeft ook weer een waarde terug aan de winkelier. Een veilig winkelcentrum in de sky waar je elkaar kunt vertrouwen. Dat zou nog eens wat zijn.