Websites worden niet voor niets wel eens de "etalages" van het digitale tijdperk genoemd. Ze kunnen de manier waarop klanten een bedrijf of product zien positief beïnvloeden, helpen de perfecte eerste indruk te creëren of vertrouwen in een service op te bouwen. Of juist het tegenovergestelde, vooral als ze slecht beveiligd zijn. Heb je ooit overwogen dat jouw website een bedrijfsrisico kan vormen? Dan is het tijd om verder te lezen.
Gehackt vertrouwen
Stel je eens voor: een gebruiker besluit eindelijk om een product te kopen - maar de e-store ligt plat. Of, nog erger, de creditcardgegevens van jouw klant worden gestolen als gevolg van een kwetsbaarheid in de website. Het gevolg is dat de informatie die gebruikers op de website invoeren, rechtstreeks in handen van de dader terecht kunnen komen.
Ook kan de aanvaller ongepaste of schadelijke inhoud weergeven die de klant in gevaar kan brengen, bijvoorbeeld op de homepage. "Datalekken, zowel gecompromitteerde als disfunctionele websites, kunnen de betrouwbaarheid van het merk schaden. De vergelijking is eenvoudig: een slecht merk staat gelijk aan een slecht zakelijk potentieel," zegt Martin Cambal, ESET Global web development manager. Vooral als de website niet alleen gebruikt wordt voor presentatiedoeleinden, maar vooral om producten en diensten online te verkopen, dan kan de impact van een cyberaanval nog veel groter zijn.
Wat zijn de Top 10 beveiligingslekken?
Zie de OWASP chart, een standaard bewustwordingsdocument voor ontwikkelaars en web applicatie beveiliging.
Soms willen hackers alleen de website platleggen, maar in de meeste gevallen willen ze accounts met klantgegevens stelen en die mogelijk verkopen. Aangezien er veel over datalekken wordt gepraat en de informatie vaak overal in de media wordt gepubliceerd - of op gespecialiseerde websites zoals HaveIBeenPwned - lijdt de geloofwaardigheid van het merk eronder.
Hoewel de meeste deskundigen adviseren dat bedrijven transparant communiceren over cyberaanvallen, en de regelgeving dit daarnaast eist in sommige gevallen van datalekken, besluiten sommige bedrijven een andere merknaam te nemen in de overtuiging dat ze het merkimago niet zouden kunnen herstellen.
Op zwarte lijst bij zoekmachines
"Deze site is mogelijk gehackt" - ooit dit bericht gezien in de zoekresultaten van Google? De zoekmachine kan potentieel schadelijke pagina's identificeren. Als een website gecompromitteerd is, kan hij daartussen verschijnen.
Bovendien verwijdert Google gehackte sites uit de zoekresultaten. Naast zoekmachines detecteert ook antivirussoftware mogelijk gehackte websites en ontmoedigt haar gebruikers om deze te bezoeken.
De ongenode spion
Terwijl sommige cybercriminelen laten weten dat ze jouw website hebben gehackt, blijven anderen undercover. "De concurrent bespioneren, het aantal bestellingen op bepaalde e-shops in de gaten houden, cruciale gegevens stelen... Er kunnen veel redenen zijn waarom ze op je website inbreken. Ik heb situaties gezien waarin bijvoorbeeld een prijsvergelijkingsportaal een anonieme e-mail ontving met contacten van 30.000 bedrijfseigenaren van e-shops in Tsjechië. Uiteraard betaalde het bedrijf niets en negeerde het aanbod. Maar deze ervaring toont aan dat het verkopen van gegevens één van de motivaties kan zijn voor hackers om stiekem je website te bespioneren," herinnert Cambal zich. "Ook scannen aanvallers soms je website op kwetsbaarheden, en als ze er een paar vinden, vertellen ze je (zogenaamd) alleen meer als je betaalt."
En dan zijn er nog de zogenaamde scriptkiddies die ook een bedrijfswebsite schade kunnen berokkenen - deze relatief ongeschoolde individuen maken gebruik van scripts of programma's die door anderen zijn ontwikkeld en gebruiken die om door de code van de website te kruipen, op zoek naar kwetsbaarheden. Wanneer zij in staat zijn documenten te uploaden, kunnen zij ook het visuele uiterlijk van de website of de inhoud veranderen. "Hierdoor kunnen servers overbelast raken, waardoor de website wordt afgesloten en klanten - onder andere - geen producten kunnen kopen," voegt Cambal toe. Dit kan resulteren in gederfde inkomsten en een onprettige klantervaring - en extra kosten die nodig zijn om de problemen te verhelpen.
Meer geavanceerde aanvallen kunnen een deel van de website uitschakelen, bijvoorbeeld de paywall. "Als de serverlogbestanden niet goed worden gemonitord, denken bedrijven misschien dat het probleem niet door een cyberaanval is veroorzaakt en gaan ze de fout dus zoeken in de website-apps die ze ontwikkelen," legt Cambal uit. "Op deze manier verliezen ze ook tijd en geld - hoe langer de paywall down is, hoe langer het onmogelijk is voor bezoekers om te winkelen." Onthoud dat je door je website te beveiligen niet alleen de reputatie van je merk beschermt, maar ook je klanten.
"Het verkeer op de website van ESET is erg hoog, daarom lijkt het aandeel van botverkeer misschien vrij laag. Maar in het geval van bedrijven met websites die zo'n 1.000 bezoekers per dag hebben, kan het aandeel botverkeer op servers oplopen tot 80%. Het aantal bezoeken dat u ziet, bijvoorbeeld in Google Analytics, geeft geen totaalbeeld van het totale aantal verzoeken. Daarom is het monitoren van toegangslogs zeer belangrijk," voegt Martin Cambal, ESET Global Web Development manager, toe.