Fox-IT: online retailers kwetsbaar door data

Bron: Jouke Schaafsma

Datum publicatie: 16 juni 2016

Online veiligheid krijgt meer aandacht, zeker sinds de nieuwe Wet bescherming persoonsgegevens (Wbp) in werking is getreden. Bij Netivity zoeken we constant naar manieren om de veiligheid te verhogen, onder andere door experts te raadplegen. We delen graag de ervaringen die Christian Prickaerts ons meegaf, manager Managed Security Services bij Fox-IT, een toonaangevend beveiligingsbedrijf op gebied van ICT-security. 

Forensisch

Fox-IT werd in 1999 opgericht. Twee voormalige medewerkers van het Nederlands Forensisch Instituut besloten voor zichzelf te beginnen. Het bedrijf groeide uit tot een wereldspeler op het gebied van cybersecurity en assisteert en adviseert bedrijven, overheidsorganisaties en opsporingsdiensten, waaronder de FBI en de High Tech Crime Unit van de Nederlandse politie. Vanuit Delft wordt nog altijd het werk van Fox-IT gecoördineerd, internet kent immers geen grenzen.

Verantwoordelijkheid

"Niet voldoen aan de Wet bescherming persoonsgegevens en problemen met veiligheid in het algemeen, kan vervelende gevolgen hebben voor organisaties. Uiteindelijk is de eigenaar van de gegevens, dus de online retailer, namelijk eindverantwoordelijk in de keten. Maar bestuurders van e-commerce partijen die te weinig doen, kunnen juridisch gezien ook persoonlijk worden geraakt. De dreiging is evident en dat vraagt vroeg of laat om actie", legt Prickaerts uit.

Honderden datalekken

Sinds de Wbp inging op 1 januari van dit jaar, heeft de Autoriteit Persoonsgegevens ruim 700 datalekken gemeld gekregen. De lijst met bedrijven die te kampen kregen met hacks of ander soortige bedoelde of onbedoelde datalekken is lang. Toch willen we met dit verhaal geen doembeelden opwerpen. Het verhaal van Prickaerts laat vooral zien dat het belangrijk is om aandacht te geven aan online veiligheid. Ebay, Ziggo, Talk-Talk, LinkedIn, JP Morgan Chase, Sony en Ashley Madison; het zijn bedrijven die dat zullen beamen. Ze werden slachtoffer van cybercriminelen. Op deze site zie je een geactualiseerd overzicht van problemen bij internationale bedrijven.

Pure players vs. klassieke retailers

In zijn algemeenheid geldt volgens Prickaerts dat organisaties die ontstaan zijn vanuit een online businessmodel, vaak sneller inspelen op noodzakelijke veranderingen op het gebied van online veiligheid. "Retailorganisaties die online handel er bij gaan doen, weten vaak zelf niet goed waar ze aan beginnen op het gebied van online veiligheid. Juist zij zijn volgens ons extra kwetsbaar. Schakel daarom de hulp in van organisaties die daar wel ervaring mee hebben."

Kwetsbaar

Volgens Prickaerts zijn er meerdere soorten bedreigingen waar online winkels rekening mee moeten houden. Van persoonlijke fouten met onbedoelde lekkage als gevolg tot regelrechte aanvallen en afpersing. "Het komt allemaal voor en criminelen slagen erin, ook in Nederland. De meest waardevolle data voor hackers zijn persoonsgegevens: inlogcodes met e-mailadressen. Die kunnen ze namelijk gebruiken om identiteitsfraude mee te plegen. Deze data wordt ook verhandeld. Online winkels hebben die gegevens in groten getale."

E-commerce voorbeeld

Fox-IT werd afgelopen jaar door een grote e-commerce partij (geen Netivity klant) gevraagd onderzoek te doen naar een hack toen klanten ineens gespamd werden vanaf een e-mailadres dat ze alleen voor aankopen bij die partij gebruikten. "Het heeft niet direct tot schade geleid voor die consumenten, maar wel voor het betrokken bedrijf. Er is veel geld en tijd gaan zitten in het vervolgonderzoek. Uiteindelijk raakt het ook de goede naam van een organisatie bij consumenten. Diginotar heeft laten zien dat zoiets in het uiterste geval zelfs tot een faillissement kan leiden." 

Wat doet Netivity?

Iedereen heeft er last van en dus ook bij Netivity merken we dat er pogingen worden gedaan om platforms plat te leggen of gegevens te stelen. Sinds we bestaan, zijn we dan ook bezig met online veiligheid. We monitoren 24/7 het internetverkeer over onze servers met speciale software. Ook voeren we regelmatig pentesten uit om kwetsbaarheden te ontdekken in online platforms omdat cybercriminelen ook verder ontwikkelen. We ontwikkelen bovendien eigen beveiligingssoftware en hebben er nu ook voor gekozen ISO certificering 27001 te verkrijgen. Niet zozeer omdat we nog niet deden wat nodig was, maar vooral om dat ook goed vast te leggen en te verankeren. Wil jij meer weten over hoe wij omgaan met veiligheid en datalekken? Neem gerust contact op!

Deel deze pagina