Datalekken, de laatste jaren zijn ze veelvuldig in het nieuws geweest. Zo was er het lek van creditcardgegevens van 10 miljoen klanten bij Target en het lek bij datingsite Ashley Madison. Ook dichterbij huis is het weleens raak, recentelijk nog bij bijvoorbeeld de Gemeente Almelo.
Wat zijn precies de risico’s van dit soort lekken en hoe zorg je ervoor dat je eigen website niet de dupe wordt van een dergelijk lek? Dat zijn de vragen die ik probeer te beantwoorden in dit artikel.
Risico’s van datalekken
Een datalek is vervelend, zowel voor de eigenaar van de betreffende website als voor de bezoekers daarvan. Wat de precieze risico’s en gevolgen zijn, hangt sterk af van het type informatie dat gelekt wordt.
In het ergste geval wordt er genoeg informatie gelekt om identiteitsfraude te plegen, zoals NAW-gegevens en het BSN. Met deze gegevens kan bij sommige aanbieders een lening aangegaan worden. Dit kan verstrekkende gevolgen hebben voor de eigenaar van de betreffende identiteit, zoals een negatieve registratie in het Bureau Krediet Registratie (BKR).
Ook minder gevoelige informatie, zoals e-mailadressen, zijn vervelend voor de gebruikers. De getroffen gebruikers zullen hierdoor spam- en phishing-mails ontvangen. Wanneer je slachtoffer wordt van een phishing-mail, dan kan dit ernstige gevolgen hebben. Een kwaadwillende kan op die wijze alsnog meer gevoelige informatie achterhalen.
Voor bedrijven kan het ook verstrekkende gevolgen hebben. Op zijn minst zul je reputatieschade oplopen. Klanten vinden het uiteraard niet leuk als hun gegevens op straat komen te liggen. Het is dus zaak om hier goed op voorbereid te zijn. Gelukkig zijn er concrete maatregelen die je kunt treffen om de risico’s te minimaliseren.
Verplichtingen bij datalekken
Voordat we naar concrete oplossingen kunnen kijken, is het handig om te weten welke verplichtingen je als websitehouder hebt. Ik ga er hierbij vanuit dat je een commerciële website hebt, zoals een webwinkel.
Als je persoonsgegevens verwerkt, moet je voldoen aan de bepalingen, zoals die zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). In deze context valt alles wat je opslaat over je bezoekers onder persoonsgegevens, dus ook onderdelen als een IP-adres.
De bepalingen in de Wet bescherming persoongsgegevens die voor ons het meest relevant zijn, zijn als volgt:
Artikel 6: persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Artikel 7: persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.
Daarnaast schrijft de wet voor dat de gegevensverwerking op een passende manier moet worden beveiligd. Voor gevoelige informatie, zoals ras, geloofsovertuiging en gezondheid gelden extra strenge regels.
Naast de verplichtingen omtrent het verzamelen en het verwerken van persoonsgegevens is er sinds 1 Januari 2016 ook een meldplicht voor datalekken. Ik ga in dit artikel niet verder in op de voorwaarden van de meldplicht, maar ik raad je zeker aan om die zelf eens door te nemen.
Waar komt de bedreiging vandaan?
Het is van belang eerst te inventariseren waar een bedreiging precies vandaan komt. In ons geval zijn er twee categorieën: fysiek en virtueel. Onder fysieke bedreigingen vallen zaken als inbrekers die in het datacenter de server waar je website op staat stelen, maar ook bijvoorbeeld het verlies van een USB-stick met gebruikersgegevens.
Fysiek zitten we goed. Verscholen in een hoek van het bosrijke industrieterrein te Hengelo, omheind door meters hoge hekken en in het zicht van talloze camera’s, ademt een raamloze black box de sfeer uit van een onneembare vesting. Gezien de moderne faciliteiten, 24/7 bewaking, zware beveiliging en nabije ligging – ons kantoor bevindt zich op 10 kilometer afstand – is Previder voor Antagonist hét perfecte datacenter.
De racks waar onze servers in hangen zijn afgesloten, slechts een select groepje Antagonist-medewerkers is geautoriseerd om hierbij te mogen. Redelijkerwijs mag je ervan uitgaan dat de fysieke beveiliging meer dan op orde is. Dat betekent dus dat de bedreiging van virtuele aard is en via het internet tot stand komt.
Voorkomen is beter dan genezen!
Uiteraard is het beter om een datalek te voorkomen dan te genezen, maar het is een goed idee om stil te staan bij de risico’s van een datalek. Daarnaast is het handig om te inventariseren hoe je met een eventueel datalek omgaat, zodat in geval dat het toch gebeurt je niet in paniek de verkeerde beslissingen gaat nemen.
Vaak is de oorzaak van een datalek een bug in de software die misbruikt wordt. Iedereen doet zijn best om een zo hoog mogelijke kwaliteit software af te leveren, maar we zijn allemaal mensen en we maken dus weleens fouten.
Houd software die je gebruikt up-to-date
Onder het mom van voorkomen is beter dan genezen, is het een goed idee om de software die je gebruikt up-to-date te houden. Bij de Slim-, Plus- en Pro-pakketten van Antagonist doen we daar nog een schepje bovenop. Je bent weliswaar zelf verantwoordelijk voor het up-to-date houden van de software die je gebruikt op je pakket, maar wij bieden je een heleboel geavanceerde tools die je daar bijzonder goed bij helpen.
Denk aan Patchman, een systeem dat automatisch beveiligingsproblemen oplost in veelgebruikte software zoals Magento, WordPress en Joomla. Dit betekent niet dat je nooit meer hoeft te updaten, maar Patchman zorgt er in ieder geval voor dat acute bedreigingen snel en goed opgelost worden.
Kijk kritisch naar gegevens die je opslaat
Daarnaast is het handig om stil te staan bij de gegevens die je opslaat. Wat je niet hebt, kun je immer ook niet verliezen. Door geen gegevens op te slaan die je niet nodig hebt, kun je de schade in het geval van een datalek aanzienlijk verminderen. Bij Antagonist doen we dit ook, voor sommige domeinen moet je een BSN of paspoortnummer opgegeven. Aangezien dit gevoelige informatie is, vragen wij er alleen naar als het strikt noodzakelijk is.
Voor het verwerken van creditcardbetalingen moet je voldoen aan strenge eisen (vastgelegd in de PCI DSS-standaard), maar gelukkig kun je dit ook uitbesteden aan een derde partij. Een dergelijke partij zorgt ervoor dat de gegevens goed beveiligd zijn en conform de standaard verwerkt worden. Zodoende hoef je zelf geen betalingsgegevens op te slaan, wat het risico op lekken aanzienlijk verlaagd.
Geïnteresseerd in beveiliging? Wij ook! Bij Antagonist besteden we daarom veel aandacht aan de kwaliteit en veiligheid van ons platform. In bijvoorbeeld dit artikel kun je meer lezen over hoe we ons platform veilig houden.
Pas op met plug-ins
Voor veel pakketten, zoals Magento en WordPress, kun je plug-ins installeren die allerlei handige dingen doen. Waar je echter bij stil moet staan, is dat deze plug-ins bij alle gegevens kunnen die je opslaat. Dat betekent dat je erg zorgvuldig moet zijn met het installeren van plug-ins en dit enkel moet doen wanneer je ze vertrouwt.
Echter, hoe weet je welke plug-ins te vertrouwen zijn? Dat is erg lastig te beoordelen, zeker als je zelf niet of nauwelijks ervaring met PHP/HTML/JavaScript hebt. Op de plug-ins-pagina van bijvoorbeeld WordPress kunnen gebruikers plug-ins beoordelen en alhoewel dit verre van waterdicht is, is het wel een indicatie van de kwaliteit van de plugin.
Feit blijft dat het, zelfs voor mensen die wel over de benodigde kennis beschikken, moeilijk is om de veiligheid van plug-ins te beoordelen. Een factor die het nog lastiger maakt, is dat er vaak meerdere plug-ins geïnstalleerd worden. Elke plugin voegt zijn eigen functionaliteit toe, maar zorgt er ook voor dat er meer ruimte is om fouten te maken. Probeer dit dan ook te beperken door alléén die plug-ins te installeren die je nodig hebt. En als een plugin later niet nodig blijkt te zijn, zorg er dan voor dat je die verwijdert.
Gebruik SSL
De Wet bescherming persoonsgegevens schrijft voor dat gegevens op een op een passende manier beveiligd moeten worden. Dit is behoorlijk vaag, maar we kunnen daar wel iets concreets van maken.
Het verkeer dat tussen je website en de computer van de bezoeker wordt uitgewisseld, gaat via een groot aantal tussenpartijen, zoals de internetprovider van je bezoeker. Echter, ook eigenaren van publiek toegankelijke WiFi-netwerken kunnen al het verkeer zien dat over hun netwerk verzonden wordt.
Daarnaast weet je nooit precies welke route je verkeer gaat nemen, maar impliciet vertrouw je alle tussenliggende apparatuur en instanties wel. Het gevolg is dat al deze partijen, bijvoorbeeld cookies met session ID’s kunnen zien, maar ook informatie die gebruikers op formulieren invullen.
Gelukkig is hier een goede oplossing voor, namelijk SSL. Door een SSL-certificaat te gebruiken, maak je het verkeer onleesbaar voor derden. Hiermee kun je in ieder geval garanderen dat gegevens beveiligd verstuurd worden. Via Mijn Antagonist kun je een SSL-certificaat aanschaffen om je verkeer te beveiligen, wij zorgen er dan voor dat deze correct geïnstalleerd en gebruikt wordt.
Wil je aan de slag en een SSL-certificaat installeren, check dan dit handige stappenplan en zorg ook dat je website een veilige en vertrouwde uitstraling heeft.
Tot slot
Een datalek is iets dat iedereen kan overkomen, een ongeluk zit immers in een klein hoekje. Echter, je kunt wel concrete maatregelen treffen om de kans zo klein mogelijk te maken en om goed met een eventueel lek om te gaan.
Concreet gesteld, ik wil je graag de volgende tips meegeven:
- ga na welke verplichtingen er zijn omtrent het melden van datalekken en zorg dat je aan de regels voldoet, zodat je bij een eventueel lek snel en accuraat kunt handelen. Zo bescherm je gegevens op de juiste wijze, weet je wat je moet doen en voorkom je een eventuele boete;
- sla enkel de gegevens op die je daadwerkelijk nodig hebt (e.g. door betalingen uit te besteden aan een geautoriseerde dienst, bespaar je een hoop moeite en voorkom je eventuele problemen);
- houd alle software die je op je pakket installeert up-to-date;
- installeer alleen plug-ins die je vertrouwt en houd deze plug-ins up-to-date;
- deactiveer of verwijder plug-ins die je niet nodig hebt;
- gebruik een SSL-certificaat voor je domein om verkeer voor derden onleesbaar te maken.
Wil je aan de slag met een website, maar heb je nog geen webhostingpakket? Zoek je snelheid, veiligheid en wil je niet hoeven nadenken over het maken van backups? Twijfel niet langer!
P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.