Navigation path

Hoe kan ik mijn website beveiligen?

Hoe kan ik mijn website beveiligen?

Of je nu zelf een website ontwerpt of hiervoor een externe partner inschakelt, je moet steeds genoeg zorg besteden aan de ontwikkeling én het onderhoud van je website. Beveiligingsproblemen kunnen een grote impact hebben op je bedrijf of je merk (bijvoorbeeld imagoschade). Ze kunnen namelijk je dienstverlening verstoren en leiden tot vertrouwensverlies bij je klanten en mogelijk zelfs boetes en rechtszaken. Enkele voorbeelden van zulke beveiligingsincidenten: diefstal van de gegevens van je klanten, wijziging van de informatie op je website, het afsluiten van je website of het lekken van vertrouwelijke informatie over je bedrijf.

Het is ook heel erg belangrijk dat je vooraf een inventarisatie maakt, dus voordat er beveiligingsinbreuk plaatsvindt. Welke informatie is essentieel voor je organisatie? Waar is deze informatie te vinden? Hoe snel kan deze informatie weer beschikbaar zijn wanneer deze bij een aanval beschadigd raakt of verloren gaat? Voer een volledige audit van je systemen uit, stel vast wat de belangrijkste onderdelen zijn en leg alles vast in een document. Zorg ervoor dat meerdere mensen op de hoogte zijn van het bestaan van dit document.

Beveilig de informatie op je website

Voor je alles met je hostingproviders bespreekt, moet je nadenken over drie cruciale aspecten van informatiebeveiliging: de vereisten op het vlak van de vertrouwelijkheid, integriteit en beschikbaarheid van je website en diensten. Bovendien moet je bepalen welk beveiligingsniveau je nodig hebt.

Om er zeker van te zijn dat je systeemontwerp veilig is, moet je strikte garanties zien te krijgen en ervoor zorgen dat de volgende aspecten beveiligd zijn:
•    vertrouwelijkheid, d.w.z. informatie (bijvoorbeeld creditcardnummers, persoonlijke gegevens) beschermen tegen toegang door onbevoegden. Dat kan bijvoorbeeld door een doeltreffend authenticatiemechanisme te installeren (zoals „tweeledige verificatie”). Een andere mogelijkheid is het instellen van gecodeerde verbindingen (HTTPS, SSL-beveiliging) die ervoor zorgen dat alleen de juiste mensen toegang krijgen tot de informatie;
•    integriteit, d.w.z. informatie beschermen tegen wijzigingen door onbevoegden om te garanderen dat de gegevens correct en betrouwbaar blijven. Dat kan bijvoorbeeld door dagelijks te zoeken naar gewijzigde bestanden, door beveiligingstesten voor je website en diensten uit te voeren (om eenvoudige aanvallen zoals SQL-injecties te voorkomen) of door een inbraakpreventiesysteem te installeren; 
•    beschikbaarheid, d.w.z. garanderen dat je website altijd werkt. Twee belangrijke factoren hiervan zijn back-upstroomvoorziening installeren en alle hardware nauwkeurig onderhouden.

Je mag pas toegang tot je datasystemen verlenen als dat écht noodzakelijk is. Zo zorg je ervoor dat je steeds aan deze drie aspecten voldoet.

Reageer op beveiligingsproblemen

Zodra de beveiliging wordt doorbroken, staat het vertrouwen van je klanten op de helling. Daarom moet je snel reageren om de schade te beperken. Het is uitermate belangrijk dat je je klanten informeert over wat er precies is gebeurd. Een voorbeeld: als de wachtwoorden gehackt zijn, moet je je klanten hiervan op de hoogte brengen. Ze kunnen dan hun wachtwoord wijzigen, aangezien veel mensen hetzelfde wachtwoord gebruiken voor verschillende websites. 

Zoals we hiervoor al aangaven moet je, zodra je hebt vastgesteld wat het belangrijkst is, alle relevante partijen op de hoogte brengen. Wanneer er een beveiligingsprobleem wordt ontdekt, is het verstandig om één persoon te benoemen als IT-eigenaar. Deze persoon moet in noodgevallen meteen beschikbaar zijn en zijn toegerust om de vele interne technische aspecten aan te pakken die komen kijken bij het herstel van een beveiligingsprobleem. 

We raden je ook aan om een kennisgevingsbeleid inzake beveiligingslekken op te stellen (dit kun je in je privacybeleid  opnemen). Hierin vermeld je hoe en wanneer je je klanten op de hoogte zult brengen (bijvoorbeeld kennisgeving via brief/e-mail) wanneer hun persoonlijke gegevens zijn gelekt. In de toekomst zal dit waarschijnlijk in alle EU-landen verplicht worden. Ook zal het verplicht worden om de gegevensbeschermingsautoriteiten  op de hoogte te brengen zodra je het beveiligingslek ontdekt.

Daarnaast moet je de oorzaak van het beveiligingslek achterhalen. Zorg ervoor dat dit zo gebeurt dat je het bewijsmateriaal in een rechtszaak kunt gebruiken (bijvoorbeeld documenten die aantonen dat het beveiligingslek niet ontstond door gebrekkige veiligheidsmaatregelen). Is er financiële informatie (bijvoorbeeld over creditcards) gehackt? Breng dan de provider die je financiële transacties verwerkt op de hoogte, zodat deze alle benodigde maatregelen kan nemen.

Samengevat: het is van essentieel belang om een actieplan te ontwikkelen met daarin specifieke en concrete maatregelen en procedures die moeten worden gevolgd bij een beveiligingsprobleem. In de procedures moet worden vastgelegd  wie hoofdverantwoordelijke is, hoe contact wordt opgenomen met relevante medewerkers, en aan welke gegevens, netwerken en diensten prioriteit moet worden gegeven bij het herstel. En: wie op de hoogte moet worden gebracht (gegevenseigenaren, klanten of partnerbedrijven) indien hun gegevens, of gegevens die betrekking hebben op hun netwerken, in de openbaarheid komen.

Let op: een beveiligingslek kan ook gewoon te wijten zijn aan een onopzettelijke menselijke fout (bijvoorbeeld van het personeel). Geef je werknemers dus een degelijke opleiding, zodat ze beveiligingslekken naar behoren kunnen identificeren en rapporteren. Leer hen bovendien om voorzichtig te werk te gaan. Nalatigheid van werknemers (bijvoorbeeld een laptop of mobiele telefoon die gestolen wordt) is een van de belangrijkste oorzaken van beveiligingslekken.

Selecteer je land  en ga naar de nationale website van het Computer Emergency Response Team (CERT). Dit team van beveiligingsexperts is verantwoordelijk voor het beheer van beveiligingsincidenten (zoals beveiligingsrisico’s rapporteren en erop reageren). Deze mensen vertellen je wat je moet doen en wiens hulp je kunt inschakelen als je wordt gehackt. Ook sturen ze waarschuwingen uit over kwetsbare plekken en dreigingen in je land.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
België Computer Emergency Response Team Belgium: www.cert.be
Download de Belgian Cyber Security Guide : volg de 10 beveiligingsprincipes en neem de 10 cruciale maatregelen.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Nederland Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Hier vind je meer informatie over goede beveiligingspraktijken bij het ontwerp van je website en gegevens over andere beveiligingskwesties in je land.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Sources of information

Beveilig de informatie op je website
•    Samara Hart (n/a), „How can I be sure my website is secure”, te vinden op http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), „15 great ways to secure your website”, te vinden op http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), „Confidentiality, Integrity, Availability: The three components of the CIA Triad”, te vinden op http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog
 

Reageer op beveiligingsproblemen
•    Experian® Data Breach Resolution (2013-2014 edition), Data Breach Response Guide
•    Carl Niedbala (2014), „How a Data Breach can Destroy your Startup”, te vinden op http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Handbook on European Data Protection Law: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), „EU Article 29 Working Party Publishes Guidance on Data Breach Notification”, te vinden op http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington