«

»

Hacken; leuker kunnen we het niet maken, wel moeilijker

31 okt | Door:

Is mijn webwinkel bestand tegen een aanval?

Met deze vraag zullen steeds meer webshop eigenaren rondlopen. Recente activiteit van hackersgroeperingen als Lulsec en Anonymous geven daar ook alle reden toe. Webwereld.nl heeft oktober uitgeroepen tot lektober en heeft inmiddels ruim 20 ernstige en minder ernstige lekken aan het licht gebracht bij Nederlandse websites en webshops in zowel de private als publieke sector.

Na het zien verdrinken van meerdere kalveren, is men ook bij het webwinkelwaarborg hardhandig uit de slaap gewekt en heeft men besloten om de vereisten aan het waarborg uit te gaan breiden. Wat is de mogelijke schade, ben je als webwinkelier aansprakelijk en hoe kan de webwinkel hiertegen bewapend worden?

Er zijn verschillende vormen van schade die kunnen ontstaan. Denk hierbij aan het lekken van persoonlijke gegevens of gevoelige informatie, of aan beschadiging en onbereikbaarheid van de applicatie. Echter zal veelal de gevolgschade en de imagoschade van het gehackte bedrijf vele malen groter zijn. Het vertrouwen van de consument wordt geschaad en dit vertrouwen zal lastig te herstellen zijn.

Ben je als webwinkelier aansprakelijk voor geleden schade?

Laten we voorop stellen dat hacken (of computervredebreuk) strafbaar is volgens artikel 138ab van het wetboek van Strafrecht. Het gros van de software leveranciers, webbureau’s en webwinkels hebben een aansprakelijkheidsclausule in de algemene voorwaarden, betreffende het niet aansprakelijk zijn in geval van computervredebreuk. Het is aan te raden een dergelijke clausule in de algemene voorwaarden op te nemen.

Echter, artikel 13 van de wet bescherming persoonsgegevens vermeldt dat er zorgvuldig omgegaan moet worden met persoonsgegeven. De letterlijke tekst luidt:
“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Dit houdt simpelweg in dat de webwinkelier en betrokkenen moeten kunnen aantonen redelijke maatregelen genomen te hebben, om beveiliging van gegevens te waarborgen. Dit betekent dus impliciet dat bij nalatigheid of grove fouten, er wel degelijk een aansprakelijkheid rust bij de webwinkelier, het webbureau of de softwareleverancier.
























Zijn hackers zo slim, of ontwikkelaars zo dom?

Eigenlijk zijn beide waar. Laten we ervan uitgaan dat er twee type hacks zijn; een moelijke en een makkelijke. Hacken is net als inbreken in een gebouw, wanneer een goede hacker een webapplicatie wil hacken, zal dit praktisch altijd kunnen lukken. De vraag is alleen hoe lang men er over doet en hoeveel moeite ervoor gedaan moet worden om binnen te dringen. Naarmate de applicatie beter beveiligd is, zal dit langer duren.

Helaas blijft een groot deel van webontwikkeling mensenwerk. Hierdoor komt het nog steeds voor dat er zaken over het hoofd worden gezien bij de (door-)ontwikkeling van applicaties. Zoals webwereld.nl al aantoonde, kan dit zo simpel zijn als het gebruiken van een (te) eenvoudige username/wachtwoord combinatie. Uiteraard is dit slechts een simpel voorbeeld, maar er zijn er veel meer te benoemen. Deze lekken kunnen eenvoudig misbruikt worden door iedere huis, tuin en keuken hacker.

Als webwinkelier moet je altijd kunnen aantonen dat er zaken worden ondernomen om de veiligheid van gegevens te waarborgen. Met een simpel SSL certificaat komt men binnenkort niet meer weg. Er moet meer gedaan worden. Zeker in deze branche waar ontwikkelingen zeer snel gaan. Een webwinkel van 1 jaar oud, kan al verouderd zijn.

Mag je als webwinkelier van de leverancier verwachten dat alle software automatisch en gratis wordt geupgrade en gepatched? Naar mijn mening niet. Vergelijk het met een huis waarin een bepaald type sloten is geplaatst bij de bouw. Na een jaar blijkt er een loper te zijn ontwikkeld die deze sloten met gemak opent. Dan bel je een slotenmaker om de sloten te vervangen of extra te beveiligen tegen deze loper. Vervolgens betaal je de voorrijkosten, materiaalkosten en arbeidsuren. Wel mag een pro-actieve houding worden verwacht van de leverancier om de webwinkelier op de hoogte te houden van nieuwe bedreigingen en mogelijkheden om deze op te lossen. Daarnaast is het een algemeen voorkomend gebruik om updates en patches van hosting omgevingen op te nemen in de hosting overeenkomst. Voor een applicatie is het steeds vanzelfsprekender om voor security checks, updates en upgrades een aparte clausule op te nemen in het onderhoudscontract.

Naast de eventuele aansprakelijkheid, is het natuurlijk veel belangrijker om klanten een veilig gevoel te geven en dit vertrouwen niet te schaden. Zorg dat alle gebruikte software up-to-date is, zowel van de webwinkel als van de hosting omgeving. Wees niet bang om hier geld in te investeren. De mogelijke schade kan vele malen groter zijn dan de benodigde investering.

Bookmark and Share
Categorie:

Geef een reactie

Uw emailadres zal niet worden gepubliceerd.