Sluit

Is mijn website veilig?

Het online vindbaar zijn en het hebben van een bedrijfswebsite is voor veel ondernemers essentieel. Maar hoe kun je herkennen of jouw huidige bedrijfswebsite wel veilig is? Als je overweegt om een nieuwe website te laten ontwikkelen, lees dan hier welke stappen je preventief kunt nemen om de beveiliging te verhogen.

Wie heeft je website gebouwd?

Een groot gedeelte van de ondernemers heeft de bedrijfswebsite laten ontwikkelen door een kennis, student, bevriende ondernemer of webontwikkelaar. Erg handig en vaak ook niet zo duur, maar aspecten met betrekking tot de digitale beveiliging worden hierbij vaak te weinig benadrukt of soms zelfs helemaal over het hoofd gezien.

Hoe is mijn website ontwikkeld?

Vraag aan jouw leverancier of er wordt ontwikkeld aan de hand van het 'secure by design'-principe. Dit houdt in dat software die wordt geleverd vanuit de basis veilig ontworpen is. Echter, 100% veiligheid bestaat niet aangezien ontwikkelaars mensen zijn en fouten kunnen maken, hoe veilig ze ook werken.

Applicaties kunnen daarom kwetsbaarheden bevatten, waar kwaadwillenden naar op zoek gaan. Eenmaal gevonden, zullen zij deze misbruiken en mogelijk proberen uit te buiten. Vraag daarom aan de ontwikkelaar of de geleverde applicatie is getest door een onafhankelijke derde partij en vraag naar de resultaten. De bouwer van de website zal op zijn beurt gebruik moeten maken van bekende web applicatie security standaarden zoals bijvoorbeeld Web Standards and Specifications van OWASP en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het NCSC.

Tips voor het bepalen van veiligheid

Wat kun je als ondernemer doen als je in het verleden al eens een bedrijfswebsite hebt laten ontwikkelen en er niet zeker van bent hoe het staat met de beveiliging? Met onderstaande vragen kun je zonder diepgaande IT-kennis toch zelf een beeld vormen. Zo kun je in gesprek gaan met partijen die betrokken zijn (geweest) bij de realisatie van jouw bedrijfswebsite.

Hoe scoort mijn website op internet.nl?

Op de website internet.nl kun je gratis controleren of je website en e-mailadres voldoen aan de laatste internetstandaarden. Hoewel deze controle géén beveiligingstest is, levert het wel zeer bruikbare informatie op die je met je leverancier of systeembeheerder, kunt bespreken. Internet.nl heeft ook een 'hall of fame' voor hosters opgezet die het beste scoren op het toepassen van moderne internet en e-mailstandaarden. 

Maakt mijn website gebruik van een beveiligde verbinding?

Je kunt zelf gemakkelijk controleren of jouw website gebruik maakt van een beveiligde verbinding. Ga hiervoor naar de (bedrijfs)website en kijk of er bovenin de browser https:// in de adresbalk te zien is. De letter 's' staat voor 'secure'. Ook zie je een slotje in een groen balkje in de adresbalk of onderin in het browserscherm. Als je op het slotje klikt kun je zien of je daadwerkelijk verbinding hebt met de juiste website. Als dit niet geval is maakt de website gebruik van een onbeveiligde (http) verbinding.

Let op: Als je gebruik maakt van Google Chrome versie 76 (en hoger) dan wordt in de adresbalk www. en https:// niet meer getoond. In het geval dat je toch een http:// pagina bezoekt zal in de adresbalk aangegeven worden dat de verbinding met de website niet is beveiligd.

Is er een beveiligingscertificaat geïnstalleerd?

Wanneer jouw website gebruik maakt van een onbeveiligde (http) verbinding is er geen of onveilig beveiligingscertificaat geïnstalleerd. Met een dergelijk certificaat zorg je er namelijk voor dat de communicatie tussen de browser en server versleuteld wordt. Een beveiligingscertificaat voor je bedrijfswebsite kun je zelfstandig aanvragen via jouw hostingprovider of een certificatenleverancier. Deze partij kan je dan ook direct vertellen welke soorten certificaten er zijn en wat deze kosten.

Een certificaat hoeft overigens niet altijd geld te kosten. Er zijn ook gratis varianten te verkrijgen zoals bijvoorbeeld Let's Encrypt. Een gratis Let's Encrypt certificaat kent een korte geldigheid waardoor deze vaak vervangen moet worden. Ook is de validatie naar de eigenaar van een website van dit soort certificaten beperkt. Bij betaalde certificaten kan er bijvoorbeeld ook een handmatige validatie van de organisatie plaats vinden en niet alleen de eigenaar van het domein. Ook zijn de uitgereikte certificaten veelal meerdere jaren geldig.

Maakt mijn website gebruik van de meest recente beveiligingsupdates? Zo nee, waarom niet?

Voor een veilige website is het van groot belang dat de code van de website geüpdatet is om beveiligingsrisico's te verminderen. Deze belangrijke beveiligingsupdates worden op zeer regelmatige basis uitgebracht en bevatten beveiligingsoplossingen voor alle onderdelen van je website, maar ook bijvoorbeeld voor het content beheersysteem (CMS) op de achtergrond en de mogelijk gebruikte plugins. Om de beveiliging op peil te houden is het belangrijk dat deze beveiligingsupdates ook daadwerkelijk worden doorgevoerd op jouw website. Als er door de leverancier wordt gekozen om niet te updaten is het altijd goed om te weten waarom hiervoor is gekozen. Voor jou als ondernemer kan het echter lastig zijn om zelf te controleren of alles up-to-date is, maar hiervoor kun je wel specifieke afspraken maken. Vraag je leverancier bijvoorbeeld eens wanneer de laatste beveiligingsupdates zijn doorgevoerd of vraag of je hierover op de hoogte gehouden kunt worden. Vergeet dan niet ook navraag te doen naar eventuele verouderde plugins op de website aangezien deze voor aanvallers veelal gemakkelijke ingangen zijn.

Hoe wordt de toegang tot mijn contentmanagementsysteem beschermd?

Veel bedrijfswebsites worden opgeleverd met een achterliggend contentmanagementsysteem (CMS) om de website te voorzien van inhoud. Vraag jouw leverancier hoe de toegang hiervoor is ingeregeld en welke beveiligingsmaatregelen er zijn getroffen om het CMS te beschermen. Om de juiste vragen te stellen aan jouw leverancier wordt aangeraden om zelf, of in samenspraak met de leverancier, deze stappen door te nemen.

Wanneer is mijn website voor het laatst getest op beveiligingsrisico's door een externe partij?

Je website kan wellicht al jaren lang online staan, maar vergeet deze niet periodiek - minimaal 1 maal per jaar - te laten onderzoeken door een onafhankelijke externe partij. Het bepalen van de omvang en diepgang (scope) doe je idealiter in overleg met de experts van een securitybedrijf. Waar je precies op moet letten bij een geschikt securitybedrijf kun je hier nalezen.

Een van de bekendste varianten van een security test is een zogenaamde penetratietest, ook wel pentest genoemd. Hierbij worden kwetsbaarheden ook echt als aanvalstechniek gebruikt om in de systemen in te breken. Er zijn tal van bedrijven in de markt die de beveiliging kunnen testen. Vergeet bij het bepalen van de scope van de test niet de eventuele webservices en API’s die jouw bedrijf (bewust of onbewust) aanbiedt, mee te nemen in de scope van de security test voordat je ze online zet.