Bijna de helft van alle Nederlandse websites van bedrijven zijn door kwetsbaarheden in software, in configuraties en in webservices gevoelig voor aanvallen van cybercriminelen. Gevolg is vaak gegevensdiefstal. Of afpersing middels ransomware. “Ondernemers zijn onvoldoende op de hoogte van de risico’s”, zegt cybersecurity-specialist Hans Kortekaas van het Haagse bedrijf ID Control op basis van drie onderzoeken naar respectievelijk webshops, overheidswebsites en bedrijfswebsites.
“Kwetsbaarheden zijn vaak makkelijk te verhelpen”, zegt de cybersecurity-specialist. Het is volgens hem zaak gevoeligheden tijdig te ontdekken en de risico’s te mitigeren. “Te vaak worden websites en infrastructuren opgezet en als veilig beschouwd. Kwetsbaarheidsmanagement en veiligheid zijn na oplevering vaak niet langer prioriteit voor de organisatie. De veiligheid komt vaak pas weer in beeld nadat cybercriminelen hun slag hebben geslagen.”
Overheid
In Nederland zijn, volgens de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG), ook veel overheidsinstanties kwetsbaar. Vaak wordt de inrichting van web- en infrastructuur uitbesteed. Opdrachtgevers gaan er dan van uit dat beveiliging en risicomanagement goed zijn geregeld. Dat is echter niet altijd het geval.
Gebrekkige beveiliging is overigens niet een typisch Nederlands probleem. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) ziet een toename in het aantal kwetsbaarheden waar niets aan wordt gedaan. Het Duitse onderzoek richt zich met name op webshops.
Webshops
Daar worden veel kwetsbaarheden geconstateerd. Vaak zitten die in de ondersteunende systemen. Tijdens inventarisaties zijn maar liefst 78 veelvoorkomende kwetsbaarheden geconstateerd. Die kwetsbaarheden kunnen variëren van een gebrekkig wachtwoordbeleid tot verouderde software. In meer dan de helft van de gevallen is geconstateerd dat de eigenaren echter weinig of geen prioriteit geven aan het opzoeken en verhelpen van de kwetsbaarheden. Risico’s op inbreuken en datalekken blijven daardoor uit het zicht van de organisaties.
Dit laatste is gevaarlijk. Want de aanvallen op de webomgevingen van organisaties, vaak een digitale infrastructuur met daarin gevoelige gegevens, worden steeds geavanceerder. Toch hoeft het beveiligen niet heel gecompliceerd te zijn. Het gaat er vooral om de risico’s in beeld te hebben. Het regelmatig uitvoeren van kwetsbaarheidsscans, het testen van de weerbaarheid en het continu versterken van de digitale voordeur zijn daarbij belangrijk. Met een kwetsbaarheidsscan kunnen organisaties, maar ook hun leveranciers, zien waar risico’s zich voordoen en dus adequate maatregelen nemen.
Kwetsbaarheidsbeheer
Een effectief raamwerk voor kwetsbaarheidsbeheer moet prioriteit hebben. Organisaties beschermen hierdoor niet alleen zichzelf, maar ook de consument en vertrouwelijke data. ID Control biedt, onder de naam VulnControl, een gereedschap dat binnen enkele uren een automatische scan kan uitvoeren. Snelheid is daarbij van belang omdat beveiligen een kwestie is van kwetsbaarheden ontdekken voordat de cybercriminelen dat doen.
