Meer dan helft websites mkb-bedrijven onvoldoende beveiligd
De meeste websites van Nederlandse mkb-bedrijven zijn niet veilig. Dit stellen adviesbureau BDO en cybersecurity-startup Perfect Day op basis van een scan van meer dan 300.000 websites. Meer dan de helft van de onderzochte sites vertoont kwetsbaarheden waardoor hackers en bots data kunnen stelen, dingen kunnen aanpassen of zich toegang kunnen verschaffen tot financiële stromen.
De onderzoekers waarschuwen dat de resultaten weinig goeds voorspellen voor de algehele beveiliging van bedrijven: “Een website geeft vaak een goede indicatie van hoe serieus men met cybersecurity bezig is binnen een organisatie”, aldus Kees Plas, partner bij BDO Technology.
“Daarnaast moeten bedrijven zich realiseren dat ze met onvoldoende beveiliging niet alleen zichzelf, maar ook werknemers, leveranciers en klanten in gevaar kunnen brengen”, vult Perfect Day-cyberexpert Chris Montijn aan. “De website vormt immers vaak een centrale functie in het verbinden van deze partijen. Als het dataverkeer bijvoorbeeld niet goed versleuteld is, kunnen hackers inbreken in het bestelproces van een webshop of de afhandeling van een contactformulier. Op deze manier hebben ze niet alleen toegang tot de namen en adressen van klanten, maar kunnen ze ook bij betaalgegevens komen.”
De 300.000 websites werden grondig doorgelicht: “We kijken naar 21 belangrijke veiligheidskenmerken waaraan een website zou moeten voldoen”, vertelt Plas. “Bijvoorbeeld of (klant)gegevens wel versleuteld worden verzonden. En of het voor criminelen makkelijk is om bezoekers naar een malafide website te leiden en zich daar online als het bedrijf in kwestie uit te geven.”
De onderzochte websites werden onderverdeeld in 17 branches. Waar de overheid nou niet bekendstaat om zijn hoogwaardige ICT, scoort de bredere publieke sector in het onderzoek wel stukken beter dan de private sector, aldus Plas: “We zien grote verschillen per branche, met uitschieters op hoge kwetsbaarheden richting de 20% in de private sector, terwijl de beste branche, publieke sector, daar met 7% veel beter op scoort.”
Standaardpakket
Maar hoe komt het dat veel mkb-bedrijven nog altijd onveilige websites hebben? “Een onvoldoende beveiligde website komt maar zelden voort uit onverschilligheid”, stelt Montijn. “Wat wij vaak zien, is dat bedrijven een pakket afnemen bij bijvoorbeeld een webshop- of hosting partij en er daarmee vanuit gaan dat alles geregeld is. Dit blijkt een gevaarlijke aanname. Zo checkten wij vorig jaar op de Webwinkel Vakdagen zo’n 80 sites van webshophouders waarvan een groot deel een professioneel webshop pakket afnam. Slechts één van hen voldeed aan de veiligheidseisen.”
“Wij adviseren bedrijven om expliciet bij hun leverancier na te vragen welke beveiligingsmaatregelen zij treffen voor hun klanten”, vervolgt de cyberexpert. “En laat eens op hoofdlijnen door een externe partij checken hoe het bedrijf er over het geheel genomen voor staat qua cybersecurity. Dat hoeft echt geen hele audit te zijn. Met een kleine tijdsinspanning en wat simpele aanpassingen is vaak al heel veel winst te behalen. Uiteindelijk is een ondernemer of bestuurder toch verantwoordelijk voor de veiligheid van het bedrijf. Daarbij zouden ze altijd zelf de regie moeten houden, ook als ze zaken uitbesteden.”
