Waarom je niet zonder security updates kan
Geen enkel systeem is compleet onfeilbaar. Door beveiligingsupdates te installeren zorg je ervoor dat jouw website, portaal of webshop actueel blijft. Gekende beveiligingsproblemen en andere kwetsbaarheden worden hierdoor opgelost. Zo voorkom je dat aanvallers deze kwetsbaarheden gebruiken. De snelheid waarmee zo'n problemen tegenwoordig worden ontdekt, ligt ook veel hoger dan vroeger. Daarmee is het dus ook belangrijker geworden om snel te reageren en te zorgen dat je systemen altijd up-to-date zijn.
Wat zijn precies de risico’s?
Elke website loopt bepaalde risico’s als je security updates niet (tijdig) installeert. Je site kan gehackt worden. Niet alleen verlies je dan controle over je website, maar de aanvallers kunnen ook andere data of malware op je website plaatsen.
Verwerk je klantgegevens of andere persoonsgegevens? Dan loop je kans dat deze gegevens lekken en/of misbruikt worden. Indien dat gebeurt, dan ben je verplicht dit gegevenslek te melden bij de bevoegde toezichthouders, zoals de VTC of GBA. Doe je dat niet, dan kan je een boete krijgen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Soms moet je ook de slachtoffers van het datalek op de hoogte brengen. Uiteraard moet je daarnaast direct actie ondernemen om de schade voor slachtoffers zoveel mogelijk te beperken en nieuwe lekken te voorkomen. De VTC kan een waarschuwing geven, maar kan je ook direct berispen of een boete opleggen. Aangezien boetes openbaar gemaakt worden, zorgt dit ook voor reputatieschade voor je bedrijf.
Tips om jouw beveiliging op orde te brengen
Gelukkig kan je verschillende maatregelen nemen die deze beveiligingsrisico’s zoveel mogelijk beperken. Denk aan:
- Bescherm je tegen client-side aanvallen zoals SQL-injectie, XSS en CSRF. Vooral websites met formulieren of mogelijkheden om reacties of reviews achter te laten zijn relatief vaak het doelwit van zulke aanvallen. Ook andere website zijn niet veilig. Het is dan ook altijd verstandig om deze bescherming op orde te hebben.
- Wachtwoorden en gevoelige data encrypteren (kies bij voorkeur voor lange- i.p.v. complexe wachtwoorden).
- Kies een gespecialiseerde hostingpartner met geavanceerde monitoringtools en beveiliging.
- Zorg dat je regelmatig back-ups maakt, zodat je data niet verloren gaat mocht er onverhoopt toch iets gebeuren.
Hoe creëer je security awareness in jouw team?
Ze zeggen niet voor niets dat "de zwakste schakel in de beveiliging achter het scherm zit". Het is daarom belangrijk om niet alleen op IT te vertrouwen, maar tegelijkertijd ook te zorgen dat jouw procedures op orde zijn en er voldoende awareness is binnen jouw team.
Je kan dit zo aanpakken:
- Geef enkel personen toegang tot systemen en/of gevoelige informatie die deze toegang écht nodig hebben.
- Geef enkel toegang tot wat nodig is. Niet elke collega hoeft klantengegevens in te zien. Wat je niet beschikbaar maakt, kan ook niet misgaan of lekken.
- Gebruik een wachtwoordmanager. Kies daarbij voor unieke wachtwoorden, bewaar ze niet ergens op je PC en schrijf ze ook niet op een stuk papier. Geef je wachtwoorden ook nooit door aan anderen.
- Kies voor twee-factor-authenticatie (2FA) als extra beveiligingslaag.
- Houd je eigen systemen (OS) up-to-date.
- Laat je team een opleiding volgen om phishing te leren herkennen. Ook kan je een phishing-simulatie uitvoeren om de testen hoe jouw team met phishing-mails omgaat en waar je nog kan verbeteren.