19 maatregelen om websites veilig te maken

op .

Website beveiligiing460 websites van een steekproef van 1000 Amerikaanse websites bleken bij onderzoek kwetsbaarheden te bevatten die voor de uitbater zelf en zijn bezoekers een risico opleveren. De Online Trust Alliance adviseert naleving van 19 'best practices'.

De Online Trust Alliance onderzocht een steekproef van websites die worden uitgebaat door grote Amerikaanse organisaties in de retailsector, de bankensector en de Amerikaanse overheid, door sociale mediabedrijven, nieuws- en mediabedrijven, bedrijven die actief zijn op het vlak van Internet of Things (IoT) en leden van de Alliantie zelf.

De resultaten stemmen niet vrolijk. Slechts 44 procent voldoet aan de eisen: 80 procent van de maximaal te behalen punten, en in geen enkele categorie minder dan 55 procent van de te behalen punten. Het goede nieuws: in 2012 was dat nog 30 procent. Anderzijds: de Online Trust Alliance onderzocht alleen sites van grotere bedrijven. Te vrezen valt dat de situatie bij kleinere organisaties eerde slechter dan beter zal zijn.

Bijna de helft neemt onacceptabele risico's

Tegenover de 44 procent die aan de eisen van de Online Trust Alliance voldoet, staat 46 procent die in één of meer categorieën onder de 55 procent zakt. Daarmee nemen de uitbaters van die websites feitelijk onacceptabele risico's. Met name in de nieuwssector en in de IoT-branche overheerst een zeker lichtzinnigheid: 80 respectievelijk 76 procent van de websites schiet in ten minste één categorie tekort. Met name de lage score van IoT-bedrijven vindt de Online Trust Alliance zorgwekkend. Zo'n lage score voor een bedrijfstak die met uiterst gevoelige gegevens omgaat, zou aanleiding moeten zijn voor het uitvaardigen van richtlijnen en misschien zelfs overheidstoezicht op naleving daarvan, zegt de Online Trust Alliance.

Advies om 19 maatregelen te nemen

Het zo goed mogelijk beveiligen van een website is beslist geen onoverkomelijke taak. De Online Trust Alliance test websites op de volgende 19 'best practices' in drie categorieën:

Bescherming van het domein, het merk en de consument

  • Implementeer zowel Sender Policy Framework en DomainKeys Identified Mail voor topleveldomeinen, 'geparkeerde' domeinen die niet voor e-mail worden gebruikt en belangrijke subdomeinen die via de website zichtbaar zijn of worden gebruikt voor e-mail. Dat moet misbruik van e-mailadressen voor spam en andere malicieuze doeleinden voorkomen.
  • Implementeer Domain-based Message Authentication, Reporting and Conformance (DMARC) voor alle toepasselijke domeinen om de authenticiteit van e-mail te waarborgen.
  • Authenticeer ook binnenkomende mail met DMARC, om medewerkers en bedrijfsdata zo goed mogelijk te beschermen tegen 'spearfishing'.
  • Implementeer opportunistische TLS om het e-mailverkeer 'onderweg' te beschermen.
  • Leg het eigenaarschap van alle relevante domeinen voor onbepaalde tijd vast, om te voorkomen dat een domeinnaam die bij de organisatie hoort, zonder toestemming overgaat naar een andere partij en zo misbruikt kan worden.
  • Implementeer DNSSEC om de kwetsbaarheden in het Domain Name System - het internetadresboek - af te dekken.

Beveiliging van site, server en infrastructuur

  • Optimaliseer de implementatie van SSL met informatie uit tools zoals Qualys SSL Labs, en pak daarbij de zware onvoldoendes als eerste aan.
  • Gebruik Extendend Validation SSL voor sites die vaak opzettelijk nagebootst worden en voor sites waarbij het extra belangrijk is dat gebruikers kunnen zien dat ze een legitieme site bezoeken.
  • Gebruik Always On SSL en HTTPS op alle pagina's om door encryptie maximale gegevensbeveiliging en online privacy te garanderen.
  • Gebruik een web application firewall om HTTP-verkeer te monitoren en zo veel voorkomende aanvallen als cross site scripting en SQL-injectie te voorkomen.
  • Scan sites en materiaal van derden pro-actief op malicieuze links, in iFrames verstopte kwaadaardige opzetjes, malware en kwaadaardige advertenties.
  • Implementeer botdetectie en -afweermaatregelen om overrompelingstactieken, web scraping, kaping van accounts en degelijke te voorkomen.

Databescherming, privacy en transparantie

  • Publiceer het privacybeleid in begrijpelijke termen en op een goed vindbare plaats.
  • Maak van dat dat beleid een samenvatting die item-gewijs linkt naar de uitgeschreven voorwaarden, en specificeer in duidelijke taal of gegevens met derden worden gedeeld, en zo ja onder welke voorwaarden en met welke doeleinden.
  • Houd bij het publiceren van dit beleid rekening met verschillende doelgroepen en publiceer de voorwaarden als dat toepasselijk is, ook in andere talen.
  • Stel de klant op de hoogte van het beleid met betrekking tot vastlegging van gegevens en maak daarbij duidelijk of - en zo ja waarom en voor hoe lang - gegevens worden bewaard na afronding van een transactie.
  • Stel klanten zo mogelijk - en indien toegestaan - op de hoogte van het opvragen van hun gegevens door derden die daar juridisch het recht toe hebben.
  • Gebruik tagmanagementsystemen of privacy-oplossingen om trackingsystemen van derden kunnen beheren om te voorkomen dat die derden daarmee grenzen overschrijden.
  • Maak duidelijk of de site Do Not Track-instellingen respecteert.


Bron: www.automatiseringgids.nl