Den Haag,
Bijna de helft van alle Nederlandse bedrijfswebsites zijn door kwetsbaarheden in software, in configuraties en in webservices gevoelig voor aanvallen van cybercriminelen. Gevolg is vaak gegevensdiefstal of afpersing middels ransomware. “Ondernemers zijn onvoldoende op de hoogte van de risico’s”, zegt cybersecurity-specialist Hans Kortekaas van het Haagse bedrijf ID Control op basis van drie onderzoeken naar respectievelijk webshops, overheidswebsites en bedrijfswebsites.
Kwetsbaarheidsmanagement geen prioriteit
“Kwetsbaarheden zijn vaak makkelijk te verhelpen”, zegt de cybersecurity-specialist. “Het is zaak gevoeligheden tijdig te ontdekken en de risico’s te mitigeren. Te vaak worden websites en infrastructuren opgezet en als veilig beschouwd. Kwetsbaarheidsmanagement en veiligheid zijn na oplevering vaak niet langer prioriteit voor de organisatie. De veiligheid komt vaak pas weer in beeld nadat cybercriminelen hun slag hebben geslagen.
Overheid
In Nederland zijn, volgens de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG), ook veel overheidsinstanties kwetsbaar. Vaak wordt de inrichting van web- en infrastructuur uitbesteed. Opdrachtgevers gaan er dan van uit dat beveiliging en risicomanagement goed zijn geregeld. “Dat is niet altijd het geval”, weet Kortekaas. “Gevoelige gegevens van burgers staan als het ware achter een open deur.” Gebrekkige beveiliging is overigens niet een typisch Nederlands probleem. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) ziet een toename in het aantal kwetsbaarheden waar niets aan wordt gedaan. Het Duitse onderzoek richt zich met name op webshops.
Webshops
Daar worden veel kwetsbaarheden geconstateerd. Vaak zitten die in de ondersteunende systemen. Tijdens inventarisaties zijn maar liefst 78 veelvoorkomende kwetsbaarheden geconstateerd. Die kwetsbaarheden kunnen variëren van een gebrekkig wachtwoordbeleid tot verouderde software. In meer dan de helft van de gevallen is geconstateerd dat de eigenaren echter weinig of geen prioriteit geven aan het opzoeken en verhelpen van de kwetsbaarheden. Risico’s op inbreuken en datalekken blijven daardoor uit het zicht van de organisaties. “Gevaarlijk want de aanvallen op de webomgevingen van organisaties, vaak digitale infrastructuur met daarin gevoelige gegevens, worden steeds geavanceerder”, zegt Kortekaas. Toch hoeft het beveiligen niet heel gecompliceerd te zijn, weet hij ook. Het gaat er vooral om de risico’s altijd in beeld te hebben. “Het regelmatig uitvoeren van kwetsbaarheidsscans, het testen van de weerbaarheid en het continu versterken van de digitale voordeur zijn belangrijk. Met een kwetsbaarheidsscan kunnen organisaties, maar ook hun leveranciers, zien waar risico’s zich voordoen en dus adequate maatregelen nemen.”
Kwetsbaarheidsbeheer
Een effectief raamwerk voor kwetsbaarheidsbeheer moet volgens Kortekaas prioriteit worden: “Organisaties beschermen hierdoor niet alleen zichzelf, maar ook de consument en haar vertrouwelijke data.” ID Control biedt, onder de naam VulnControl, een gereedschap dat binnen enkele uren een automatische scan kan uitvoeren. Het is volgens Kortekaas belangrijk zo’n scan met enige regelmaat te doen. “Snelheid is van belang omdat beveiligen een kwestie is van kwetsbaarheden ontdekken voordat de cybercriminelen dat doen. VulnControl is een dienst van ID Control en haar landelijk dekkend netwerk van cybersecurity partners.
