Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops
-
Upload
safeshopsbe -
Category
Technology
-
view
22 -
download
0
Transcript of Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops
Safeshops?Hoe bescherm ik mijn webshop tegen cybercrime?
26 januari 2017Greet Dekocker ( [email protected])
Jan Guldentops ( [email protected] )
Wie ben ik ?
Ø Jan Guldentops (°1973)Ø Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren Ø Oprichter Better Access (°1996) en BA (°2003)Ø Open Source Fundamentalist (na mijn uren)Ø Sterke praktische achtergrond op het vlak van ICT
beveiliging Ø Ben toevalling terechtgekomen in de securitywereld
Ø Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)
Ø Plotseling ben je security expertØ R&D (vooral security)
Moeilijk evenwicht
l
l
l
Ø
Ø Moeilijke (soms onmogelijke) balans tussen : Ø veiligheid Ø functionaliteit Ø GebruikersgemakØ BudgetØ
Waarom aandacht besteden aan informatieveiligheid ?
l
l Eigenbelangl E-commerce draait
om vertrouwenl Reputatieverlies l Inkomensverlies
- Onbeschikbaarheid
Waarom aandacht besteden aan informatieveiligheid?
l
l Omdat het moet !l Nieuwe EU privacy
webgeving : l Van kracht sinds mei
2016 l Afdwingbaar in mei
2018 ! (-> 1,5 jaar)l Wet met tanden !
- Boeteclausules( 4% turnover tot € 20.000.000)
- Meldingsplicht binnen 72 uur!
Zijn de webshops er klaar voor?
l We hebben een klein demografisch onderzoek gedaan. l 406 belangrijkste Belgische webshopsl Passief getest op het niveau van hun security
- Geen actieve aanvallenl Kan niet zonder toestemming !
l We noemen geen namen, enkel statistieken - Dit is geen schandpaal maar een wakeupcall
l Sneak preview van de resultaten op basis van de ons inziens meest voorkomende problemen
1. HTTPS / Encryptie
l
l Wat is https en SSL ?l Manier om communicatie tussen de gebruiker en de
webserver volledig met versleuteling te beveiligen zodoende dat er niemand kan meeluisteren.
l Uitermate belangrijk !l
l
Caveats HTTPS
l Gebruik zoveel mogelijk https ! l Eigenlijk liefst altijd ! l Enige http op je website = redirectie naar httpsl Je google score gaat omhoog gaan
l Gebruik altijd officiële certificaten van een betrouwbare Certificate Authority !
l Bewaar deze certificaten veilig !
Hoe scoren de webshops ?
Gebruik van HTTPS
HTTPS (44.58%)
Geen HTTPS (20.20%)
Fout Certificaat (35.22%)
Hoe scoren de webshops ?
Kwaliteit HTTPS-setup
A+ (7.19%)
A (48.62%)
A- (7.73%)
B (17.13%)
C (7.18%)
F (12.15%)
2. Phising
l Makkelijkste manier om beveiliging te omzeilen l Twee types :
l Trawler net phising - e.g. de mail die u als man krijgt van schares aan
exotische schones(m/v)die gewoon weten dat u de m/v van hun leven bent
l Spear phising - Beperkt, op uw maat gemaakt
l Moeilijk om tegen te gaan maar : l Implementeer Sender Policy Frameworkl Zorg voor consequente communicatie (
emailadressen, stijl, etc.)l Sensibiliseer / informeer uw klantenl
3. Goed systeembeheer
l Alle software heeft bugs!
l Dus: er moeten structureel en snel updates gedaan worden!
l Zwakste schakell Bv. Dirty Cow
4. Gebrek aan continuiteit
l Uw shop is belangrijk voor uw bedrijf ! l Zorg ervoor dat u hierrond degelijke afspraken
hebt ! l Spreek SLA’s af, ook rond veiligheid
l Zorg ook dat je altijd zelf je data in handen hebt !
l Opgepast voor Denial-of-Service aanvallen
Giet alles in afspraken !
l Maak duidelijke afspraken met de leverancier rond : l Beschikbaarheidl RTO/RPO l Monitoring / Rapporteringl Veiligheidsniveau l Updates & ander goed systeembeheer
l Security by design l Ontwikkelaar moet secure ontwikkelen !
l Maak een plan : l Security is belangrijk vanaf dag één ! l Volg alles op volgens de structuren van PDCA !l Plan for the worst
Thank YouContact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy TorenVaartdijk 3/501B-3018 Wijgmaal
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/