Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops

Click here to load reader

  • date post

    13-Feb-2017
  • Category

    Technology

  • view

    21
  • download

    0

Embed Size (px)

Transcript of Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops

  • Safeshops?Hoe bescherm ik mijn webshop tegen cybercrime?

    26 januari 2017Greet Dekocker ( greet@safeshops.be)

    Jan Guldentops ( j@ba.be )

  • Wie ben ik ?

    Jan Guldentops (1973) Dit jaar bouw ik 19 jaar server en netwerk

    infrastructuren Oprichter Better Access (1996) en BA (2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT

    beveiliging Ben toevalling terechtgekomen in de securitywereld

    Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)

    Plotseling ben je security expert R&D (vooral security)

  • Samengevat:

    COMMON SENSE AS A SERVICE

    (CAAS)

  • Wat is security ?

    l CIA ! l

  • Moeilijk evenwicht

    l

    l

    l

    Moeilijke (soms onmogelijke) balans tussen : veiligheid functionaliteit Gebruikersgemak Budget

  • Waarom aandacht besteden aan informatieveiligheid ?

    l

    l Eigenbelangl E-commerce draait

    om vertrouwenl Reputatieverlies l Inkomensverlies

    - Onbeschikbaarheid

  • Waarom aandacht besteden aan informatieveiligheid?

    l

    l Omdat het moet !l Nieuwe EU privacy

    webgeving : l Van kracht sinds mei

    2016 l Afdwingbaar in mei

    2018 ! (-> 1,5 jaar)l Wet met tanden !

    - Boeteclausules( 4% turnover tot 20.000.000)

    - Meldingsplicht binnen 72 uur!

  • Zijn de webshops er klaar voor?

    l We hebben een klein demografisch onderzoek gedaan. l 406 belangrijkste Belgische webshopsl Passief getest op het niveau van hun security

    - Geen actieve aanvallenl Kan niet zonder toestemming !

    l We noemen geen namen, enkel statistieken - Dit is geen schandpaal maar een wakeupcall

    l Sneak preview van de resultaten op basis van de ons inziens meest voorkomende problemen

  • 1. HTTPS / Encryptie

    l

    l Wat is https en SSL ?l Manier om communicatie tussen de gebruiker en de

    webserver volledig met versleuteling te beveiligen zodoende dat er niemand kan meeluisteren.

    l Uitermate belangrijk !l

    l

  • Caveats HTTPS

    l Gebruik zoveel mogelijk https ! l Eigenlijk liefst altijd ! l Enige http op je website = redirectie naar httpsl Je google score gaat omhoog gaan

    l Gebruik altijd officile certificaten van een betrouwbare Certificate Authority !

    l Bewaar deze certificaten veilig !

  • Hoe scoren de webshops ?

    Gebruik van HTTPS

    HTTPS (44.58%)

    Geen HTTPS (20.20%)

    Fout Certificaat (35.22%)

  • Hoe scoren de webshops ?

    Kwaliteit HTTPS-setup

    A+ (7.19%)

    A (48.62%)

    A- (7.73%)

    B (17.13%)

    C (7.18%)

    F (12.15%)

  • Zelf testen ?

  • 2. Phising

    l Makkelijkste manier om beveiliging te omzeilen l Twee types :

    l Trawler net phising - e.g. de mail die u als man krijgt van schares aan

    exotische schones(m/v)die gewoon weten dat u de m/v van hun leven bent

    l Spear phising - Beperkt, op uw maat gemaakt

    l Moeilijk om tegen te gaan maar : l Implementeer Sender Policy Frameworkl Zorg voor consequente communicatie (

    emailadressen, stijl, etc.)l Sensibiliseer / informeer uw klantenl

  • Hoe scoren de webshops ?

    Antiphising: SPF

    SPF (70.44%)

    Geen SPF-record (29.46%)

  • 3. Goed systeembeheer

    l Alle software heeft bugs!

    l Dus: er moeten structureel en snel updates gedaan worden!

    l Zwakste schakell Bv. Dirty Cow

  • Hoe scoren de webshops ?

    Software-updates: PHP

    PHP 7 (3.23%)

    PHP < 5.6 (69.75%)

    PHP 5.6 (27.02%)

  • 4. Gebrek aan continuiteit

    l Uw shop is belangrijk voor uw bedrijf ! l Zorg ervoor dat u hierrond degelijke afspraken

    hebt ! l Spreek SLAs af, ook rond veiligheid

    l Zorg ook dat je altijd zelf je data in handen hebt !

    l Opgepast voor Denial-of-Service aanvallen

  • Giet alles in afspraken !

    l Maak duidelijke afspraken met de leverancier rond : l Beschikbaarheidl RTO/RPO l Monitoring / Rapporteringl Veiligheidsniveau l Updates & ander goed systeembeheer

    l Security by design l Ontwikkelaar moet secure ontwikkelen !

    l Maak een plan : l Security is belangrijk vanaf dag n ! l Volg alles op volgens de structuren van PDCA !l Plan for the worst

  • PDCA

  • Thank YouContact us

    016/29.80.45

    016/29.80.46

    www.ba.be / Twitter: batweets

    Remy TorenVaartdijk 3/501B-3018 Wijgmaal

    info@ba.be

    Twitter: JanGuldentops

    http://be.linkedin.com/in/janguldentops/