Veilig online werken

web security

Hoeveel risico neem jij met je online veiligheid?

Door: Merel Wesseling, contentmarketeer en communicatiespecialist

Heb jij onlangs nog je wachtwoord via e-mail gedeeld? Een online betaling gedaan via een onbeveiligde verbinding? Een veiligheidsupdate van een plug-in of CMS niet doorgevoerd? Dan behoor jij misschien tot de groep Nederlanders die zich niet zo’n zorgen maakt over zijn internetveiligheid. Uit onderzoek van het CBS blijkt dat meer dan de helft van de Nederlanders zich in 2015 weleens zorgen heeft gemaakt over zijn online veiligheid. Het gevolg daarvan is dat men minder content online plaatst, voorzichtig is met het delen van persoonlijke informatie en weleens afziet van online aankopen.

Als je – een beetje kort door de bocht – het onderzoek van het CBS betrekt op website-eigenaren en -bouwers dan zou dus ook de meerderheid hiervan zich zorgen maken over de veiligheid van zijn website/webshop. Op basis daarvan zou ik ook verwachten dat men alle mogelijke maatregelen treft om zich online te beveiligen.

Toch klopt die verwachting niet. Bij Byte zien we dat veel websites gebruik maken van een verouderde CMS-versie. Ook zien we dat plug-ins vaak niet up-to-date zijn en dat zelfs kritieke security patches (die gebruikt worden voor grote veiligheidslekken) vaak niet geïnstalleerd worden. Blijkbaar zijn er dus nog altijd veel website-eigenaren die het niet belangrijk vinden dat hun website up-to-date en veilig is. Of vinden ze dat wel belangrijk maar kost het teveel tijd of geld en nemen ze liever het risico dat de site gehackt wordt? Of is het onwetendheid en denkt men ‘mijn site is toch niet interessant voor hackers’?

Het is een vraag die me al een tijdje bezig houdt. Het is namelijk niet alleen het up-to-date houden van websites wat tijd kost, maar er worden ook nog altijd onveilige werkwijzen toegepast. Denk aan het gebruiken van een onveilige verbindingen (openbaar wifi-netwerk) om aan de site te werken. Of aan een FTP-verbinding in plaats van een beveiligde SFTP -verbinding met SSL. Waarom lopen mensen liever risico dan geld en tijd te investeren in een veilige site? Een gehackte site kost immers ook een heleboel, zowel geld als imagoverlies.

De vraag waarom mensen niet bereid zijn te investeren in een veilige site kan psychologisch beantwoord worden aan de hand van de Prospect Theory. Deze theorie zegt dat mensen de voorkeur geven aan een groot hypothetisch verlies dan aan een klein, maar zeker verlies. Dus in het geval van een website-eigenaar zou je kunnen zeggen dat hij liever risico loopt op een gehackte site dan dat hij nu geld investeert om de kans hierop te verkleinen. Ook al is de investering vaak maar een fractie van de kosten van een gehackte site.

Zit er dan ook ergens een kantelpunt? Hoeveel risico zou je moeten lopen voordat je dat wilt uitsluiten? Zou men bijvoorbeeld wel willen investeren als het risico op een gehackte site meer dan 80% is? Dit hangt waarschijnlijk af van de mate waarin een persoon risico-avers is. Iemand die heel risico-avers is zal eerder bereid zijn om geld uit te geven voor zijn online-veiligheid dan iemand die graag risico’s neemt. Op dit moment lijkt de algemene tendens dat men liever risico neemt dan even wat tijd/geld te investeren om de kansen te verkleinen. En hoewel het niet realistisch is, ben ik toch wel benieuwd hoeveel mensen er bereid zijn om 1000 euro te betalen als ze dan 100% garantie hebben dat ze niet gehackt worden.

Speciaal voor de mensen die risico-avers zijn deel ik ook nog even mijn 3 basistips:

  • Gebruik geen FTP maar SFTP.
  • Geef alleen de bekende IP-adressen toegang tot de backend van je website.
  • Stuur nooit wachtwoorden via e-mail of andere online communicatiekanalen.

In de basistips al genoemd: gebruik geen FTP. Wil je weten waarom niet? Lees dan de whitepaper ‘Stop met FTP, kies voor SFTP’. Hierin wordt uitgelegd wat precies het verschil is tussen FTP, FTPS en SFTP en waarom je FTP verbinding niet meer veilig is. Nieuwsgierig? Je kunt de whitepaper gratis downloaden op byte.nl/SFTP. Wedden dat je na het lezen voorgoed je FTP-account aan de wilgen hangt.

Deel dit artikel of reageer