Merendeel Nederlandse websites gevoelig voor hack; ‘Bedrijven moeten zorgvuldiger met klantgegevens omgaan’

De meeste websites van Nederlandse mkb-bedrijven zijn niet veilig, meldden BDO Advisory en Perfect Day, cyber scale-up van Nationale-Nederlanden, deze week bekend. Meer dan de helft van de ruim 300.000 onderzochte websites vertoont kwetsbaarheden waardoor aanvallers zoals hackers en bots schadelijke acties kunnen uitvoeren. Denk hierbij aan het illegaal aanpassen van websites, toegang tot financiële stromen of het stelen van privé-data.

De grootschalige scan maakt deel uit van een onderzoek van BDO en Perfect Day naar de digitale veiligheid van het Nederlandse bedrijfsleven. “Ons cyberteam heeft op dit moment ruim 300.000 websites verdeeld over 17 branches onderworpen aan een scan”, vertelt Kees Plas, partner bij het BDO Technology adviesteam.

“We kijken naar 21 belangrijke veiligheidskenmerken waaraan een website zou moeten voldoen. Bijvoorbeeld of (klant)gegevens wel versleuteld worden verzonden. En of het voor criminelen makkelijk is om bezoekers naar een malafide website te leiden en zich daar online als het bedrijf in kwestie uit te geven. We zien ook grote verschillen per branche, met uitschieters op hoge kwetsbaarheden richting de 20% in de private sector, terwijl de beste branche, publieke sector, daar met 7% veel beter op scoort.”


Klanten de dupe
Dat zo’n groot deel van de bedrijven deze basis beveiligingselementen niet op orde heeft, geeft te denken. “Een website geeft vaak een goede indicatie van hoe serieus men met cybersecurity bezig is binnen een organisatie”, stelt Plas. “Daarnaast moeten bedrijven zich realiseren dat ze met onvoldoende beveiliging niet alleen zichzelf, maar ook werknemers, leveranciers en klanten in gevaar kunnen brengen”, vult Chris Montijn, cyberexpert van Perfect Day, aan.

“De website vormt immers vaak een centrale functie in het verbinden van deze partijen. Als het dataverkeer bijvoorbeeld niet goed versleuteld is, kunnen hackers inbreken in het bestelproces van een webshop of de afhandeling van een contactformulier. Op deze manier hebben ze niet alleen toegang tot de namen en adressen van klanten, maar kunnen ze ook bij betaalgegevens komen.”

Zelf regie houden

“Een onvoldoende beveiligde website komt maar zelden voort uit onverschilligheid”, vertelt Montijn. “Wat wij vaak zien, is dat bedrijven een pakket afnemen bij bijvoorbeeld een webshop- of hosting partij en er daarmee vanuit gaan dat alles geregeld is. Dit blijkt een gevaarlijke aanname. Zo checkten wij vorig jaar op de Webwinkel Vakdagen zo’n 80 sites van webshophouders waarvan een groot deel een professioneel webshop pakket afnam. Slechts één van hen voldeed aan de veiligheidseisen. Wij adviseren bedrijven om expliciet bij hun leverancier na te vragen welke beveiligingsmaatregelen zij treffen voor hun klanten. En laat eens op hoofdlijnen door een externe partij checken hoe het bedrijf er over het geheel genomen voor staat qua cybersecurity. Dat hoeft echt geen hele audit te zijn. Met een kleine tijdsinspanning en wat simpele aanpassingen is vaak al heel veel winst te behalen. Uiteindelijk is een ondernemer of bestuurder toch verantwoordelijk voor de veiligheid van het bedrijf. Daarbij zouden ze altijd zelf de regie moeten houden, ook als ze zaken uitbesteden.”

De interactieve resultaten zijn real-time te bekijken op deze website: https://webscan.tms.bdo.nl/