Databanken en computersystemen van bedrijven zijn steeds vaker doelwit van hackers. Hoe beperk je het risico op een hack? En ben je als bedrijf aansprakelijk voor geleden schade door klanten?
Computerlekken zijn aan de orde van de dag. Dinsdag werd bekend dat de adresgegevens van mogelijk 200 duizend klanten van Philips buit zijn gemaakt. Een dag eerder meldde IT-journalist Brenno de Winter dat de privégegevens van ruim 100 duizend Bavariaklanten op straat liggen, na een hack bij marketingbureau Creation Point.
Ook vorige week was het raak, toen KPN bekendmaakte dat een onbekende een tijdlang mee kon kijken in hun systemen.
Voor bedrijven is het belangrijker dan ooit om computersystemen voldoende te beveiligen. Waar kan een veiligheidslek zich voordoen? En wie is aansprakelijk?
Fouten in de software
Fouten in de programmeercode van de website kunnen de deur voor hackers op een kier zetten. Hierbij kunnen klantgegevens buit worden gemaakt. Dat kan bijvoorbeeld via zogenoemde SQL-injectie waarbij onbevoegden toegang tot de databank krijgen.
Zorg dus altijd dat de software op de webserver is bijgewerkt tot de laatste versie. In het geval van het beveiligingslek bij Philips bleek bijvoorbeeld dat er op de bewuste webserver een versie van database-software MySQL draaide die in 2006 voor het laatst was bijgewerkt.
Het zwakke punt kan ook zitten in zogenoemde 'plug-ins' die zijn geïnstalleerd. Deze zijn vaak gratis en geschreven door eenlingen. Doordat de software niet uitvoerig getest is door een team van programmeurs, vormen plug-ins soms een groter risico voor de veiligheid.
Onbeveiligde mappen
Bedrijven huren doorgaans serverruimte bij een hostingbedrijf. Daarbij gaat het meestal om drie type servers. Bij zogenoemde gedeelde hosting maken meerdere websites gebruik van dezelfde server. Juist hierdoor is de veiligheid een zwakke schakel.
Bij een dedicated server heeft de klant de complete server voor zichzelf. De klant huurt de hardware inclusief het besturingssysteem en bandbreedte. Vervolgens is er nog virtual hosting. Dat houdt in dat de klant de server deelt met anderen, maar de server wel zelf kan inrichten.
Het zwakke punt bij deze laatste twee opties ligt bij het beheer. Omdat het bedrijf zelf software kan kiezen die op een server draait, is onduidelijk wie verantwoordelijk is voor het onderhoud.
Onbeveiligde bestanden en mappen op servers zijn vaak de oorzaak van een lek. Kwetsbaar is bijvoorbeeld de map waarin de bestanden staan die bezoekers uploaden.
Het is zaak deze bestanden en mappen goed af te schermen. Ook de loginpagina van de sitebeheerder is vaak toegankelijk. Als de standaard gebruikersnaam en het wachtwoord niet zijn gewijzigd, heeft een hacker zo toegang tot een systeem.
Bereikbaar blijven
Een bedrijf kan ook getroffen worden door een aanval die niet op de website zelf is gericht. De hack van het bedrijf DigiNotar is daarvan een voorbeeld. De veiligheidscertificaten die het bedrijf uitgaf voor websites, bleken niet waterdicht.
Ook kan het hostingbedrijf van een website slachtoffer zijn. Berucht is de zogenoemde Distributed Denial of Service-aanval (DDoS-aanval). Daardoor kunnen websites niet meer bereikbaar zijn. Het maken van backups helpt hier niet tegen.
Als bedrijf is het verstandig om backups bij meer dan één host te hebben staan en bijvoorbeeld een kopie van de site, een mirror-site, bij een andere hostingprovider onder te brengen. In dat geval is de website via een andere route toch weer bereikbaar.
Aansprakelijkheid
Het inbreken in een computersysteem, in juridische termen computervredebruik, is strafbaar volgens het wetboek van Strafrecht. In de algemene voorwaarden van het merendeel van de webwinkels en softwareleveranciers is een clausule opgenomen, waarin staat dat het bedrijf niet aansprakelijk is bij computervredebreuk.
Bedrijven hebben echter wel een beveiligingsplicht volgens de Wet bescherming persoonsgegevens. "Bedrijven die persoonsgegevens verwerken, dienen maatregelen te nemen (technisch en organisatorisch) om te voorkomen dat mensen hier ongeautoriseerde toegang toe krijgen", schrijft ICT-jurist Arnoud Engelfriet.
Dat houdt in dat gegevens in veel gevallen beveiligd moeten zijn door wachtwoorden of encryptie toe te passen op een database. Bij het verzenden van gegevens zoals bij het invullen van formulieren wordt een beveiligde internetverbinding aangeraden.
Passende maatregelen
De webwinkel of getroffenen moet aan kunnen tonen dat “passende technische en organisatorische maatregelen” zijn genomen om de persoonsgegevens te beveiligen. Heeft het bedrijf nagelaten dit te doen, dan kan het wel degelijk aansprakelijk worden gesteld.
In het geval van KPN heeft het bedrijf een schademeldpunt geopend. Klanten die “direct financieel nadeel hebben ondervonden” door het onbereikbaar zijn van de e-maildienst van KPN kunnen een claim indienen.
Telecomwaakhond OPTA gaat onderzoeken of KPN nalatig is geweest in het omgaan met gegevens van klanten. KPN kan een boete krijgen als dit wordt vastgesteld.
