De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).
Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.
64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.
Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.
Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?
In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.
Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.
Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.