Hoe veilig is mijn website?
Grootschalige studie bij meer dan 15.000 Belgische websites door advieskantoor BDO
- Websites van bedrijven en overheden zijn niet veiliger geworden het voorbije jaar
- Drie keer meer websites eenvoudig om te leiden naar valse webpagina’s
- 1 op de 3 websites gebruiken nog altijd verouderde technologie
- VBO roept bedrijven op om cyberplan uit te werken om schade bij incidenten te beperken
1 op de 6 bedrijfs- en overheidswebsites in België is nog altijd bijzonder kwetsbaar voor cyberaanvallen. Dat blijkt uit een omvangrijke analyse van 15.000 bedrijfswebsites door advieskantoor BDO. Hoewel de resultaten iets beter zijn dan in 2021, is er geen reden tot euforie. BDO’s studie toont aan dat onze bedrijven en overheden het voorbije jaar ter plaatse zijn blijven trappelen op het vlak van beveiliging, terwijl cybercriminaliteit professioneler wordt en cyberaanvallen alleen maar toenemen. Het Verbond van Belgische Ondernemingen (VBO) erkent de problematiek en roept ondernemingen op een actieplan uit te werken om schade van cyberincidenten te beperken.
Het leger dat geen e-mails meer kan versturen, het internetverkeer van de hogescholen en universiteiten dat plat gaat, hackers die aan de haal gaan met gegevens van het Rode Kruis. Het zijn slechts enkele recente voorbeelden die de ernst van cyberaanvallen in ons land aantonen. Toch lijken Belgische bedrijven niet echt wakker te liggen van hun beveiliging als we kijken naar hoe ze de beveiliging van hun websites aanpakken. De studie van BDO geeft aan dat de meeste sectoren geen betere beveiligingspapieren kunnen voorleggen dan een jaar geleden.
“We vinden het beangstigend vast te stellen dat er geen positieve evolutie is van de veiligheid van de bedrijfs- en overheidswebsites in ons land. In veiligheidstermen is stilstaan hetzelfde als achteruitgaan. De frequentie van cyberaanvallen neemt toe en hackers misbruiken kwetsbaarheden in software sneller dan ooit. Als je dan weet dat de bedrijfswebsite de spiegel is van hoe een onderneming omgaat met security, zijn slecht beveiligde websites een uitnodiging voor hackers.” Francis Oostvogels, senior manager cybersecurity bij BDO
Drie keer meer websites eenvoudig om te leiden naar valse webpagina’s
De studie van BDO maakt pijnlijk duidelijk waar het schoentje wringt bij de beveiliging van onze bedrijven en overheden. Bijna drie keer zoveel domeinnamen hebben een slecht geconfigureerde beveiliging van de domeinnaam ten opzichte van een jaar eerder: 2 op de 3 domeinnamen tegenover ‘slechts’ 1 op de 4 in 2021. Daarnaast lekt 1 op de 3 bedrijfswebsites gevoelige informatie door verouderde technologieën zoals TLS- FTP-protocollen te gebruiken. 1 op de 6 bedrijfswebsites in België heeft zelfs geen veilige HTTPS-verbinding.
“Wie vandaag nog TLS- en FTP-protocollen gebruikt op z’n website, zet eigenlijk gewoon de achterdeur van z’n huis open. Wie geen veilige HTTPS-verbinding garandeert, laat hackers meelezen wat je op een website achterlaat: van je GSM-nummer tot je wachtwoord. En wie zijn domeinnaam niet beveiligt, laat hackers toe om websitebezoekers om te leiden naar valse websites die mensen informatie of geld afhandig maken. Hackers gebruiken alle informatie die ze kunnen vinden en verbeteren zo hun manier van werken, terwijl de technologie van veel bedrijven status quo blijft. Wie zijn systemen dus niet verbetert, is een vogel voor de kat.” Nick Huysmans, manager cybersecurity bij BDO
VBO roept op technologie, processen en personeel te updaten
De boodschap van de studie van BDO is duidelijk: net zoals hackers ingenieuzer te werk gaan en hun tactieken veranderen om slachtoffers te blijven misleiden, moeten bedrijven alerter worden en hun mentaliteit wijzigingen. Investeren in technologieën, medewerkers bijscholen en processen uitwerken voor het geval ze toch slachtoffer worden van een cyberaanval. Het Verbond van Belgische Ondernemingen wil cybersecurity hoger op de agenda zetten bij onze bedrijven. De organisatie merkt daarbij op dat niet alleen de grote bedrijven slachtoffer kunnen worden.
“Te veel kleine en middelgrote ondernemingen investeren traag in hun IT-beveiliging en zijn zeer kwetsbaar voor cyberaanvallen. In deze bedrijven wordt slechts ongeveer een kwart beschermd door een professional, IT-specialist of externe dienstverlener. Bijna 3 op 4 kmo's vertrouwt IT-beveiliging toe aan hun manager of... aan niemand. Maar al te vaak beschouwen bedrijven IT-beveiliging nog als secundair, gezien hun beperkte middelen. Alle ondernemingen, ongeacht de grootte, moeten cyberdreigingen in kaart brengen. Op basis daarvan dienen ze de nodige beveiligingsmaatregelen te treffen om cyberincidenten te voorkomen of sneller op te sporen. Elk bedrijf zou een actieplan of procedure moeten hebben voor het geval zich een incident voordoet.” Nathalie Ragheno, Bestuurder Cyber van VBO
Over de studie
BDO heeft voor het tweede jaar op rij een grootschalige webscan uitgevoerd om de digitale veiligheid van het Belgische bedrijfsleven en de publieke sector in kaart te brengen. Op basis van onder andere het aantal medewerkers en de omzet van de voorbije jaren selecteerde BDO 15.000 websites verspreid over het hele land en over alle sectoren heen. Die websites werden gescreend aan de hand van 21 automatische, niet-intrusieve testen onderverdeeld in 4 categorieën (connectie, configuratie, management en security). De eerste categorie focuste zich op de veiligheid van de gebruiker die naar de website surft. De tweede categorie ging na in welke mate de website gevoelige, technische informatie prijsgeeft die hackers kunnen helpen om een website of organisatie binnen te dringen. De derde categorie testte of er bepaalde poorten naar de management interface van de website open staan en de laatste categorie richtte zich op een aantal beveiligingsinstellingen zoals onder andere hoe de mailserver van de organisatie omgaat met e-mail spoofing, het imiteren van e-mail zodat het lijkt dat die van de organisatie komt. Alle resultaten zijn gratis beschikbaar op de interactieve website en te vergelijken met de resultaten uit 2021.
Webscan site
Wil je graag de resultaten van je eigen website kennen?
Neem contact op met onze collega’s Francis Oostvogels, Thomas Cornelis of Nick Huysmans. Zij helpen je graag verder met je resultaten en welke stappen te ondernemen om jouw cyber security naar een hoger niveau te brengen.
Hoe veilig is mijn website?