20 april 2016

Crime as a service: retailers vaker mikpunt criminaliteit

Veiligheid van gegevens speelt een rol voor ondernemers in alle branches. Vooral voor retailers, die steeds vaker mikpunt zijn van DDoS-aanvallen en malware. KPN organiseerde op vrijdag 15 april 2106 een rondetafelgesprek in het Security Operations Center in Hilversum. Diverse retailers gingen met elkaar in gesprek over wakkerliggers. Want hoe richt je je organisatie in met de juiste processen en passende technologie? En hoe zorg je dat je medewerkers zich beter bewust zijn van cybersecurity?

Retailers hebben te maken met externe en interne dreigingen. Suzanne Rijnbergen, Portfoliomanager Security Services bij KPN: ‘Bij externe dreigingen moet je denken aan criminelen, hacktivisten, script-kiddies die gewoon willen testen wat kan, of journalisten die naar bepaalde informatie zoeken. Intern praat je over (ex-)medewerkers, ingehuurd personeel, leveranciers en businesspartners. Iedereen die toegang heeft tot je bedrijfsgegevens kan bewust of onbewust data misbruiken of lekken. Met alle gevolgen van dien. Als gegevens op straat liggen, kan dat voor retailers bijvoorbeeld leiden tot reputatieschade. Mensen vertrouwen je merk niet meer en gaan liever naar de concurrent’.

Bewustzijn vergroten 

De meldplicht datalekken speelt een grote rol bij de keuzes die retailers maken als het gaat om ICT-toepassingen. Bedrijven die meer dan 250 medewerkers of 5.000 contactgegevens hebben, kunnen vanaf 2017 boetes van miljoenen euro’s tegemoet zien als ze niet op de juiste manier met data omgaan. Rijnbergen: ‘Zo zag ik onlangs bij een retailer een post-it met inloggegevens op een computer hangen. Toen ik ze op het gevaar wees, reageerden ze laconiek: ‘anders vergeten de medewerkers de login’. Ik vind dat zorgwekkend. Daarom geef ik altijd het advies om een cleandeskpolicy te handhaven. Zorg dat er niets te vinden is, dat voorkomt veel problemen.’

Ken je zwakke punten 

Om op de juiste manier met data om te gaan, zijn beheersmaatregelen zoals vertrouwelijkheid, integriteit en beschikbaarheid cruciaal. Retailers kunnen op diverse manieren testen waar de pijnpunten zitten. Rijnbergen: ‘Stel bijvoorbeeld een informatieveiligheidsbeleid op. Beleg verantwoordelijkheden zodat je niet op het moment dat het fout gaat moet bepalen wie wat doet. Voorkomen is beter dan genezen. Hou daarom bijvoorbeeld een interne phishingtest. Kijk eens wie er klikt op een valse e-mail, zodat je dit in de toekomst kan voorkomen. Ook het scannen van de ICT-infrastructuur en penetratietesten zijn belangrijk. Ken je zwakke plekken en dicht ze regelmatig.’

Blijf relevant en persoonlijk

Ook het managen van data speelt bij veel retailers. Wat mag wel en wat niet, wat staat een consument toe? Een van de retailers: ‘Consumenten geven veel persoonlijke details prijs op sociale media. Het tegenstrijdige is dat ze wel twijfelen als retailers om bepaalde gegevens vragen. Volgens mij komt dit om dat consumenten – in tegenstelling tot vroeger – niet weten waar data precies terechtkomen.’ Volgens een andere retailer willen consumenten wel data achterlaten, als je vervolgens maar relevante aanbiedingen doet. Dat geldt ook voor iBeacons in winkels, als je persoonlijke aanbiedingen doet op basis van winkelgedrag, is er weinig weerstand.

Security by design

Diverse retailers hebben last van fakewebsites, zo bleek uit het rondetafelgesprek. Een retailer aan tafel: ‘Het verschil met onze site is nauwelijks zichtbaar. Er ontbreekt alleen een letter in het webadres, dat noemen we ook wel typosquatting. Maar criminelen bouwen ook een complete website na. Wij krijgen wekelijks klanten in de winkel die vragen waar hun bestelde goederen blijven. Daarom communiceren we proactief over dubieuze sites. Het is supervervelend voor de klant, maar voor ons is het een gemiste verkoop.’ Een keurmerk is volgens diverse aanwezigen wellicht een oplossing om fraude tegen te gaan. Idealiter komt zo’n keurmerk voort uit een samenwerking tussen de overheid, retailers en bijvoorbeeld Thuiswinkel.org. Ook de eID, een elektronische identiteitskaart, kan oplossing bieden.

Meer over cybersecurity

KPN Security Services biedt een brede dienstverlening rondom cybersecurity en continuity. Meer lezen over cybersecurity? Lees dan verder op kpn.com.

Gerelateerde artikelen