DDoS-aanval voorkomen op mijn webwinkel

Detailhandel • BedrijfsschadeEerste versie: 29 januari 2019

Webwinkels steeds vaker de klos

Het aantal DDoS-aanvallen op Nederlandse bedrijven nam het afgelopen jaar flink toe. Ook webwinkels zijn steeds vaker de klos. Wat is een DDoS-aanval, wat zijn de gevolgen en hoe kunt u zich hiertegen beschermen als webwinkelier?

  • In 2021 werden er in totaal 2796 DDos-aanvallen geteld, terwijl dit er in 2020 nog 1610 waren. Dit is een toename van 74%.
  • In 2021 duurde 10% van de DDos-aanvallen langer dan een uur. De jaren ervoor was dat een hoger percentage. Dat hoeft overigens niet te betekenen dat er minder schade ontstond, want ook de complexiteit van de aanval speelt daarin mee. Waar in 2020 15% van de aanvallen een omvang van 10 Gbps hadden, groeide dit aandeel in 2021 naar 21%.

DDoS-aanvallen nemen niet alleen in volume toe, maar ook in kracht, beaamt Ruben van Vreeland, ethisch hacker sinds zijn dertiende en oprichter en mede-eigenaar van BitSensor. ‘We zijn er nog lang niet vanaf.’

DDoS aanval: wat is het?

Wat is nu precies een Distributed Denial of Service (DDoS) aanval? Dat zijn heel veel computers die tegelijk een website aanvallen. De aanvaller hackt verschillende machines en gebruikt de computercapaciteit van deze apparaten om grote hoeveelheden dataverkeer op een website af te sturen. De website raakt dan overbelast.

Ruben: ‘Een hacker maakt daarbij niet alleen gebruik van laptops of pc’s, maar ook steeds vaker van Internet of Things (IoT)-apparaten. Denk bijvoorbeeld aan een camera of babyfoon die verbonden is met het internet.’ 

Ook zijn het niet alleen meer computernerds die DDoS-aanvallen initiëren, benadrukt Ruben. ‘DDoS-aanvallen zijn tegenwoordig gewoon op internet te koop. Zo kan iedere ontevreden klant of concurrent een DDoS-aanval kopen bij een organisatie die de aanval voor hem of haar uitvoert.’ 

DDoS-aanval: wat zijn de gevolgen?

  • Omzetverlies: als uw website onder vuur komt te liggen van een DDoS-aanval, is deze vaak 24 uur tot soms meerdere dagen uit de lucht. Hierdoor loopt u omzet mis. Dit kan zelfs het verschil betekenen tussen een winst- of verliesjaar. Ruben: ‘En vergeet niet dat een ‘downtime’ ook een negatief effect heeft op de ranking van een website door Google. Hierdoor wordt de vindbaarheid van de website minder goed en loopt een webwinkel klanten mis in de toekomst.’
  • Afpersing: veel internetcriminelen gebruiken een DDoS-aanval om u als webwinkelier af te persen. Het gebruik van blockchain-technologie voor het betalen met bitcoins maakt afpersing nog minder risicovol voor internetcriminelen. Met deze technologie kunnen mensen anoniem betalen, maar dus ook anoniem afpersen.
  • Weglopende klanten: een DDoS-aanval zorgt niet alleen voor omzetverlies tijdens een ‘downtime’, maar kan er ook voor zorgen dat u klanten misloopt of verliest. Ruben: ‘Als een website niet bereikbaar is voor klanten dan gaan zij gewoon naar de concurrent. Bovendien blijven ze daar dan vaak omdat zij geen vertrouwen meer hebben in een bedrijf waarvan de website niet bereikbaar is.’
  • Diefstal van persoonlijke gegevens: een DDoS-aanval kan ook een afleiding zijn om een andere cyberaanval te maskeren. Terwijl u druk bent met het afweren van een DDoS-aanval merkt u niet dat uw computer gehackt wordt. Hierdoor kunnen persoonlijke gegevens op straat komen te liggen. Ruben: ‘Als persoonlijke gegevens op straat komen te liggen, schaadt dit de reputatie van het bedrijf. Bovendien lopen klanten het risico dat hun persoonlijke gegevens worden gebruikt voor identiteitsfraude of dat er misbruik wordt gemaakt van hun wachtwoorden.’ 
    Als persoonlijke gegevens van uw klanten of personeel op straat belanden door een datalek dient u dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als u dit niet doet riskeert u een fikse boete.
  • Schadekosten: bij kosten van schadeherstel na een DDoS-aanval moet u denken aan: juridische kosten, kosten van crisismanagement (uw website weer op orde krijgen, nieuwe wachtwoorden aanmaken, etc.) en reputatieschade. De hoogte van deze kosten hangt van de omvang van uw bedrijf. Ruben: ‘Toen eBay in 2014 werd getroffen door een DDoS-aanval kostte hun dat ongeveer 1 euro omzet per klant in hun laatste kwartaal. Als een mkb-bedrijf met een soortgelijke DDoS-aanval te maken krijgt, verwacht ik dat de kosten vergelijkbaar zijn.'

*Bron: Netscout Arbor

Schade voorkomen en beperken: 4 tips

  1. Zorg dat uw webhoster (of SAAS-partij) is aangesloten bij de Nationale anti-DDoS Wasstraat (NaWas) van de NBIP. Deze organisatie helpt Nederlandse webhosters om DDoS aanvallen te voorkomen. Voor een webhoster die is aangesloten bij de DDoS Wasstraat betaalt u vaak wel wat meer. U moet dan denken aan honderd tot tweehonderd euro per maand. 
  2. Maak gebruik van een Global Content Delivery Network (CDN): Een CDN verspreidt uw website over honderden servers (computers) en voorkomt daarmee een DDoS aanval. Dit kost enkele tientallen euro’s per maand.
  3. Geef nooit toe als uw aanvaller om geld vraagt. Als u eenmaal een keer toegeeft, zal de aanvaller het daarna blijven proberen.
  4. Kies voor een cyberverzekering. Een cyberverzekering biedt een pakket aan maatregelen waarmee u zich beschermt tegen alle vormen van cybercriminaliteit, waaronder een DDoS-aanval. Ook bent u verzekerd tegen financiële schade, mocht u slachtoffer worden van cybercrime.

Over de auteur

Ruben van Vreeland begon als ethisch hacker toen hij 13 jaar oud was. Hij hackte onder andere Marktplaats en LinkedIn en adviseerde deze bedrijven over een betere beveiliging van hun applicaties.

In 2015 richtte Ruben BitSensor op: een adviesbureau dat Nederlandse bedrijven helpt om hun applicaties veiliger te maken.

Dit artikel kwam verder tot stand met hulp van WebwinkelKeur en de Webwinkelcommunity.
ruben van vreeland3

Oplossingen voor cybercrime

Cyberrisk

Ons Cyberrisk-product helpt u met het voorkomen en beperken van cybercrime. Krijgt u er toch mee te maken, dan helpen wij u met het herstel. Als dit niet mogelijk is, ontvangt u een financiële vergoeding.

Lees meer over Cyberrisk

Cybercrime melden

Autoriteit Persoonsgegevens3Meld een ernstig datalek altijd binnen 72 uur bij de Autoriteit Persoonsgegevens. Doet u dit niet, dan riskeert u een fikse boete in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Andere vormen van cybercrime kunt u melden via 0900-8844 of op een politiebureau.

Ook interessant voor u

Meer artikelen

Op zoek naar een cyberverzekering voor uw webwinkel?

Vul uw postcode in en vind een adviseur die het beste bij uw bedrijf past.
Vind een adviseur

Vind een adviseur

Google maps: kaartgegevens © 2023