Graag bieden wij u een website die voor u zo goed mogelijk werkt. Daarom gebruiken we cookies, onder andere om uw bezoek aan onze website te analyseren, de getoonde informatie aan te passen aan uw voorkeuren, informatie van social media te tonen en onze advertenties af te stemmen op uw voorkeuren. Cookies worden soms ook geplaatst door derden; zo plaatst YouTube cookies als u via onze site een filmpje bekijkt. Meer informatie vindt u in ons cookiebeleid.
DDoS-aanval voorkomen op mijn webwinkel
Webwinkels steeds vaker de klos
Het aantal DDoS-aanvallen op Nederlandse bedrijven nam het afgelopen jaar flink toe. Ook webwinkels zijn steeds vaker de klos. Wat is een DDoS-aanval, wat zijn de gevolgen en hoe kunt u zich hiertegen beschermen als webwinkelier?
- Rond de feestdagen meldde de Nationale Beheersorganisatie Internet Providers (NBIP) meer dan 2500 aanvallen, terwijl dit er doorgaans niet meer zijn dan een handvol per maand.
- Het totaalaantal DDoS-aanvallen op Nederlandse bedrijven nam in 2018 met 15% toe. Wereldwijd steeg E-commerce van de 8e naar de 7e plek in de top 10 van sectoren die het meest getroffen worden door DDoS-aanvallen*.
DDoS-aanvallen nemen niet alleen in volume toe, maar ook in kracht, beaamt Ruben van Vreeland, ethisch hacker sinds zijn dertiende en oprichter en mede-eigenaar van BitSensor. ‘We zijn er nog lang niet vanaf.’
DDoS aanval: wat is het?
Wat is nu precies een Distributed Denial of Service (DDoS) aanval? Dat zijn heel veel computers die tegelijk een website aanvallen. De aanvaller hackt verschillende machines en gebruikt de computercapaciteit van deze apparaten om grote hoeveelheden dataverkeer op een website af te sturen. De website raakt dan overbelast.
Ruben: ‘Een hacker maakt daarbij niet alleen gebruik van laptops of pc’s, maar ook steeds vaker van Internet of Things (IoT)-apparaten. Denk bijvoorbeeld aan een camera of babyfoon die verbonden is met het internet.’
Ook zijn het niet alleen meer computernerds die DDoS-aanvallen initiëren, benadrukt Ruben. ‘DDoS-aanvallen zijn tegenwoordig gewoon op internet te koop. Zo kan iedere ontevreden klant of concurrent een DDoS-aanval kopen bij een organisatie die de aanval voor hem of haar uitvoert.’
Ruben: ‘Een hacker maakt daarbij niet alleen gebruik van laptops of pc’s, maar ook steeds vaker van Internet of Things (IoT)-apparaten. Denk bijvoorbeeld aan een camera of babyfoon die verbonden is met het internet.’
Ook zijn het niet alleen meer computernerds die DDoS-aanvallen initiëren, benadrukt Ruben. ‘DDoS-aanvallen zijn tegenwoordig gewoon op internet te koop. Zo kan iedere ontevreden klant of concurrent een DDoS-aanval kopen bij een organisatie die de aanval voor hem of haar uitvoert.’
DDoS-aanval: wat zijn de gevolgen?
- Omzetverlies: als uw website onder vuur komt te liggen van een DDoS-aanval, is deze vaak 24 uur tot soms meerdere dagen uit de lucht. Hierdoor loopt u omzet mis. Dit kan zelfs het verschil betekenen tussen een winst- of verliesjaar. Ruben: ‘En vergeet niet dat een ‘downtime’ ook een negatief effect heeft op de ranking van een website door Google. Hierdoor wordt de vindbaarheid van de website minder goed en loopt een webwinkel klanten mis in de toekomst.’
- Afpersing: veel internetcriminelen gebruiken een DDoS-aanval om u als webwinkelier af te persen. Het gebruik van blockchain-technologie voor het betalen met bitcoins maakt afpersing nog minder risicovol voor internetcriminelen. Met deze technologie kunnen mensen anoniem betalen, maar dus ook anoniem afpersen.
- Weglopende klanten: een DDoS-aanval zorgt niet alleen voor omzetverlies tijdens een ‘downtime’, maar kan er ook voor zorgen dat u klanten misloopt of verliest. Ruben: ‘Als een website niet bereikbaar is voor klanten dan gaan zij gewoon naar de concurrent. Bovendien blijven ze daar dan vaak omdat zij geen vertrouwen meer hebben in een bedrijf waarvan de website niet bereikbaar is.’
- Diefstal van persoonlijke gegevens: een DDoS-aanval kan ook een afleiding zijn om een andere cyberaanval te maskeren. Terwijl u druk bent met het afweren van een DDoS-aanval merkt u niet dat uw computer gehackt wordt. Hierdoor kunnen persoonlijke gegevens op straat komen te liggen. Ruben: ‘Als persoonlijke gegevens op straat komen te liggen, schaadt dit de reputatie van het bedrijf. Bovendien lopen klanten het risico dat hun persoonlijke gegevens worden gebruikt voor identiteitsfraude of dat er misbruik wordt gemaakt van hun wachtwoorden.’
Als persoonlijke gegevens van uw klanten of personeel op straat belanden door een datalek dient u dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als u dit niet doet riskeert u een fikse boete.
- Schadekosten: bij kosten van schadeherstel na een DDoS-aanval moet u denken aan: juridische kosten, kosten van crisismanagement (uw website weer op orde krijgen, nieuwe wachtwoorden aanmaken, etc.) en reputatieschade. De hoogte van deze kosten hangt van de omvang van uw bedrijf. Ruben: ‘Toen eBay in 2014 werd getroffen door een DDoS-aanval kostte hun dat ongeveer 1 euro omzet per klant in hun laatste kwartaal. Als een mkb-bedrijf met een soortgelijke DDoS-aanval te maken krijgt, verwacht ik dat de kosten vergelijkbaar zijn.'
*Bron: Netscout Arbor
Schade voorkomen en beperken: 4 tips
- Zorg dat uw webhoster (of SAAS-partij) is aangesloten bij de Nationale anti-DDoS Wasstraat (NaWas) van de NBIP. Deze organisatie helpt Nederlandse webhosters om DDoS aanvallen te voorkomen. Voor een webhoster die is aangesloten bij de DDoS Wasstraat betaalt u vaak wel wat meer. U moet dan denken aan honderd tot tweehonderd euro per maand.
- Maak gebruik van een Global Content Delivery Network (CDN): Een CDN verspreidt uw website over honderden servers (computers) en voorkomt daarmee een DDoS aanval. Dit kost enkele tientallen euro’s per maand.
- Geef nooit toe als uw aanvaller om geld vraagt. Als u eenmaal een keer toegeeft, zal de aanvaller het daarna blijven proberen.
- Kies voor een cyberverzekering. Een cyberverzekering biedt een pakket aan maatregelen waarmee u zich beschermt tegen alle vormen van cybercriminaliteit, waaronder een DDoS-aanval. Ook bent u verzekerd tegen financiële schade, mocht u slachtoffer worden van cybercrime.
Over de auteur
Ruben van Vreeland begon als ethisch hacker toen hij 13 jaar oud was. Hij hackte onder andere Marktplaats en LinkedIn en adviseerde deze bedrijven over een betere beveiliging van hun applicaties.
In 2015 richtte Ruben BitSensor op: een adviesbureau dat Nederlandse bedrijven helpt om hun applicaties veiliger te maken.
Dit artikel kwam verder tot stand met hulp van WebwinkelKeur en de Webwinkelcommunity.
In 2015 richtte Ruben BitSensor op: een adviesbureau dat Nederlandse bedrijven helpt om hun applicaties veiliger te maken.
Dit artikel kwam verder tot stand met hulp van WebwinkelKeur en de Webwinkelcommunity.
Oplossingen voor cybercrime
Cyberrisk
Ons Cyberrisk-product helpt u met het voorkomen en beperken van cybercrime. Krijgt u er toch mee te maken, dan helpen wij u met het herstel. Als dit niet mogelijk is, ontvangt u een financiële vergoeding.
Cybercrime melden
Meld een ernstig datalek altijd binnen 72 uur bij de Autoriteit Persoonsgegevens. Doet u dit niet, dan riskeert u een fikse boete in het kader van de Algemene Verordening Gegevensbescherming (AVG).
Andere vormen van cybercrime kunt u melden via 0900-8844 of op een politiebureau.