Dit voorjaar vroeg PerimeterX aan 500 zakelijke website eigenaren of ze wel de code en scripts (laten) controleren. Bij een op de drie is er sprake van tooling om dit geautomatiseerd te controleren, bij de rest is er geen serieuze controle. Zal dat in Nederland veel anders zijn?
Iedereen heeft een website
De
persmelding dient een commercieel belang, dat is het bedrijf bekender te maken. Maar ook zonder dat doel is het wel goed dat dit punt onder de aandacht wordt gebracht. Bijna elke ondernemer heeft immers een website. Of daar onder de motorkap
WordPress, Joomla, Drupal of maatwerk zit is om het even.
Het gaat erom dat elk CMS regelmatig gecontroleerd moet worden op de kwaliteit van de code. Plug-ins die de reputatie hebben zeer degelijk te zijn kunnen door een menselijke fout bij een update kwetsbaarheden bevatten. Evenzo kan door de ontdekking van nieuwe zwaktes in het CMS bestaande degelijke code opeens zo lek als een mandje zijn.
Code controleren noodzaak
Daarom is het zaak regelmatig de code te controleren. Maar wie heeft daar nu de tijd voor over? De ondernemer met een website als visitekaartje zal niet het idee hebben dat er regelmatig wat verandert. Zelfs wie een webshop kan dat ontgaan. Ook de toeleveranciers (in dit geval dedicated websitebouwers, reclamebureaus of IT dienstverleners) laten hier steken vallen. En dat ondanks tools waarmee elke plug-in, elke regel code zo goed als geheel automatisch is te controleren.
66 procent
Volgens PerimeterX is in Amerika, op basis van de eigen steekproef, 25 procent van de website eigenaren voldoende op de hoogte van de risico’s. Zij testen vooraf nieuwe scripts en de modificaties van bestaande software. Dat doen ze zelf of hebben daar een externe partij voor aangewezen. Een op de drie geeft aan tools te (laten) gebruiken om installaties te controleren. Dat is dus veel minder preventief, maar er wordt tenminste wel opgelet. Daarmee houdt het goede nieuws wel in een keer op. Het is aannemelijk dat 66 procent dus stilzit, al dan niet door het gebrek aan kennis.
Geen kennis
Gebrek aan kennis is dan ook de reden dat de steekproef aan het licht bracht dat 49 procent niet kan aangeven of de eigen websites het afgelopen jaar zijn aangevallen. De link tussen het testen van software en die score is duidelijk, maar het zegt ook nog iets anders. Een groot deel doet dus niets met het controleren van logfiles, en dat terwijl ook daar mooie
geautomatiseerde processen voor zijn.
En Nederland?
De grote vraag na het zien van deze cijfers is natuurlijk of de scores in Nederland veel beter zullen zijn. De zakelijke website is heel vaak een soort van achillespees, maar ook hier zal bijna niemand zonder directe aanleiding goed tegen het licht houden. Providers en de reguliere IT dienstverleners bieden uiteraard de tools aan om de online omgevingen beter te kunnen controleren en van reactief iets op te schuiven naar proactief. Aanbieden wil niet zeggen dat het wordt gebruikt.
