Veilige websites in grote organisaties: hou het overzicht

Niet lang geleden startte een grote Nederlandse organisatie de geschillenregeling voor .nl-domeinnamen op. Reden: er was een website gelanceerd onder een .nl-domeinnaam die gebruik maakte van hun merknaam. De merkhouder wist echter van niets en alle tekenen wezen erop dat hier sprake zou kunnen zijn van phishing. Het ging om een slecht opgezette, niet van SSL voorziene site waar klanten van de organisatie werd gevraagd persoonsgegevens op te geven.

Regels aan de laars gelapt

Na 2 weken werd ontdekt dat de site was opgezet door een van hun eigen medewerkers. Om de interne procedure te ontwijken had hij zelf een website in elkaar geknutseld, een domeinnaam geregistreerd en een hoster benaderd. Dat hij daarbij alle securityregels voor zakelijke websites aan zijn laars lapte, had hij zelf niet eens door.

Maak het niet te ingewikkeld

Deze anekdote staat niet op zichzelf: in grote organisaties gebeurt het vaker dat medewerkers of afdelingen zaken op hun eigen manier regelen. Organisaties reageren daarop met procedures, maar maken die soms zo ingewikkeld dat ze het ontwijken ervan juist in de hand werken.

Grote organisaties zijn kwetsbaar

Mede hierdoor zijn juist grote organisaties kwetsbaar. Elsevier Weekblad publiceerde dit voorjaar een onderzoek naar de kwetsbaarheid van ziekenhuizen voor cyberaanvallen. Hun conclusie: vooral grote ziekenhuizen kennen veel kwetsbaarheden doordat zij erg veel sites hebben. Sommigen zelfs meer dan 1.000. Vaak een erfenis uit het verleden. Een herinnering aan fusies, overnames en naamswijzigingen. Bij SIDN krijgen we regelmatig de vraag hoe hier mee om te gaan. Er zijn 3 vuistregels:

  1. Faciliteer juiste tenaamstelling voor je domeinnamen Publiceer op intranet een richtlijn die omschrijft hoe medewerkers een domeinnaam moeten registreren. Wat is de exacte bedrijfsnaam? Wie is de admin-c? Geef je het mailadres van een medewerker op of van een collega? Streef daarbij naar volledigheid. Veel problemen kunnen bijvoorbeeld worden voorkomen door bij registratie een KvK-nummer te vermelden. Met KvK-data is het namelijk vrij makkelijk om een domeinnaam, website of contract te koppelen aan een bedrijf en de tekenbevoegde persoon. Zelfs na verschillende fusies.

  2. Publiceer je veiligheidsstandaarden voor websites Iemand die de procedure omzeilt is tot daaraan toe, maar dat hij de veiligheid van internetgebruikers en de reputatie van zijn organisatie in gevaar brengt is onacceptabel. Publiceer daarom ook alle veiligheidsstandaarden waaraan jullie sites voldoen. Dan creëer je intern bewustzijn en zien medewerkers dat die procedures meer dan alleen bureaucratie zijn.

  3. Beperk het aantal unieke websites Je kunt als organisatie best 1.000 handelsnamen hebben, maar dat betekent niet dat ze ook naar 1.000 sites moeten verwijzen. Een redirect met uitleg (wij zijn van naam veranderd per die datum x) is vaak genoeg. Wil je de naam volledig opheffen? Zorg er dan voor dat deze een tijd lang niet meer actief gebruikt is en dat mensen weten dat er vanaf die domeinnaam geen zakelijke e-mails meer verstuurd worden. Cybercriminelen gebruiken opgeheven domeinnamen namelijk wel eens om zich als jouw organisatie voor te doen.

Wat als je het overzicht kwijt bent?

Mooie tips die je snel kunt toepassen, maar wat doe je als je nu het overzicht kwijt bent? Voor .nl bieden we in zulke gevallen 2 tools aan die je helpen zaken op orde te krijgen.

De Domain Name Portfolio Checker is een eenmalige zoektocht waarmee wij alle domeinnamen binnen .nl die verbonden zijn met jouw organisatie opsporen en in kaart brengen.

De Domeinnaambewakingsservice controleert niet alleen .nl-namen van je organisatie maar monitort doorlopend of jouw merknaam ergens op internet gebruikt wordt en zo ja, of dat gebeurt op een wederrechtelijke manier (phishing).

Op die manier hou je de vinger aan de pols, als het gaat om het veilig houden van je websites en domeinnamen. Wil je er meer over weten, neem dan contact op met Pim Pastoors via +31 6 570 454 07 of pim.pastoors@sidn.nl.

Michiel_Hennekes

Michiel Henneke

Marketing manager

+31 26 352 55 00

marketing@sidn.nl

  • vrijdag 9 februari 2018

    Kennis

    Prijsvraag Safer Internet Days: win een boek over ’t internet!

    boek+internet

    Doe mee en win 1 van de 10 internetboeken!

    Lees meer
  • woensdag 28 maart 2018

    .nl-domeinnaam

    SIDN analyseert belsimpel.nl

    SIDN-analyseert-Belsimpel-thumbail

    Van een startkapitaal van € 2.000,- naar een omzet van € 200 miljoen

    Lees meer
  • maandag 26 februari 2018

    SIDN Labs

    Anycastnetwerk van .nl verder uitgebreid

    Thumb-CIRA

    DNS-capaciteit .nl uitgebreid met dienst van Canadese registry

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.