Vier experts geven antwoord op de vraag wat een klant zelf kan doen om veilig te blijven. Wouter de Vries, directeur van Antagonist, Cipriano Groenendal, hoofd systeembeheer bij Byte Internet, Michiel Steltman, directeur van brancheorganisatie DHPA en Yom Schutte, voorzitter van hostersvereniging ISPConnect hebben ieder een aantal tips.

Wachtwoorden

Allereerst zijn er een aantal tips die door alle partijen genoemd worden. Veilig hosten begint bij het kiezen van een veilig wachtwoord, dat niet eenvoudig te raden is en dat bestaat uit een combinatie van zowel kleine en hoofdletters, nummers en leestekens. Groenendal raadt het ook expliciet af om je wachtwoord op te schrijven, want het briefje kan ook door iemand anders worden gevonden, die het wachtwoord dan ook kent.

Updaten

Een tweede breed gedragen punt is dat indien je software en scripts up-to-date moet houden. Het is makkelijk om een softwarepakket te installeren op de server van de hoster, maar nog makkelijker om dat uit te buiten. Volgens De Vries is bij het leeuwendeel van de gehackte websites sprake van een oude versie van Joomla, WordPress of een vergelijkbaar systeem. Hij adviseert dan ook om je in te schrijven op de nieuwsbrief van de betreffende software, zodat je altijd op de hoogte blijft van nieuwe versies. Die kun je dan zo snel mogelijk installeren.

Lokale beveiliging

Opmerkelijk is het derde punt dat alle partijen noemen, namelijk de lokale beveiliging van de computers waarvandaan verbinding wordt gemaakt met de servers van de hoster. Er zijn namelijk veel virussen in omloop die op zoek gaan naar FTP-logingegevens. Deze worden misbruikt om de website te infecteren met het virus, om zo de bezoekers ook te besmetten of de website zelf te hacken. Groenendal waarschuwt dat dit niet alleen particulieren en kleinzakelijke gebruikers overkomt: “Er wordt altijd verbinding gemaakt met de FTP-server vanaf een bepaalde computer. Die computer kan net zo goed bij een groot zakelijke dienstverlener staan als bij een particulier. Een goede virusscanner die up-to-date is, is daarom essentieel."

Registratie op juiste naam

Een vierde punt dat door alle partijen wordt genoemd is dat klanten er voor moeten zorgen dat de gegevens waarmee de bedrijfsnaam van het bedrijf wordt geregistreerd de juiste zijn en ook bijgehouden worden. Het komt regelmatig voor dat een domeinnaam op naam van een oud-medewerker staat geregistreerd. Het kan in zo'n geval zeer lastig zijn om de zeggenschap over je domeinnaam terug te krijgen, waarschuwt Schutte. Zorg er daarom voor dat de domeinnaam altijd op naam van het bedrijf is geregistreerd en de contactpersonen die in het domeinregister staan vermeld de juiste zijn.

Backups

Het zelf maken van backups zien niet alle partijen als noodzakelijk. Het maken van backups voor klanten wordt door Steltman en Groenendal een onderdeel van de dienstverlening van de hoster genoemd. De klant hoeft daarom volgens hen in principe zelf geen backups te maken, maar kan ervoor kiezen om dat wel te doen. Wel wijst Steltman er op dat het verstandig is om hiervoor een goede service level agreement overeen te komen met de hoster.

Schutte en De Vries raden het nadrukkelijk wel aan om zelf backups te maken, zelfs als de hoster waarbij men klant is backups maakt. Schutte zegt hierover: “De meeste hosters maken backups om ervoor te zorgen dat indien er iets mis gaat met een server, de hele server kan worden hersteld, niet om ervoor te zorgen dat website van de individuele klant kan worden teruggehaald." Zowel Schutte als De Vries raden ook aan om backups niet in je hostingpakket zelf, maar lokaal op te slaan. Bij een hack kunnen namelijk ook de backups die in het hostingpakket zijn opgeslagen verloren gaan.

Classificeren

De Vries en Steltman geven verder aan dat het verstandig is om verschillende soorten gegevens te classificeren op basis van gevoeligheid, zodat voor elk soort gegevens dat wordt verwerkt en opgeslagen passende beveiligingsmaatregelen kunnen worden genomen. De Vries noemt als voorbeeld van een beveiligingsmaatregel het versleuteld opslaan van gevoelige gegevens in de database, zodat deze niet op straat komen te liggen in geval van een datalek.

Neem een betrouwbare hoster

Een laatste punt waar alle partijen op wijzen is dat veiligheid begint bij de keuze voor een betrouware hoster. Zowel DHPA als ISPConnect zijn daarom bezig met een keurmerk, om het kaf van het koren te scheiden onder hosters. Het DHPA-keurmerk zal sterk de nadruk leggen op de logische en fysieke veiligheid van de keurmerkhouders. Ook wijst Steltman op het belang van het ISO27001-certificaat voor informatiebeveiliging, waaraan nu al te zien is dat een hoster zijn informatiebeveilgingsystemen op orde heeft. Het ISPConnect-keurmerk zal zich met name richten op het voldoen en houden aan de geldende wet- en regelgeving.