Zijn uw tags echt veilig met Google Tag Manager? Als u heeft gedacht dat het gebruik van GTM betekent dat uw trackingtags en pixels dat wel zijn veilig beheerd, dan is het misschien tijd om nog eens na te denken. In dit artikel bekijken we hoe een verkoper van grote tickets, die op elk continent zaken doet, uit de problemen kwam toen hij vergat dat je het je niet kunt veroorloven om tags onbeheerd te laten of verkeerd te configureren.
Lees hier de volledige casestudy.
Google Tag Manager bespaart website-eigenaren tijd en geld. Dankzij de visuele interface kunnen ze trackingtags aan hun sites toevoegen en deze vervolgens indien nodig aanpassen zonder dat ze elke keer een ontwikkelaar hoeven te bellen. Dergelijke tags verzamelen de marketing- en analysegegevens die de groei stimuleren, en GTM maakt ze gemakkelijker te beheren, maar als je rekening houdt met strikte regels rond gegevensprivacy, kun je er niet volledig op vertrouwen; er is actief toezicht nodig.
De kaartjesverkoper
Een voorbeeld waarvan we ons onlangs bewust zijn geworden, betreft een wereldwijd bedrijf dat kaartjes voor live-evenementen verkoopt. Bij mondiale activiteiten is het belangrijk om vast te stellen wie de algehele verantwoordelijkheid heeft voor een bepaalde functie, maar in dit geval ontbrak dat. In een cultuur waarin de verantwoordelijkheden niet duidelijk zijn, is het niet verwonderlijk dat een marketingteam iets uitbesteedt aan een extern bedrijf, omdat het het als een veiligheidsprobleem beschouwt dat het kan ontlasten in plaats van als een marketingprobleem.
Download hier de volledige casestudy.
De taak was het beheer van het gebruik van Google Tag Manager. Het team had misschien het gevoel dat marketing en groei hun prioriteiten waren en daarom was deze stap logisch, maar veiligheid is een van de onderdelen die door alles heen lopen. Het gevolg van het uitbesteden van deze werkzaamheden was een datalek, omdat de opdrachtnemer een misconfiguratie niet had opgemerkt.
GDPR, CCPA, de Cyber Resilience Act en andere privacygerelateerde wetgeving verplichten bedrijven dit niet te laten gebeuren. Ze moeten de gegevens van hun klanten beschermen en hun expliciete toestemming verkrijgen voordat ze deze verzamelen en delen, en vanwege de verkeerde configuratie is dit niet gebeurd. Als het op deze manier fout gaat, kan dit erg duur zijn, zowel in termen van geld als reputatie, om nog maar te zwijgen van het feit dat cybercriminelen Google Tag Manager hebben gebruikt als middel voor het uitvoeren van webskimming- en keylogging-aanvallen. Meer over de details van dit verhaal kunt u lezen in onze casestudy.
Hoe groot is een probleem bij een verkeerde configuratie?
Toen we de zaak van het wereldwijde ticketverkoopbedrijf onderzochten, werden we nieuwsgierig naar Google Tag Manager en vroegen we ons af hoe wijdverspreid dit soort problemen zou kunnen zijn. We vroegen ons af hoeveel andere bedrijven zichzelf zouden kunnen blootstellen aan mogelijke class action-rechtszaken ter waarde van meerdere miljoenen dollars die zijn aangespannen door massa's individuen wier gegevens ze hebben gedeeld zonder toestemming of in strijd met de lokale privacyregelgeving, en hoeveel van hen zouden het risico lopen grote boetes te krijgen van waakhonden voor gegevensprivacy en toezichthouders in de sector?
Het voorbeeldonderzoek
We hebben besloten een steekproef van 4.000 websites te bekijken die Google Tag Manager gebruiken. Het bleek dat ze een gemiddelde website aan zo’n vijf applicaties koppelen, en dat 45% van deze apps gebruikt wordt voor reclame, 30% pixels en 20% analysetools. Dit zijn de apps waarvan we hebben vastgesteld dat gebruikers het meest verbinding maken met Google Tag Manager, in volgorde van populariteit.
Voor meer informatie kunt u hier de volledige casestudy lezen.
Het risico
We hebben vastgesteld dat Google Tag Manager en de daaraan gekoppelde apps in alle sectoren verantwoordelijk zijn voor 45% van alle risicoblootstelling onder gebruikers. In totaal lekt 20% van deze apps persoonlijke of gevoelige gebruikersgegevens als gevolg van een verkeerde configuratie.
In de onderstaande toepassingen kwamen onjuiste configuraties voor, die verantwoordelijk zijn voor 85% van alle gevallen:
O, de ironie!
Ironisch genoeg ontdekten we dat Google Tag Manager zelf verantwoordelijk is voor de meeste gevallen van verkeerde configuraties, waardoor gebruikersgegevens kunnen lekken en de website-eigenaren die er onvoorwaardelijk op vertrouwen in de problemen komen.
Dit is geen aanval op Google Tag Manager, omdat het een zeer nuttig en effectief hulpmiddel is als het veilig wordt gebruikt. Het is onze bedoeling u te wijzen op de gevaren van het niet beheersen van de potentiële risico's die gepaard gaan met het gebruik ervan, en u aan te moedigen alles te lezen over de vele praktische manieren om ervoor te zorgen dat uw tags zich gedragen.
Continue bescherming
Bij het overwegen van tactieken, technieken en procedures op cybergebied moeten organisaties overwegen een continu beheersysteem voor webbedreigingen in te zetten, zoals Reflectiz. De digitale tagbeheer- en beveiligingstools geven uw teams volledige zichtbaarheid en controle over tags en geven waarschuwingen af over eventuele wijzigingen aan tags (en in feite elke code op de website) ter beoordeling en goedkeuring. Het voldoet aan de tegenstrijdige prioriteiten van zowel marketing- als beveiligingsteams, waardoor Security de poortwachter kan doen zonder de groei- en innovatieambities van Marketing te beperken. Lees de volledige casestudy voor meer informatie.
