Onlangs heeft ING bank aangekondigd om 'pc-software' te gaan verstrekken aan klanten (zakelijk of particulier, dat is niet helemaal duidelijk) om de veiligheidsrisico’s van internetbankieren te beperken. Zie de Computable-berichtgeving van 8 oktober. Wat kan hiervan de strekking zijn?
Als ik om me heen vraag hoe mensen typische 'hackers' zien, komen er stereotypefiguren naar boven. Hun uiterlijk is schurkachtig, hun werkwijze is stiekem en vaak opereren ze van duistere zolderkamertjes om persoonlijk gewin te bereiken, ten koste van jou, de consument die netjes internetbankiert. Natuurlijk weten we dat als ze bellen en een pincode vragen, dat we die niet moeten geven. Dat zit al aardig tussen onze oren. Maar onlangs werd er bij het consumentenprogramma Radar melding gemaakt van een incident waarbij klanten werden benadeeld nadat hun 'one time password' was opgevraagd. Het wordt steeds enger. Het lijkt erop dat de tentakels van het criminele circuit worden uitgebreid.
Bank tegen hacker
Ik vond het daarom prettig om te lezen dat ING had besloten om eens terug te slaan, en 'gratis' software te verstrekken aan klanten die internet- (of mobiel) bankieren. In het artikel werd aandacht besteed aan de verschillende dreigingen die hiermee voorkomen kunnen worden, en de soorten systemen waar de software op zou kunnen draaien. Een heel goed initiatief lijkt me, het slagveld is immers op de pc (of de mobiel) waar de consument zijn transacties opvoert. Daar moet het worden uitgevochten: de bank tegen de hacker. Bestrijd de criminele tentakels met harde acties.
Laten we er even van uitgaan dat de gemiddelde thuisbankier altijd vanaf dezelfde vaste apparaten werkt. Dat kan zijn een desktop, een laptop, wellicht ook een tablet en een mobiel c.q. smartphone. We laten bankieren in een internetcafé even buiten beschouwing. Wat betekent dit voor het ING-initiatief? Er moeten dus een aantal licenties van genoemde software worden gedistribueerd naar een individuele klant. De klant installeert een aantal van deze licenties. Weet ING dan wat de klant in gebruik heeft en op welk systeem, en gaat daarmee vrolijk aan de slag?
Service in de cloud
Zou het niet zo zijn dat men dan denkt dat men beschermd is? Dat de aansprakelijkheid volledig bij de bank ligt, dat de bank alle verantwoordelijkheid op zich neemt? Dit lijkt, zeker na de discussie in het eerder genoemde televisieprogramma Radar, niet voor de hand liggend. Ik denk ook dat het uitrollen gepaard moet gaan met een degelijke voorlichtingscampagne over het hoe en wat van deze dienst. Verder moet de dienstverlener hier ook zorgdragen voor een veilige distributie en ingebruiksstelling. Wellicht is het wel het proberen waard om in plaats hiervan de dienst aan te bieden als een soort service in de cloud. Dat maakt het installeren van updates ook een stuk simpeler.
Misschien zijn er ook klanten die er helemaal geen gebruik van willen maken. Lopen zij hiermee een groter risico dan anderen? En wat betekent dit voor eventuele schadeclaims die kunnen volgen? Veel vragen blijven over. Maar toch een uniek initiatief, wat getuigt van een positieve en daadkrachtige aanpak van dit probleem. Ook al zijn er veel dingen te regelen en heeft men acht armen nodig.
Iedereen snapt het probleem wel, maar de oplossing is wat complexer dan het aanbieden van een tool. Er zijn al gratis tools beschikbaar om je computer redelijkerwijs te beschermen, bijvoorbeeld Microsoft Security Essentials. De groep die vaak slachtoffer is, snapt niet veel van computers en internet in het algemeen, maar belangrijker nog, ze hebben ook die behoefte niet, anders had het probleem uberhaupt niet bestaan!
De mensen bereik je niet met een bericht op het scherm met: “Klik hier om te leren hoe u uw computer tegen hackers kunt beschermen”.
De oplossing is dus geen 1-tweetje.
Ik zie veel meer in de voorlichting campagne van de kinderen en omgeving van de doelgroep. Denk dan in de trant van:
“Help je moeder/vader/oma/opa eens wat vaker met de PC”. Stimuleer dus anderen om hun kennis te delen of geef hen de incentive. Ook zouden banken gewoon klanten moeten weigeren als ze oude versies gebruiken.
@Henri. Als de bank dan die nieuwere versie beschikbaar stelt zijn we weer bij het onderwerp van dit artikel.
De eisen die een bank aan haar systeem stelt moeten zodanig zijn dat gebruikers ook met oudere software gebruik kunnen blijven maken van de diensten die die bank biedt en zonder al te veel extra kosten. De bank moet daarbij aan kunnen tonen dat van haar kant de boel is dichtgetimmerd. Een bank die vervolgens haar klanten helpt ook de andere kant dicht te timmeren is gewoon goed bezig, zelfs als dat in de toekomst een paar Euro per klant per jaar extra zou kosten. Als we moeten voldoen aan Henri’s eis dan kost het elke individuele klant jaarlijks tientallen tot honderden euro’s aan nieuwe licenties. Ik vraag me af of we daar op zitten te wachten.
In het aanbieden van een (al dan niet) gratis tool schuilt nog een heel ander gevaar, namelijk het creëren van schijnzekerheid. Er zullen, na het uitrollen van zo’n tool, legio gebruikers zijn die denken: Mij kan niets meer gebeuren nu, immers, ik heb zo’n tooltje van de ING gekregen.
Een kennis van me werd onlangs gebeld door microsoft omdat hij een probleem zou hebben met z’n laptop. Goedgelovig en traag van begrip als hij is trapte hij er met open ogen in, met alle ellende van dien (zie o.a. http://kassa.vara.nl/tv/afspeelpagina/fragment/waarschuwing-voor-computeroplichters-van-microsoft/speel/1/)
Ook hier helpt geen tooltje tegen; wat dat betreft sluit ik me aan bij de reactie van Henri.
ING voor zakelijke en particuliere klanten:
Iemand die jouw usercode weet en drie maal een wachtwoord probeert, die is of binnen of blokkeert jouw rekening voor dagen…
Nee, ze kunnen geen geld overmaken, maar wel alles inzien en overlast veroorzaken.
Waarom geen hardware-token http://en.wikipedia.org/wiki/SecurID ?
Ik vraag mij af, gezien de tekst van de reacties tot nu toe, of iemand de aangeboden software heeft geinstalleerd. Ik wel…
@PaVaKe: ..en ik heb niet de illusie dat ‘nu alles voor mij veilig is’. Dat komt omdat mededelingen met die strekking ook gegeven worden. Het tool is ook geen totale beveiliging van alle mogelijke besmettingsvormen maar richt zich op jouw verbinding met de ING. Die wordt bewaakt en het staat niet toe dat het anders gebruikt wordt dan jij vanaf het betreffende systeem doet. Het pretendeert ook niets anders dan dat.
Natuurlijk, het is een ad hoc beveiliging, maar het kan helpen misbruik door andere ongewenste software op je systeem te voorkomen.
@mauwerd: in het door jou genoemde Wikipedia artikel staan onder ‘Theoretical vulnerabilities’ al 2 vormen van misbruik die ook die wijze van beveiliging niet kan voorkomen.
Het blijft denk ik voorlopig nog (mede) afhangen van de gebruiker zelf.
@Henk … ik ben geen klant van ING, dus waarom zou ik de software installeren …..
De ING-software gaat die bank een opening geven door daarna door hun te zeggen: “u heeft het niet geïnstalleerd dus u bent nu zelf verantwoordelijk voor de schade”. Er zullen toch heel wat oudjes en digibeten zijn die er niet aan toekomen om die software te installeren.
Voorts: het is een stap voor het verplaatsen van de verantwoordelijkheid door de ING bank naar de klant toe.
In essentie moet het zo zijn dat: Hun internetbankierprocedure, programma en realisatie moet (en kan) onafhankelijk van het gebruikerssysteem voldoende veilig zijn op applicatie niveau….
Gebruikers – en dus ook allerlei soorten beheerders – vormen potentieel zwakke plekken in de beveiliging. Tooling – inclusief anti-malware voor klanten – is dan meer dan handig, maar het kan risicovol gedrag niet voorkomen. En het laatste zorgt vaak voor de grootste gaten in de beveiliging. Voorlichting kan risicovol gedrag niet voorkomen, maar wel helpen beperken.
Gelukkig doen banken zoals de ING daar veel aan. Helaas is het ook weer zo dat we ? kijkend naar de ING ? de afdeling communicatie die voorlichting aan de gebruiker juist frustreert. Bezoek maar eens de website van de ING. Zodra je als lezer bij een interessante tip komt, moet je weer verder klikken op ? Meer over …?, of wordt je verwezen naar derden, enz. Bijvoorbeeld de klant wordt verteld dat je geen onbeveiligd wireless verbindingen moet gebruiken, maar niet dat de oude WEB beveiliging weinig meer voorstelt. Ze volstaan slechts met een verwijzing naar de internetprovider.
Bij het lijstje van belangrijkste vormen van bankfraude staan bijvoorbeeld geen fake facturen en identiteitsfraude. De geldezel wordt wel genoemd, maar niet de variant van 419-fraude, ook wel Nigeriaanse oplichting genoemd.
Het is alsof men bij de bank denkt dat de criminelen wat van de ING voorlichting kunnen leren, terwijl men bij de bank meestal achter de feiten aanloopt. Een gemiste kans, die je wel vaker ziet. Gebruik gewoon de aanwezige expertise.