Arnoud Hendrikson is it-jurist en is momenteel op zoek naar een nieuwe werkgever. Tijdens Overheid & ICT 2013 diende hij een vraag in die hij graag door een expert wil laten beantwoorden. Zijn vraag speelt in op recente ontwikkelingen bij Nederlandse banken en betaalservice iDeal die eruit lagen door DDoS-aanvallen.
Hoe kan ik zorgen dat ik met het verlonen geen hinder ondervind van de recente ontwikkelingen binnen de financiële wereld? Ik doel hiermee op de DDoS-aanvallen op banken en de betalingsstructuur. En mocht het onverhoopt toch fout lopen, hoe kan hierop gereageerd worden zodat de uitbetaling van de lonen geen vertragingen oplopen?
Gedurende de beurs Overheid & ICT 2013 kunnen lezers van Computable vragen stellen over ict bij de overheid aan de ruim 1100 Computable-experts. Tijdens de beurs is permanent een expert in de Computable-stand aanwezig. Een vraag kun je stellen door het invullen van een formulier. Experts beantwoorden de vragen z.s.m.
Teruggebracht tot zijn essentie: is er een workaround om banken heen bij het transfereren van geld van A naar B? Ja, die is er. Dat heet cash-geld. Als je het zo stelt is het dus best mogelijk dat we aan de poort van bedrijven weer tafeltjes neer zetten met daarop doorzichtige enveloppen met het week-/maandloon erin. Alleen al door er zo over te denken zie je dat dat niet gaat werken.
Misschien is dat in uiterste instantie wel de bedoeling van de DDOS-aanvallers. Het destabiliseren van het girale betalingsverkeer zodat we weer teruggrijpen op cash-geld. Dat is namelijk door overvallen etc. een stukje makkelijker te pakken te krijgen dan giraal verkeer. Dus….
Goed, terug naar de vraag. Het zal er om gaan dat Janssen de zekerheid heeft dat de bank vindt dat er per x-y-20zz een bepaald bedrag op zijn rekening is bijgeschreven. Die bepaling is geen echt on-line proces en dus is een DDOS-aanval niet erg relevant zolang de bank maatregelen heeft genomen om de volgorde van transacties als backlog af te wikkelen. Ik kan me eerlijk gezegd niet voorstellen dat ze dat niet hebben.
Over het algemeen zijn de DDos aanvallen nog van een beperkte tijdsduur. Maar een plan B kan geen kwaad, de tapes van enkele jaren geleden, zoals dat toen functioneerde opsturen zal wel niet meer beschikbaar zijn. Maar wat wel kan is een getimde betaling via de banken, de data is dus daar al enkele dagen eerder. daarmee wordt een stuk van de verantwoordelijkheid naar de banken verschoven. Als klant de beschikking hebben over meer dan 1 bank toegang is dan de voorlopige meest pragmatische oplossing.
Daarnaast, maar dat is meer een overheidstaak denk ik, dat de tegenaanval op PC’s in een botnet een effectieve weg zal zijn. Dus voor alle duidelijkheid: op afstand uitschakelen van PC’s, die evident onderdeel van een botnet zijn. Helaas voorziet de regelgeving daar nog (even???) niet in
Bij mijn weten maken banken voor het onderlinge verkeer gebruik van eigen verbidingen en gaan die niet via het openbare internet.
De achterdeuren van de banken en de DNB hebben een eigen intern mechanisme, ik dacht gebaseerd op producten van IBM, queing systeem MQSI (oude naam, mogelijk hernoemd naar Websphere).
Ddos daarop uitvoeren lijkt me onmogelijk (als leek).
Dat je door DDos-aanvallen vervolgens niet bij je geld kunt, is natuurlijk lastig, maar je hebt het al wel. Dus de automatische betalingen en incasso’s lopen daarmee geen gevaar.
Direct de interface sluiten en via een ander kanaal verder werken. De techniek zou zo ingericht moeten zijn, dat je eigenlijk nooit op dezelfde infrastructuur werkt. Met virtuele oplossingen moet dat toch te realiseren zijn.
Idee van botnet ben ik ook voor. Terugslaan zou ik dat willen noemen. Hopelijk tref je dan de bron en niet de slachtoffers van pc-hacks.
DDos-aanvallen komen in het algemeen van buiten. De aanvallen zijn er niet op gericht om zich illegaal toegang te verschaffen, maar om het normale verkeer te ontregelen. De aanvallen hebben dus, in het algemeen geen effect op de interne processen (mits gescheiden qua infrastructuur). Het uitvoeren van betalingen binnen banken en tussen banken loopt dus geen gevaar, omdat dat gebruik maakt van andere infrastructuur dan dat waar de DDos-aanval zich op richt.
Arnoud,
DDoS aanvallen zijn gericht op het (tijdelijk) onbereikbaar maken van internet services en een verloning kan zoals reeds gesteld in andere reacties ook anders gedaan worden, zelfs in huidige tijd worden ouderwetse overboekingen nog steeds ondersteund. Als het gebruikte salarispakket of de service enkel en alleen iDeal ondersteund dan lijkt me dat geen ideale situatie.
Een bank kan DDoS-aanval pas bestrijden als ze een deltaplan hebben met een aantal spelers daarin plus een draaiboek voor de uitwijk van een aantal diensten. De spelers in dit plan zijn niet beperkt tot die van de bank-organisatie maar ook internet providers(ISP), overheid(o.a. het NCSC) en misschien andere externe (security)leveranciers.
Het is wel waar dat de ict-architectuur van de bank op vele punten aangepast dient te worden maar het is een illusie als je denkt dat de bank alleen dit probleem kan bestrijden/oplossen.
Beste Arnoud,
Banken hebben meerdere “kanalen” om hun klanten mee te bedienen. Voor particulieren en kleine bedrijven is dat vaak de simpele vorm van internetbankieren. Voor grotere bedrijven zijn er andere producten, waarbij betaalopdrachten in bulk aangeboden kunnen worden. Al deze kanalen kennen de optie van een “geplande betaling”, waarmee je een betaalopdracht dus op een gewenste datum kunt laten uitvoeren. Dat kun je dus van tevoren opsturen naar de bank.
Mocht het door de klant gekozen kanaal niet beschikbaar zijn, dan bestaat er vaak de mogelijkheid om in overleg met de relatie manager een alternatieve methode te kiezen.
Je kunt betalingen vooraf agenderen, dit kan bij iedere bank. Dat betekend dat de betalingen al in het systeem van de bank staan, en op een toekomstige datum zullen worden uitgevoerd. Dus als er op de dag dat de lonen betaald worden toevallig een DDOS aanval plaatsvindt, heb jij daar geen last van en je werknemers ontvangen tijdig hun loon.