Mobiele wachttijden

Laten we er geen doekjes om winden: bestellen of reserveren via internet is nog steeds niet wat het zou moeten zijn.

Nog altijd wordt de argeloze internet-shopper geconfronteerd met omslachtige registratieprocedures, websites waarbij het laden van bewegende kleurenplaatjes minuten in beslag neemt, en digitale formulieren waarbij het intikken van de datum 13-7-2002 een foutmelding oplevert omdat het 13-07-2002 had moeten zijn. En nog altijd ziet de arme internet-shopper zijn inspanningen veelvuldig beloond met de melding dat het bestelde helaas niet leverbaar is, maar dat een nieuw formulier ingevuld kan worden om een alternatieve bestelling te plaatsen. Of dat de digitale winkel wegens vakantie van de eigenaar tot eind augustus gesloten is en dat de bestelling pas na die datum in behandeling genomen kan worden. Of dat de browser een illegale instructie heeft uitgevoerd en om die reden moet worden getermineerd. Waarna onze internet-shopper doorgaans gefrustreerd de telefoon grijpt en opgelucht tot de ontdekking komt dat dit ouderwetse verkoopkanaal nog steeds perfect werkt.
Ondanks het nog beperkte succes van e-handel investeren banken in binnen- en buitenland op dit moment massaal in toepassingen die mobiel bankieren mogelijk maken. De Postbank beet dit voorjaar het spits af door spaarders een gratis toestel aan te bieden. De banken hebben genoeg redenen om te investeren. Bijvoorbeeld de dreiging van bankierende telecombedrijven en zogenaamde 'pure players', specialistische internetbanken die met aantrekkelijke aanbiedingen een klein maar belangrijk deel van de markt zouden kunnen veroveren. Die markt moet enorm zijn. Forrester voorspelde anderhalf jaar geleden dat over drie jaar eenderde van alle Europeanen mobiel zit te internetten. Dat zijn meer dan 120 miljoen potentiële klanten. Geen idee of die voorspelling realistisch is, maar indrukwekkend is het zeker.
Op dit moment is mobiel zakendoen nog hetzelfde als wappen, maar iedereen verwacht dat 'e' en 'm' over een paar jaar zullen samensmelten zodat je mobieltje uiteindelijk niets anders is dan een zakcomputer die alle standaard internetprotocollen spreekt, maar dan over snelle draadloze dragers. Zover is het nog niet. Als iets de ontwikkeling van mobiel elektronisch zakendoen op dit moment vertraagt, is dat het gebrek aan standaarden dat kennelijk hoort bij de beginfase van een nieuwe technologie. Met als mogelijk gevolg dat je straks met je mobieltje wel bij de ene, maar niet bij de andere bank kunt bankieren of, erger, wel bij de ene, maar niet bij de andere winkel kunt betalen. Je moet er toch niet aan denken. Een aantal banken, waaronder ABN Amro, heeft vorig jaar daarom samen met Nokia, Ericsson en Motorola het Mobey-forum opgericht, een belangenvereniging die de ontwikkeling van standaarden voor m-banking stimuleert maar het gebruik ervan helaas niet kan afdwingen.
Eén van de gebieden waar het ontbreken van algemeen geaccepteerde standaarden lastig begint te worden, is de beveiliging van mobiele transacties. Die beveiliging is op dit moment gebaseerd op het Wireless Transport Layer Security-protocol (Wtls), het mobiele broertje van het SSL-protocol dat in uw browser zit ingebouwd. Wtls is een standaard, en een goede ook. Maar in de praktijk blijkt dat lang niet alle mobiele toestellen deze standaard volledig ondersteunen. En toestellen die Wtls wel ondersteunen, doen dat niet altijd van harte. Zo kan de gebruiker vaak niet zien of het beveiligingsprotocol wel of niet actief is, zoals bij het hangslotje in je gewone browser. Op andere toestellen staat Wtls standaard uitgeschakeld. Tenslotte schrijft de Wtls-standaard geen vaste encryptietechniek voor, waardoor compatibiliteitsproblemen kunnen ontstaan.
Stel dat alle toestellen dezelfde implementatie van Wtls ondersteunen. Zijn alle beveiligingsproblemen daarmee opgelost? U kunt het antwoord wel raden. Wtls werkt met digitale certificaten waarmee de gebruiker en de server aan elkaar kunnen laten zien wie zij zijn. In de praktijk heeft de gebruiker maar weinig mogelijkheden om te controleren of het certificaat van de server geldig is en zal hij dat certificaat daarom blindelings accepteren. Daarnaast is het certificaat van de gebruiker zelf opgeslagen in de mobiele telefoon; je kunt het oproepen door een wachtwoord in te toetsen, waarbij de populairste toestellen zo gebruiksvriendelijk zijn dat je dit wachtwoord onder een knop kunt opslaan. De meeste gebruikers zullen kiezen voor maximaal gebruiksgemak - ze slaan hun wachtwoord op in het geheugen en laten hun mobieltje altijd aan staan. Wie zo'n toestel vindt of steelt, heeft automatisch toegang tot de bankrekening van de eigenaar. Extra maatregelen als smartcards, calculators en bestedingslimieten maken mobiel bankieren veiliger, maar ook omslachtiger. Het komende jaar zullen er veel veilige en minder veilige producten voor mobiel bankieren op de markt komen en de verwachtingen zijn hooggespannen. Maar laten we nu eens niet te vroeg juichen. De dag dat je in Amsterdam met je mobieltje je parkeergeld kunt betalen is nog lang niet aangebroken.
 
Edo Roos Lindgreen, partner bij KPMG Information Risk Management, en docent IT & Auditing aan de Universiteit van Amsterdam.