Security is als een inktvis
Senior Manager Security Solutions, Unisys
Expert van Computable voor het topic Security
MeerOnlangs heeft ING bank aangekondigd om 'pc-software' te gaan verstrekken aan klanten (zakelijk of particulier, dat is niet helemaal duidelijk) om de veiligheidsrisico’s van internetbankieren te beperken. Zie de Computable-berichtgeving van 8 oktober. Wat kan hiervan de strekking zijn?
Als ik om me heen vraag hoe mensen typische 'hackers' zien, komen er stereotypefiguren naar boven. Hun uiterlijk is schurkachtig, hun werkwijze is stiekem en vaak opereren ze van duistere zolderkamertjes om persoonlijk gewin te bereiken, ten koste van jou, de consument die netjes internetbankiert. Natuurlijk weten we dat als ze bellen en een pincode vragen, dat we die niet moeten geven. Dat zit al aardig tussen onze oren. Maar onlangs werd er bij het consumentenprogramma Radar melding gemaakt van een incident waarbij klanten werden benadeeld nadat hun 'one time password' was opgevraagd. Het wordt steeds enger. Het lijkt erop dat de tentakels van het criminele circuit worden uitgebreid.
Bank tegen hacker
Ik vond het daarom prettig om te lezen dat ING had besloten om eens terug te slaan, en 'gratis' software te verstrekken aan klanten die internet- (of mobiel) bankieren. In het artikel werd aandacht besteed aan de verschillende dreigingen die hiermee voorkomen kunnen worden, en de soorten systemen waar de software op zou kunnen draaien. Een heel goed initiatief lijkt me, het slagveld is immers op de pc (of de mobiel) waar de consument zijn transacties opvoert. Daar moet het worden uitgevochten: de bank tegen de hacker. Bestrijd de criminele tentakels met harde acties.
Laten we er even van uitgaan dat de gemiddelde thuisbankier altijd vanaf dezelfde vaste apparaten werkt. Dat kan zijn een desktop, een laptop, wellicht ook een tablet en een mobiel c.q. smartphone. We laten bankieren in een internetcafé even buiten beschouwing. Wat betekent dit voor het ING-initiatief? Er moeten dus een aantal licenties van genoemde software worden gedistribueerd naar een individuele klant. De klant installeert een aantal van deze licenties. Weet ING dan wat de klant in gebruik heeft en op welk systeem, en gaat daarmee vrolijk aan de slag?
Service in de cloud
Zou het niet zo zijn dat men dan denkt dat men beschermd is? Dat de aansprakelijkheid volledig bij de bank ligt, dat de bank alle verantwoordelijkheid op zich neemt? Dit lijkt, zeker na de discussie in het eerder genoemde televisieprogramma Radar, niet voor de hand liggend. Ik denk ook dat het uitrollen gepaard moet gaan met een degelijke voorlichtingscampagne over het hoe en wat van deze dienst. Verder moet de dienstverlener hier ook zorgdragen voor een veilige distributie en ingebruiksstelling. Wellicht is het wel het proberen waard om in plaats hiervan de dienst aan te bieden als een soort service in de cloud. Dat maakt het installeren van updates ook een stuk simpeler.
Misschien zijn er ook klanten die er helemaal geen gebruik van willen maken. Lopen zij hiermee een groter risico dan anderen? En wat betekent dit voor eventuele schadeclaims die kunnen volgen? Veel vragen blijven over. Maar toch een uniek initiatief, wat getuigt van een positieve en daadkrachtige aanpak van dit probleem. Ook al zijn er veel dingen te regelen en heeft men acht armen nodig.
hk, 15-10-2012 17:02
De eisen die een bank aan haar systeem stelt moeten zodanig zijn dat gebruikers ook met oudere software gebruik kunnen blijven maken van de diensten die die bank biedt en zonder al te veel extra kosten. De bank moet daarbij aan kunnen tonen dat van haar kant de boel is dichtgetimmerd. Een bank die vervolgens haar klanten helpt ook de andere kant dicht te timmeren is gewoon goed bezig, zelfs als dat in de toekomst een paar Euro per klant per jaar extra zou kosten. Als we moeten voldoen aan Henri's eis dan kost het elke individuele klant jaarlijks tientallen tot honderden euro's aan nieuwe licenties. Ik vraag me af of we daar op zitten te wachten.
PaVaKe, 15-10-2012 19:31
Een kennis van me werd onlangs gebeld door microsoft omdat hij een probleem zou hebben met z'n laptop. Goedgelovig en traag van begrip als hij is trapte hij er met open ogen in, met alle ellende van dien (zie o.a. http://kassa.vara.nl/tv/afspeelpagina/fragment/waarschuwing-voor-computeroplichters-van-microsoft/speel/1/ )
Ook hier helpt geen tooltje tegen; wat dat betreft sluit ik me aan bij de reactie van Henri.
mauwerd, 15-10-2012 19:36
Iemand die jouw usercode weet en drie maal een wachtwoord probeert, die is of binnen of blokkeert jouw rekening voor dagen...
Nee, ze kunnen geen geld overmaken, maar wel alles inzien en overlast veroorzaken.
Waarom geen hardware-token http://en.wikipedia.org/wiki/SecurID ?
Henk Wissink, 16-10-2012 13:12
@PaVaKe: ..en ik heb niet de illusie dat 'nu alles voor mij veilig is'. Dat komt omdat mededelingen met die strekking ook gegeven worden. Het tool is ook geen totale beveiliging van alle mogelijke besmettingsvormen maar richt zich op jouw verbinding met de ING. Die wordt bewaakt en het staat niet toe dat het anders gebruikt wordt dan jij vanaf het betreffende systeem doet. Het pretendeert ook niets anders dan dat.
Natuurlijk, het is een ad hoc beveiliging, maar het kan helpen misbruik door andere ongewenste software op je systeem te voorkomen.
@mauwerd: in het door jou genoemde Wikipedia artikel staan onder 'Theoretical vulnerabilities' al 2 vormen van misbruik die ook die wijze van beveiliging niet kan voorkomen.
Het blijft denk ik voorlopig nog (mede) afhangen van de gebruiker zelf.
PaVaKe, 16-10-2012 16:15
Maarten Oberman, 17-10-2012 13:05
Voorts: het is een stap voor het verplaatsen van de verantwoordelijkheid door de ING bank naar de klant toe.
In essentie moet het zo zijn dat: Hun internetbankierprocedure, programma en realisatie moet (en kan) onafhankelijk van het gebruikerssysteem voldoende veilig zijn op applicatie niveau....
ICT-er, 17-10-2012 21:37
Gelukkig doen banken zoals de ING daar veel aan. Helaas is het ook weer zo dat we ? kijkend naar de ING ? de afdeling communicatie die voorlichting aan de gebruiker juist frustreert. Bezoek maar eens de website van de ING. Zodra je als lezer bij een interessante tip komt, moet je weer verder klikken op ? Meer over ...?, of wordt je verwezen naar derden, enz. Bijvoorbeeld de klant wordt verteld dat je geen onbeveiligd wireless verbindingen moet gebruiken, maar niet dat de oude WEB beveiliging weinig meer voorstelt. Ze volstaan slechts met een verwijzing naar de internetprovider.
Bij het lijstje van belangrijkste vormen van bankfraude staan bijvoorbeeld geen fake facturen en identiteitsfraude. De geldezel wordt wel genoemd, maar niet de variant van 419-fraude, ook wel Nigeriaanse oplichting genoemd.
Het is alsof men bij de bank denkt dat de criminelen wat van de ING voorlichting kunnen leren, terwijl men bij de bank meestal achter de feiten aanloopt. Een gemiste kans, die je wel vaker ziet. Gebruik gewoon de aanwezige expertise.
22-05 Documenten dubbel zien in de cloud
22-05 Denk in diensten en niet in uren maal tarief
21-05 Beveilig je site tegen DDoS-aanval
21-05 Maak je proces mobiel met een app
17-05 De Red Diesel Blues
17-05 Efficiency en kostenbesparing dient de IT-mens
16-05 Groei IT-budgetten bij grote ondernemingen
15-05 Big data opvangen met open hybride cloud
14-05 Ontwerp websites en cloud moeten schaalbaar zijn
14-05 Noem man en paard bij cloud computing
22-05 Norman Shark ontdekt Indiase cyberspionage
22-05 Documenten dubbel zien in de cloud
22-05 IntraData biedt CTB Flex handtekening via cloud
22-05 Eaton 5P UPS ondersteunt virtuele omgevingen
22-05 Vasco Data Security neemt Cronto over
21-05 Beveilig je site tegen DDoS-aanval
21-05 McAfee en Intel in digitale beveiliging
21-05 SpicyLemon
21-05 TNO zet Cyber Security Lab op
17-05 Rabobank krimpt in, maar ICT-afdeling groeit
|
|
DoS-aanvallen: strategieen om de schade te beperken
 |
De kans dat organisaties getroffen worden door een DoS-aanval is helaas reëel. Omdat er allerlei soorten......
Vivare , Arnhem
Dionach bv , Amersfoort
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 652 | 6.3 | |
 | 3 | 618 | 6.4 | |
 | 4 | 588 | 6.3 | |
 | 5 | 536 | 6.3 | |
 | 6 | 516 | 6.2 | |
 | 7 | 276 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 155 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
De mensen bereik je niet met een bericht op het scherm met: "Klik hier om te leren hoe u uw computer tegen hackers kunt beschermen".
De oplossing is dus geen 1-tweetje.
Ik zie veel meer in de voorlichting campagne van de kinderen en omgeving van de doelgroep. Denk dan in de trant van:
"Help je moeder/vader/oma/opa eens wat vaker met de PC". Stimuleer dus anderen om hun kennis te delen of geef hen de incentive. Ook zouden banken gewoon klanten moeten weigeren als ze oude versies gebruiken.