image

Veilig online bankieren en de verantwoordelijkheid van de klant

vrijdag 10 januari 2014, 14:06 door Paul van Dommelen, 38 reacties

Wie regelmatig op Security.NL te vinden is, ziet dat de verantwoordelijkheid van de klant voor veilig online bankieren een zeer hot en gevoelig onderwerp is. Niet alleen schieten artikelen met dit onderwerp als paddenstoelen uit de grond, ook het aantal reacties op deze artikelen is hoog.

Velen roepen dat het zo niet langer kan, dat het einde zoek is en sommigen geven zelfs het advies om in zijn geheel te stoppen met online bankieren. Maar lost dat het probleem op?

De grote vraag die mij bezig houdt is: zijn er ook oplossingen en wat is de kern van het probleem? Hoe kunnen banken en klanten op een verantwoorde wijze zorgen voor veilig online bankieren? Want, dat online bankieren zo veilig mogelijk moet zijn, daar is volgens mij iedereen het over eens. Om de veiligheid te blijven vergroten hebben we niet alleen de juiste vragen, maar ook de juiste antwoorden nodig.

De afgelopen maanden heb ik ter afronding mijn Executive MBA studie aan de Nyenrode Business Universiteit mijn thesis geschreven over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren. In de komende periode zal ik in een aantal artikelen op security.nl de verschillende inzichten, conclusies en aanbevelingen uit mijn onderzoek met jullie delen. Wie niet wil wachten: het complete onderzoek is via mijn LinkedIn profiel te downloaden.

Het valt mij op dat in veel discussies de verantwoordelijkheidsvraag en de aansprakelijkheidsvraag door elkaar lopen. In mijn ogen zijn dit echter twee verschillende zaken waarbij aansprakelijkheid slechts een eventueel gevolg van verantwoordelijkheid kan zijn. In dit eerste artikel wil ik eerst globaal ingaan op de vraag of het juist is dat banken een zekere verantwoordelijkheid van hun klant verlangen, de aansprakelijkheid komt in een later artikel aan bod.

Als security experts weten wij dat de totale security zo sterk is als de zwakste schakel. De klant vormt een belangrijke schakel. Op basis van mijn onderzoek kan ik concluderen dat het zeer slecht gesteld is met het bewustzijn, de kennis en de kunde van de Nederlandse consument aangaande online risico’s en online veiligheidsmaatregelen. De schakel klant is dus erg zwak. In veel gevallen zal de klant zelfs de zwakste schakel zijn. Om de veiligheid van de totale keten te verhogen is het daarom goed dat banken hun klanten weerbaarder proberen te maken. Ik vind dat dit niet alleen een verantwoordelijkheid is voor de banken, maar ook die van de overheid en de klant zelf. Het is immers ook de (online) veiligheid van de klant zelf die op het spel staat (zelfs op een veel breder scala dan enkel het risico van fraude bij online bankieren). Het is daarom in het belang van de consument dat haar veiligheidsbewustzijn verhoogd wordt.

De oude situatie waarin banken de schade van hun klanten standaard vergoeden kwam het veiligheidsbewustzijn van de Nederlandse consument niet ten goede: onderzoek wijst uit dat dit juist heeft gezorgd voor moral hazard bij consumenten. Persoonlijk denk ik dat onze maatschappij inmiddels aanbeland is in een tijdsperk waarin we ons moeten beseffen dat we als burger en klant niet alleen rechten hebben in de online wereld, maar ook bepaalde plichten. Net zoals we die in de fysieke wereld geregeld hebben, denk bijvoorbeeld aan het slot op de voordeur.

In mijn onderzoek heb ik klanten gevraagd over hun (toekomstige) verantwoordelijkheden. Uit dit onderzoek blijkt dat de meeste klanten wel degelijk begrijpen dat ze een bepaalde mate van verantwoordelijkheid (zouden moeten) dragen. De meeste klanten accepteren zelfs dat het niet nakomen van deze verantwoordelijkheid ook consequenties kan hebben. Klanten geven echter wel terecht aan dat daarvoor eerst bepaalde randvoorwaarden aanwezig moeten zijn.

Het antwoord is in mijn ogen dus ja, banken mogen een zekere mate van verantwoordelijkheid van hun klanten verwachten. Maar hoe zorgen we dat we klanten niet over- of ondervragen in hun verantwoordelijkheid? En wat zijn de randvoorwaarden die aanwezig moeten zijn? Wat deze verantwoordelijkheid inhoudt – welk spreekwoordelijk slot op de deur we van de klant mogen verwachten – en wat deze randvoorwaarden zijn, zal ik uitgebreid behandelen in een van de volgende artikelen op security.nl.

Paul van Dommelen is Managing Consultant Financial Services bij Capgemini. Ter afronding van zijn Executive MBA aan de Nyenrode Business Universiteit publiceerde hij in november zijn master thesis over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren.

Reacties (38)
10-01-2014, 14:50 door schele
Ik ben op je linkedin profiel gaan kijken en zie de publicatie staan maar ik kan niets downloaden?

De opmerking dat de standaard vergoeding door banken eerder tot een verslechterd bewustzijn heeft geleid vind ik wel een goede eigenlijk. En ben benieuwd of in het onderzoek ook iets concreet wordt gezegd over de wijze waarop banken dat bewustzijn dan kunnen creeeren (aangezien enkel waarschuwingen kennelijk niet volstaan).

off topic: voor iemand die over security publiceert zie ik weinig security ervaring of opleiding? Nu nog benieuwder naar de inhoud van die studie.
10-01-2014, 15:50 door Anoniem
Het is natuurlijk goed het veiligheidsbewustzijn van de consument op te krikken maar zouden de banken niet eerst aan hun eigen veiligheidsbewustzijn en verantwoordelijkheid werken?

Het is tot nu toe dramatisch gesteld met de meeste interntebankier sites en apps. Recent voorbeeld van gisteren, jammer dat er geen nederlandse banken getest zijn:

https://www.security.nl/posting/374676/Veel+lekken+in+mobiel+bankieren+apps+buitenlandse+banken

Heb zelf bij een bank gewerkt en het is van wat ik heb gezien nog slechter geregeld dan een gemiddelde webshop. Ook al geven ze er erg veel geld aan uit, door het conservatieve gedrag en vooral de enorm trage doorlooptijd en politieke spelletjes voor patches creeren ze een enorm risico.

Als de banken eerst hun sites en apps eens laten auditen door een onafhankelijke organisatie en nog veel belangrijker hier ook adequate maatregelen uit nemen; dan kunnen we het nog wel eens verder hebben over de verantwoordelijkheid voor de consument.

Is het misschien een idee om hetzelfde onderzoek eens bij mederwerkers van de banken te doen?
10-01-2014, 15:55 door Anoniem
De ING stuurt al je persoonsgevens gewoon zonder enige verificatie op, doe maar eens een opvraag persoonsgegevens zonder handtekening ;-)

Bovendien mailen ze ook rustig al je gegevens onbeveiligd rond.

Dit formulier bijvoorbeeld moet je alles invullen en die krijg je gewoon in je e-mail als bevestiging. Sowieso belachelijk om dit allemaal te vragen om een klacht in te dienen.
https://www.ing.nl/particulier/klantenservice/contact/u-heeft-een-vraag-of-klacht/u-heeft-een-vraag-of-klacht.aspx

Dien je klachten in verdwijnen die gewoon in de prullenbak.

Dus waar blijf ik dan met mijn veilig internetbankieren?
10-01-2014, 16:31 door Anoniem
Bewustwording van de klant is een ding, om vervolgens die klant zover op te voeden dat hij zijn IT-systeem op een goede manier beveiligd en weet wat hij doet als hij inetrnet bankiert, betekent op zijn minst een cultuur verandering aan de kan van zowel de bank als de klant.
De ervaring leert dat een cultuur verandering een lastig proces is om succesvol door te voeren en aan te laten slaan. Dit kost veel tijd, geld en inzet.
Terwijl het probleem nu speelt.

Daar komt bij dat de banken steeds meer alternatieven voor inetrnetbankieren (acceptgiro, betaalkaarten, loketten, inbelverbindingen) hebben afgeschaft of aan het afschaffen zijn.
Als de klant nog niet zo ver is (en blijkbaar geldt dit voor een (groot) deel van het klantenbestand in Nederland) dan is het niet verstandig van de banken om al hun klanten richting internetbankieren te dwingen door alternatieven onaantrekkelijk of onbereikbaar te maken.

Laat staan nieuwe extra onveiligheden zoals bv NFC betalen te willen invoeren, tewijl ze zouden moeten weten dat de klanten hier nog niet veilig mee om kunnen gaan.


Van oudsher waren banken conservatieve instellingen die terughoudend waren met het invoeren van nieuwe mogelijkheden totdat deze veilig en betrouwbaar waren, en de klant hier mee om kon gaan.
Tegenwoordig lopen de banken hierin voor op de gemiddelde klant. De omgekeerde wereld dus.
Maar hierdoor wordt wel meer onveiligheid in het betaalproces geintroduceerd dan nodig is.
Om dan vervolgens de verantwoordelijkheid bij de klant neer te leggen, voelt verkeerd aan.
10-01-2014, 16:45 door Paul van Dommelen - Bijgewerkt: 10-01-2014, 20:45
Door schele: Ik ben op je linkedin profiel gaan kijken en zie de publicatie staan maar ik kan niets downloaden?

De opmerking dat de standaard vergoeding door banken eerder tot een verslechterd bewustzijn heeft geleid vind ik wel een goede eigenlijk. En ben benieuwd of in het onderzoek ook iets concreet wordt gezegd over de wijze waarop banken dat bewustzijn dan kunnen creeeren (aangezien enkel waarschuwingen kennelijk niet volstaan).

off topic: voor iemand die over security publiceert zie ik weinig security ervaring of opleiding? Nu nog benieuwder naar de inhoud van die studie.

De publicatie op mijn profiel is te downloaden onder: "secure online banking, a quest towards joint responsibilities". Je moet dan trouwens wel even inloggen op je Linkedin account. Mocht dat niet lukken dan kan je me een e-mail sturen: paul.van.dommelen#capgemini.com. Ik zal je dan een reply sturen met het rapport.
10-01-2014, 17:05 door Anoniem
Leuk verhaal, maar... ben het niet met je premisse eens.

De "consument"[1] ook bekend als eindgebruiker is in dezen makkelijk aan te wijzen als de zwakste schakel. Maar hoewel felrealistisch, is dat toch de verkeerde inslag. Het veronderstelt namelijk dat als je maar genoeg kennis en kunde en gezonde achterdocht in de eindgebruiker giet dat dan alle of tenminste vele problemen zullen verdwijnen.

Er zijn een paar dingen mis met deze veronderstelling, en daarmee verdwijnt een zoniet het fundament onder de redenering.

Het eerste probleem is dat het felrealistisch wensdenken is. Want het komt er op neer dat je de eindgebruikter maar even tot professioneel paranoïde security expert kan opleiden. Ik laat even terzijde dat het kennisniveau in kompjoeterbeveiligingsindustrieland vooral bestaat uit "neem paars"[2] type oplossingen, want zelfs dat lage niveau is niet iets waar je gebruikers mee moet moet[3] lastigvallen.

Het idee namelijk is dat kompjoeters ons leven makkelijker maken. En dan kan het niet zo zijn, in de zin dat het contraproductief is als het wel zo is, dat je zo ongeveer meer moeite moet steken in het "veilig" houden van gatenkaassoftware dan al die automatisering opgelevert heeft. Het hele "we gebruiken kompjoeters, want dat is handig"-idee wordt daarmee een doel op zich. Niet de bedoeling. Maar wel de werkelijkheid.

Wil je serieus hier iets aan doen dan moet je hier iets aan doen. En simpelweg wat techniek inkopen en wat regeltjes stellen, zoals de banken tot nu toe gedaan hebben[4] is gewoon niet voldoende. De klacht die je wel aanstipt maar waar je vervolgens eigenlijk toch weer aan voorbijgaat blijft dan ook onveranderd:

Wat er nu gebeurt komt neer op afschuiven op de klant, die daar, zoals je aanstipt maar niet echt oppikt, niet de kennis, kunde, of zelfs maar geschikte gereedschappen voor heeft om daar goed mee om te kunnen gaan. Wat oneigenlijk is vanwege zowel precies dat afschuiven alsook omdat de klant de bank nou precies voor de dienst van het risico dragen betaalt.

Dit is een goede truuk en dat verketteren kan jij je wellicht niet permiteren, gezien je pakdragende achtergrond, maar het zorgt er wel voor dat het probleem nooit goed opgelost gaat worden. Je hebt namelijk geen middelen meer over om iets anders te doen dan dweilen met de kraan open. Veel drama, uiteindelijk weinig resultaat.

Dit moet dan dus ook anders. En het moet fundamenteel anders, tot op de kiel afbreken en weer opnieuw beginnen. Gewoon omdat de fundamenten niet deugen. Die van de inslag niet, die van de houding niet, die van de basiskennis niet, maar ook die van de techniek niet. En aangezien nogal veel opgehangen[5] is aan precies die techniek, kan je beter daar beginnen met een fundamentele omslag. Eerst het veld vormgeven, dan de fundamenten leggen, dan bouwen, en dan de rest meetrekken en omscholen.


Door schele: De opmerking dat de standaard vergoeding door banken eerder tot een verslechterd bewustzijn heeft geleid vind ik wel een goede eigenlijk.
Leuk idee maar ik zie het veeleer als zeuren over welke houtsoort eerder rot terwijl je toch echt op drijfzand aan het bouwen bent.

En ben benieuwd of in het onderzoek ook iets concreet wordt gezegd over de wijze waarop banken dat bewustzijn dan kunnen creeeren (aangezien enkel waarschuwingen kennelijk niet volstaan).
Net een onderzoekje geweest dat hier wat op te zeggen had: [6][7] Wat mij betreft veel meer windows-centric dan ze zelf toegeven, want dat is van alle systemen die ik tot nu toe gebruikt heb de allergrootste bron van nodeloze vaagheid en erstigklinkende verwarringzaaien.

Probeer maar eens, ik noem een dwarsstraat, uit te vinden wat een update doet in het update-installeren-kies-scherm, of wat welke dienst doet in het diensten-configuratie-ding onder... systeem in configuratie, meen ik. "Als je dit uitzet gaat er wellicht ooit eens iets mis!!" "JA WAT DAN! DAT IS JOUW JOB OM MIJ DAT TE VERTELLEN, STOM DING. DOE DAT DAN." -- Dat is "windowscultuur" en reden waarom ik daar al lang geleden weggegaan ben en nooit meer terug wil.

Er zijn systemen die doen dat veel beter. Nee, niet noodzakelijkerwijze "linux", er zijn betere. "linux", in casu freedesktop.org, is zelfs bezig meer de windowskant op te gaan(!), met voorspelbare gevolgen.

off topic: voor iemand die over security publiceert zie ik weinig security ervaring of opleiding? Nu nog benieuwder naar de inhoud van die studie.
"Nijenrode", oftewel middle management. Wellicht dat ze er zelfs lesgeven in klinken alsof je er bij hoort terwijl je er de ballen verstand van hebt, want dat kunnen middle managers extreem goed. En vaak genoeg gaat dat best goed, nuja, dat lijkt dan zo. Dat zegt dan weer wat over de diepgang van de gemiddelde werknemer, zeker in het grootbedrijf of in de overheid. Ja, ook in de kompjoeterbeveiligingsindustrie--daar heb je me vaak genoeg over kunnen lezen, al stond het er niet vanuit deze hoek beschenen. En hee, hij heeft er moeite voor genomen, een beetje opbouwende kritiek mag wel, niet?

[1] Met als enig recht: Consumeren.
[2] Referentie aan Koning van Katoren
[3] Expres dubbel, of dat nu grammaticaal kan of niet
[4] point in case, de conclusie alhier: https://www.security.nl/posting/367906/Geldautomaten-malware+vertaald+en+verbeterd#posting367916
[5] Onder andere de marketing die "geen kennis of training vereist, alles intuitief!" tot gouden standaard verheven heeft.
[6] http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2374379
[7] http://threatpost.com/using-psychology-to-create-a-better-malware-warning/103459
10-01-2014, 17:17 door Anoniem
Gelukkig is het slechts jouw mening. De meeste security collega's die ik ken vinden het de verantwoordelijkheid van de banken. De banken zijn immers begonnen met internetbankieren. Niet voor de klanten maar om zoveel mogelijk bankmedewerkers van het rode excel-sheet te kunnen poetsen. De banken hebben het probleem (wederom) veroorzaakt, de rekening moet dan ook daar komen te liggen.

Kword een beetje moe van dat ambtenarige gepolder van mensen. De oplossing zoeken in het probleem bij mensen neerleggen die er geen deel van waren.
Een bankmedewerker kan netjes om een paspoort vragen en kan dan ook nog controlleren of het gezicht enigszins overeenkomt. Wellicht ken de medewerker de klant zelfs. Die duffe ldap server aan de achterkant van de website van de bank ziet het verschil tussen een roemeen met een bivakmuts en een oud dametje van 70 niet.

Als je dat doortrekt ga je nog zeggen dat vrouwen geen rode jurken moeten dragen wanneer ze niet aangerand willen worden.
Nee, mannen moeten hun broek gewoon aanhouden en banken dito.
10-01-2014, 18:56 door Paul van Dommelen
Door Anoniem: Het is natuurlijk goed het veiligheidsbewustzijn van de consument op te krikken maar zouden de banken niet eerst aan hun eigen veiligheidsbewustzijn en verantwoordelijkheid werken?

Het is tot nu toe dramatisch gesteld met de meeste interntebankier sites en apps. Recent voorbeeld van gisteren, jammer dat er geen nederlandse banken getest zijn:

https://www.security.nl/posting/374676/Veel+lekken+in+mobiel+bankieren+apps+buitenlandse+banken

Heb zelf bij een bank gewerkt en het is van wat ik heb gezien nog slechter geregeld dan een gemiddelde webshop. Ook al geven ze er erg veel geld aan uit, door het conservatieve gedrag en vooral de enorm trage doorlooptijd en politieke spelletjes voor patches creeren ze een enorm risico.

Als de banken eerst hun sites en apps eens laten auditen door een onafhankelijke organisatie en nog veel belangrijker hier ook adequate maatregelen uit nemen; dan kunnen we het nog wel eens verder hebben over de verantwoordelijkheid voor de consument.

Is het misschien een idee om hetzelfde onderzoek eens bij mederwerkers van de banken te doen?

Je hebt 100% gelijk in je stelling dat banken ook hun eigen verantwoordelijkheid hebben, en dat deze verantwoordelijkheid eerst ingevuld moet worden. In mijn volgende artikelen over dit onderwerp ga ik daar uitgebreider op in!
10-01-2014, 18:59 door Paul van Dommelen - Bijgewerkt: 10-01-2014, 23:46
Door Anoniem: Bewustwording van de klant is een ding, om vervolgens die klant zover op te voeden dat hij zijn IT-systeem op een goede manier beveiligd en weet wat hij doet als hij inetrnet bankiert, betekent op zijn minst een cultuur verandering aan de kan van zowel de bank als de klant.
De ervaring leert dat een cultuur verandering een lastig proces is om succesvol door te voeren en aan te laten slaan. Dit kost veel tijd, geld en inzet.
Terwijl het probleem nu speelt.


Van oudsher waren banken conservatieve instellingen die terughoudend waren met het invoeren van nieuwe mogelijkheden totdat deze veilig en betrouwbaar waren, en de klant hier mee om kon gaan.
Tegenwoordig lopen de banken hierin voor op de gemiddelde klant. De omgekeerde wereld dus.
Maar hierdoor wordt wel meer onveiligheid in het betaalproces geintroduceerd dan nodig is.
Om dan vervolgens de verantwoordelijkheid bij de klant neer te leggen, voelt verkeerd aan.

Ik denk dat het een constante afweging is tussen gemak en veiligheid. Ik voel er ook niks voor om de gehele verantwoordelijkheid bij de klant neer te leggen. Desalniettemin denk ik niet dat dit wil zeggen dat we geen verantwoordelijkheid mogen verwachten. Het probleem zit hem in het verschil tussen verantwoordelijkheid en aansprakelijkheid. Ook op dat verschil kom ik in een volgend artikel terug.
10-01-2014, 20:30 door Ivanhoe
Door PvD:Mocht dat niet lukken dan kan je me een e-mail sturen: paul.van.dommelen@capgemini.com. Ik zal je dan een reply sturen met het rapport.
Paul verander je email-adres even, tenzij je spambelust bent en/of woorden met je systeembeheerder wilt.
paul.van.dommelen<apestaart>capgemini.com
10-01-2014, 20:45 door Paul van Dommelen - Bijgewerkt: 10-01-2014, 20:46
Door Ivanhoe:
Door PvD:Mocht dat niet lukken dan kan je me een e-mail sturen: paul.van.dommelen#capgemini.com. Ik zal je dan een reply sturen met het rapport.
Paul verander je email-adres even, tenzij je spambelust bent en/of woorden met je systeembeheerder wilt.
paul.van.dommelen<apestaart>capgemini.com

Dankjewel
10-01-2014, 22:24 door Anoniem
Ik ben het met eerdere mensen eens die stellen dat je weliswaar wel wat verantwoordelijkheden bij de klant kunt
neerleggen (een redelijk veilige setup), maar dat je helaas als klant niet deze eisen bij de bank kunt stellen.
Dat is een slechte zaak. De bank vertelt mij wat ik allemaal wel en niet moet doen uit naam van de veiligheid,
maar zelf nemen ze vele beslissingen waarbij kosten of gebruiksgemak voor zijn gegaan op veiligheid, en dan
heb je als klant geen andere opt-out dan je hele rekening opzeggen.

Voor dat de bank mij eisen stelt aan mijn systeem alvorens ik mag rekenen op vergoeding bij veiligheidsproblemen,
vind ik dat de bank in moet gaan op mijn eisen (die ik al veel eerder gesteld hebt) mbt het kunnen configureren van
instellingen van mijn rekening die met de veiligheid te maken hebben, en het kunnen weigeren van nieuwerwetse
mogelijkheden die de boel onveiliger maken en waar ik helemaal niet om gevraagd heb.
10-01-2014, 23:31 door Paul van Dommelen - Bijgewerkt: 10-01-2014, 23:44
Door Anoniem: Gelukkig is het slechts jouw mening. De meeste security collega's die ik ken vinden het de verantwoordelijkheid van de banken. De banken zijn immers begonnen met internetbankieren. Niet voor de klanten maar om zoveel mogelijk bankmedewerkers van het rode excel-sheet te kunnen poetsen. De banken hebben het probleem (wederom) veroorzaakt, de rekening moet dan ook daar komen te liggen.

Als je dat doortrekt ga je nog zeggen dat vrouwen geen rode jurken moeten dragen wanneer ze niet aangerand willen worden.
Nee, mannen moeten hun broek gewoon aanhouden en banken dito.

Ik ben het met je eens dat de banken hier een grote verantwoordelijkheid hebben. Dat sluit naar mijn mening echter niet uit dat de klant maar ook partijen zoals de overheid een verantwoordelijkheid hebben. Het gaat hier om de online veiligheid en weerbaarheid van de nederlandse burger. Dat gaat iedereen aan, ook de klant. Naar mijn mening zullen alle partijen hun uiterste best moeten doen om hun online veiligheid te verhogen. De grote vraag is echter wat we van klanten kunnen verwachten. En nee: banken kunnen niet van klanten verwachten wat ze vandaag de dag in hun algemene voorwaarden verwachten. Dat gaat de pet van de meeste klanten te boven. Het is dus zaak om te zoeken naar een verantwoordelijkheid die de klant wel kan dragen. En let wel: verantwoordelijkheid betekend naar mijn mening niet automatisch aansprakelijkheid.

De vergelijking over de vrouw met de rode jurk gaat voor mij veel te ver off topic, dat ligt in ieder geval niet in het verlengde van mijn standpunt.
10-01-2014, 23:35 door Paul van Dommelen - Bijgewerkt: 10-01-2014, 23:44
Door Anoniem: Leuk verhaal, maar... ben het niet met je premisse eens.

Wat er nu gebeurt komt neer op afschuiven op de klant, die daar, zoals je aanstipt maar niet echt oppikt, niet de kennis, kunde, of zelfs maar geschikte gereedschappen voor heeft om daar goed mee om te kunnen gaan. Wat oneigenlijk is vanwege zowel precies dat afschuiven alsook omdat de klant de bank nou precies voor de dienst van het risico dragen betaalt.

Je stelt terecht dat klanten niet de kennis en de kunde hebben om zich te houden aan de regels uit de algemene voorwaarden. In mijn onderzoek heb ik dit meegenomen en ik zal in één van de volgende artikelen uitgebreid op dit punt terug komen. Ik kon helaas niet alle informatie in het eerste artikel plaatsen.
11-01-2014, 01:53 door Anoniem
Door PvD: Ik kon helaas niet alle informatie in het eerste artikel plaatsen.
Als dit de abstract is van het geheel, dan gaan we dus zien of je het practische maar ook morele probleem van klanten opzadelen met risico terwijl iedereen weet dat ze daar niet de gereedschappen voor hebben, laat staan kunnen hanteren, om dat op zich te nemen, op een degelijker manier weet te behandelen dan je hier voorspiegelt te gaan doen.
11-01-2014, 05:55 door Anoniem - Bijgewerkt: 11-01-2014, 10:02
Door Anoniem: En het moet fundamenteel anders, tot op de kiel afbreken en weer opnieuw beginnen. Gewoon omdat de fundamenten niet deugen. Die van de inslag niet, die van de houding niet, die van de basiskennis niet, maar ook die van de techniek niet.

Klopt. Als ik over beveiligingsproblemen lees, dan ga ik ook meedenken in de richting van veilige verbindingen, encryptie enz. Maar de problemen zijn in feite veel en veel groter. Als men al kan voldoen aan de veiligheidsregels van internetgebruik en internetbankieren, dan komen nog ergere problemen naar voren. Onder meer het feit dat het archiveren van digitale informatie voor de meesten een onmogelijke opgave is. Evenals alle digitale informatie printen en omzetten in een papieren archief. Dit probleem treft alles, niet alleen internetbankieren, maar ook alle andere handelingen die men moet doen (verzekeringen, belasting, contracten, handleidingen en gebruiksaanwijzingen, noem maar op). Een papieren archief blijft in principe meerdere mensenlevens goed, een digitaal archief nog geen tiende mensenleven.

Ik vul alleen maar aan dat de fundamenten zoals gezegd inderdaad niet deugen, maar op het totale vlak, en niet alleen w.b. internetbankieren.
11-01-2014, 05:59 door Anoniem
De vergelijking over de vrouw met de rode jurk gaat voor mij veel te ver off topic, dat ligt in ieder geval niet in het verlengde van mijn standpunt.
Vreemd, want dit is nu eigenlijk precies waar het om gaat.
11-01-2014, 11:35 door Paul van Dommelen - Bijgewerkt: 11-01-2014, 11:37

Als dit de abstract is van het geheel, dan gaan we dus zien of je het practische maar ook morele probleem van klanten opzadelen met risico terwijl iedereen weet dat ze daar niet de gereedschappen voor hebben, laat staan kunnen hanteren, om dat op zich te nemen, op een degelijker manier weet te behandelen dan je hier voorspiegelt te gaan doen.

Dit neem ik zeker mee. Eén van de conclusies van het onderzoek is dat klanten op dit moment overvraagt worden in hun kennis en kunde. Recentelijk publiceerde ik daar ook over in het FD, zie:
http://www.slideshare.net/PaulvanDommelen/fd-opinie-paul-van-dommelen-29904406?utm_source=slideshow03&utm_medium=ssemail&utm_campaign=iupload_share_slideshow
11-01-2014, 11:36 door Paul van Dommelen
Ik begrijp dat het voor 3rd degree LinkedIn contacten niet mogelijk is om mijn rapport te downloaden. Het rapport is nu ook beschikbaar via deze link:
http://www.slideshare.net/PaulvanDommelen/secure-online-banking-a-quest-towards-joint-responsibilities-29904433?utm_source=slideshow03&utm_medium=ssemail&utm_campaign=iupload_share_slideshow
11-01-2014, 14:40 door Spiff has left the building
@ Ivanhoe,
Door Ivanhoe, vr.10-1, 20:30 uur, https://www.security.nl/posting/374759#posting374824:
Paul verander je email-adres even, tenzij je spambelust bent en/of woorden met je systeembeheerder wilt. [...]
Paul heeft dat inmiddels gedaan,
maar jij hebt in die reactie een citaat gebruikt met daarin Pauls e-mail adres inclusief de @ en dat laten staan.
Verander dat dan eveneens ook even, alsjeblieft, Ivanhoe.
Alvast bedankt :-)
11-01-2014, 17:10 door john west
Om de veiligheid te blijven vergroten hebben we niet alleen de juiste vragen, maar ook de juiste antwoorden nodig.
Ra,ra wat bedoel je ?

Als de banken net zo uit hun nek kletsen vrees ik grote problemen.
Hoe deskundiger de deskundige is ,hoe onbegrijpelijker ze worden.
Wat hij verteld voorbeeld: banken mogen een zekere mate van verantwoordelijkheid van hun klanten verwachten,
wat mogen de klanten verwachten ?
Een veilig apart systeem om in te loggen, fraude en malware /virus ongevoelig.
Zodat het risico klant altijd nihil is.

Hoe kunnen banken en klanten op een verantwoorde wijze zorgen voor veilig online bankieren?

Dat kunnen ze vroegere niet en nu nog steeds niet,het is zelfs door alle nieuwe ontwikkelingen nog riskanter geworden.
Deze criminelen vinden steeds nieuwe trucs.
12-01-2014, 09:26 door Anoniem
Eh... De banken wilden ons toch allemaal aan het internetbankieren? Het was zo veilig...
Het was toen al niet veilig en inmiddels zijn de banken daar ook achter. En zoals een goed manager betaamt, het probleem (en de rommel) snel bij een ander (bij voorkeur de klant) neerleggen.

Het had PvD gesierd als hij ook eens gekeken had waarom velen internetbankieren...
12-01-2014, 10:54 door Anoniem
Wanneer de klant (in veel gevallen) de zwakste schakel is, laat deze schakel dan niet verantwoordelijk zijn voor de beveiliging.

Banken zijn door de grote kennis over hun klanten uitstekend in staat om per klant te beoordelen welke betalingen een hoog frauderisico hebben en welke betalingen veilig uitgevoerd kunnen worden. Klanten hebben deze informatie niet maar zouden er ook niks mee kunnen. De klant kan dus per definitie niet eindverantwoordelijk zijn voor de beveiliging van internetbankieren, de klant heeft hier namelijk nauwelijks invloed op. Of mogen klanten tegenwoordig bepalen welke softwareleveranciers de beveiliging bij een bank gaan doen?

Wanneer banken met duizenden it-medewerkers al moeite hebben om de pc's vrij te houden van virussen, hoe moet een simpele eindgebruiker dat dan doen?

Een klant is sinds het sluiten van zijn lokale bankkantoren al lang blij dat hij eens een "bankmedewerker" spreekt die hem wil helpen met een probleem! Alleen jammer dat het dan achteraf phishing blijkt te zijn...

De klant verantwoordelijk maken? Gekkenwerk!
12-01-2014, 11:06 door Anoniem
Het idee is wellicht al vaker geopperd, maar waarom kun je niet een SMS om e-mail ontvangen met daarin een melding hoeveel geld er is overgemaakt en waar naar toe. Daarnaast dan de optie om bijvoorbeeld binnen 3 uur de overboeking te annuleren (bij spoed zou je dan een vinkje moeten weghalen of extra code genereren via SMS/Mail met expliciete melding). Daarnaast zou je een mogelijkheid moeten hebben om transacties naar het buitenland te blokkeren of landen specifiek te unblocken, zoals je nu eigenlijk al met je bankpas kan. Zou het nou echt zo moeilijk zijn om een extra beveiligingslaag toe te passen?

Ik vind ook dat als de bank verwacht dat je PC up-to-date is dat je dan een plugin zou moeten installeren die dat checkt voordat je gaat internet bankieren. Nu is de regelgeving te vaag en verschuilt de bank zich te vaak achter hun schimmige regels terwijl zij vaak geen alternatief meer bieden.
12-01-2014, 12:13 door Anoniem
ABN AMRO blijft ook op hun vernieuwde website weer klantgegevens doorsturen naar Adobe middels de Omniture en Adobe Test & .... tracking. Ik mag geen gegevens delen met derden maar de banken mogen dat kennelijk wel, ook zonder mijn expliciete toestemming.
12-01-2014, 12:37 door Paul van Dommelen
Door Anoniem: Eh... De banken wilden ons toch allemaal aan het internetbankieren? Het was zo veilig...
Het was toen al niet veilig en inmiddels zijn de banken daar ook achter. En zoals een goed manager betaamt, het probleem (en de rommel) snel bij een ander (bij voorkeur de klant) neerleggen.

Het had PvD gesierd als hij ook eens gekeken had waarom velen internetbankieren...

Ik nodig je van harte uit om het volgend artikel in deze serie te lezen (security.nl zal het in de loop van deze week plaatsen).
12-01-2014, 16:09 door StormyWeather41
Vele ware woorden. Zelf ben goed thuis in computergebruik. En als ik eerlijk ben, op een windows pc behoud ik een flinke dosis wantrouwen voor wat internetbankieren aangaat. Ik heb zelf zoveel voorbij zien komen aan trojans, ransomware, virussen dat ik deze risico's voor mij niet durf uit te sluiten en dan heb ik het over gevallen dat je een 'kwaje' kunt identificeren. Zeker zo vaak is er 'iets' met de pc en dan toch maar voor de zekerheid een recovery die dus dan ook niet in alle gevallen echt lukt!

Misschien is mijn gebrekkige kennis debet aan mijn visie, maar als ik het een beetje goed zie, moet het ergste nog komen!
12-01-2014, 23:20 door bollie - Bijgewerkt: 12-01-2014, 23:22
Je kunt risico's alleen neerleggen bij gebruikers als deze ook in staat zijn deze te hanteren. Dus door alle categorieën gebruikers! Dus zowel de hoogopgeleiden als de laag opgeleiden en de ouderen als de jongeren.
Dat een hoogopgeleide 30-er waarschijnlijk nog redelijk in staat zal zijn deze hordes te nemen snapt iedereen. En ik vrees dat de hele discussie gevoerd wordt met in het achterhoofd een goed opgeleide, nuchter denkende en kritische burger met technisch inzicht.

Maar hoe zit het met een 80-jarige die, omdat de bank in Tietjerkstradeel gesloten is, moet internetbankieren? Deze categorie mensen heeft geen keuze en de kans dat zij de kennis en inzicht zullen verwerven om redelijk verantwoord inschattingen te kunnen maken van risico's acht ik als hoogst onwaarschijnlijk. Dit is de kern van het probleem: om werkelijk verantwoord met het internet-betaal-speeltje van de banken te kunnen werken moet je veel meer kennis van IT, scepsis en gezond verstand hebben dan redelijkerwijs verwacht mag worden. Dit toont feitelijk het falen van het hele systeem aan.
13-01-2014, 11:02 door Anoniem
"Het eerste probleem is dat het felrealistisch wensdenken is. Want het komt er op neer dat je de eindgebruikter maar even tot professioneel paranoïde security expert kan opleiden."

Moet je een 'professioneel paranoide security expert' zijn om te zorgen dat je een antivirus pakket hebt dat netjes wordt bijgewerkt, en om te zorgen dat je security updates van windows worden geinstalleerd ? Het zijn vrij basale zaken waarom wordt gevraagd, en je hoeft hiervoor geen security expert te zijn.

Wat goed zou zijn is een technische check bij het aanloggen op internetbankieren, waarbij men aangeeft of de computer afdoende beveiligd is en/of gebruik van internet bankieren blokkeert indien de beveiliging niet op orde is. Waarbij de laatste opties wellicht lastig is, doordat mogelijk niet ieder OS en iedere virusscanner juist wordt gedetecteerd.

Voorkomen is immers beter dan genezen, en zo kan de bank de klant pro-actief helpen bij deze security issues.
13-01-2014, 11:05 door Anoniem
"Maar hoe zit het met een 80-jarige die, omdat de bank in Tietjerkstradeel gesloten is, moet internetbankieren? Deze categorie mensen heeft geen keuze en de kans dat zij de kennis en inzicht zullen verwerven om redelijk verantwoord inschattingen te kunnen maken van risico's acht ik als hoogst onwaarschijnlijk"

Dat mag zo zijn, maar mensen kunnen ook hulp van anderen inroepen. De PC van mijn opa en oma heeft ook de gevraagde beveiligingsmaatregelen, ook al snappen zij zelf niet hoe ze dit moeten instellen. Misschien zou meer instructiemateriaal of een applicatie om het beveiligingsniveau te testen om klanten op weg te helpen wel nuttig zijn.
13-01-2014, 11:50 door Anoniem
Door bollie: ... een goed opgeleide, nuchter denkende en kritische burger met technisch inzicht ... een 80-jarige

Altijd maar weer dezelfde extreme polarisaties die de werkelijkheid verdoezelen. De problemen zitten toch echt in het enorme grijze gebied hiertussen waar elk individu zijn/haar hoogst individuele grenzen en beperkingen heeft resp. trekt.
13-01-2014, 15:26 door hanspaint
Internet is openbaar voor iedereen dus helaas pindakaas ook voor criminelen, schurken, viezerikken, ongepaste grappenmakers en nog veel meer en al dat gespuis kan heel erg dom zijn maar ook heel erg slim het is net als de straat nooit 100% veilig. Veiligheid is je eigen verantwoordelijkheid hetgeen banken niet ontslaat van hun verantwoordelijkheid om je daarbij zoveel mogelijk te helpen.
Als je om welke reden dan ook internet bankieren te onveilig vindt moet je het niet doen. Ik ben wel van mening dat de "ouderwetse" manier van bankieren ook niet voor 100% veilig is maar dat moet iedereen voor zichzelf bepalen.
Je bent zelf verantwoordelijk niet iemand anders.

Om verantwoord om te gaan met IT en internet hoef je geen specialist te zijn maar enige kennis van zaken moet je wel hebben en daar ligt eigenlijk de basis van het probleem.
13-01-2014, 15:30 door hanspaint
Door Anoniem: ABN AMRO blijft ook op hun vernieuwde website weer klantgegevens doorsturen naar Adobe middels de Omniture en Adobe Test & .... tracking. Ik mag geen gegevens delen met derden maar de banken mogen dat kennelijk wel, ook zonder mijn expliciete toestemming.

Dat is zo maar dat kun je vrij eenvoudig voorkomen met een plug in bv Don't Track Me in Safari.
13-01-2014, 16:20 door Anoniem
Net zoals een blokkade op automatische incasso's of op buitenlands pinnen.
Graag ook een blokkade op niet alledaags gebruik.

Dus elke maand naar Eneco 100 euro overmaken is oké.

Maar naar Mr.X. 1.000.000 overmaken zou standaard moeten zijn geblokkeerd.
Of via een sms bevestiging moeten kunnen.

Geef de klant meer vrijheid om zijn internetbankieren te kunnen blokkeren.
B.v. alleen overmaken naar mensen/instellingen uit het adresboek en de rest standaard geblokkeerd.
Wil je dit veranderen dan kan je in het bankgebouw zelf doen (trusted internet).
13-01-2014, 17:07 door Paul van Dommelen - Bijgewerkt: 13-01-2014, 17:09
Door Anoniem: Net zoals een blokkade op automatische incasso's of op buitenlands pinnen.
Graag ook een blokkade op niet alledaags gebruik.

Dus elke maand naar Eneco 100 euro overmaken is oké.

Maar naar Mr.X. 1.000.000 overmaken zou standaard moeten zijn geblokkeerd.
Of via een sms bevestiging moeten kunnen.

Ik ben het geheel met je eens (en andere reacties met deze strekking). Op weg naar maatwerk voor onder andere functionaliteit, gebaseerd op het risico profiel van de klant, de personal computer, de transactie etc. Dit komt aan bod in de reeks van artikelen. Zie daarnaast ook: http://www.slideshare.net/PaulvanDommelen/fd-opinie-paul-van-dommelen-29904406?utm_source=slideshow03&utm_medium=ssemail&utm_campaign=iupload_share_slideshow
14-01-2014, 08:26 door Anoniem
"Als je niet weet hoe je wordt aangevallen kun je je niet verdedigen". Kortom, als je niet snapt hoe een botnet infectie tot stand komt of hoe malware werkt dan heeft het ook geen zin om je daar tegen te willen verdedigen. Zelfs veel zogenaamde security experts (jaja, vooral die papieren security experts (CISSP ed.) snappen veelal niet hoe malware/botnets werken dus wat verwacht je in godsnaam van de 'gewone' klant?

Fraude met geld is van alle tijden, ging het voorheen om het vissen van betaalkaarten uit brievenbussen, tegenwoordig doen criminelen dat digitaal via e-mail. Je kunt klanten best bewust maken van de gevaren op het internet maar hebben ze daarmee ook direct een verantwoordelijkheid?
Kortom, de banken bieden een systeem aan dat heel erg kwetsbaar is en daarbij is het geen goed uitgangspunt om de klant bij de beveiliging ervan te betrekken of er zelfs onderdeel van uit te laten maken. De klant mag geen last hebben van hoe een applicatie beveiligd is, dat moet transparant zijn. Zolang de klant zijn of haar gegevens vertrouwelijk houdt, wat al een opgave op zich is, dan zijn de banken verantwoordelijk voor de rest.
Technisch is het allemaal niet zo heel erg ingewikkeld maar daar zijn natuurlijk wel veel kosten aan gebonden en dat is juist hetgeen banken willen uitsparen. Daarom is het ook zo gemakkelijk om de klant medeverantwoordelijk te maken voor de beveiliging van al die crappy bank applicaties.
14-01-2014, 13:33 door Tubamaniak
Zoals ik in een ander artikel over dit soort materie al heb aangegeven :
banken hebben de klanten naar internetbankieren geduwd om maar één reden.
En dat is winstmaximalisatie.
Bankmanagers dachten door internetbankieren minder personeel nodig te hebben aan de balies.
Sterker, al het baliepersoneel is zo ongeveer ontslagen, lokale bankkantoren zijn grotendeels gesloten.
Die trend is begonnen met de "flappentap". Door de flappentap waren er véél minder kassiers nodig. Dat ging mooi.
Nóg meer bezuinigen op personeels- en huisvestingskosten werd mogelijk door de klanten massaal naar de méér renderende, zogenaamd veilige, internetbankrekening te duwen.

Nu blijkt internet niet veilig. Wat ICT volk en de bank allang wisten, maar het grote publiek nog niet.
Er vindt criminaliteit plaats op internet en de burgers/internetbankierders worden hierdoor geraakt en gedupeerd.
De bank moet daarom een stap terug doen.
Dat kan op twee manieren :
1.) stoppen met internetbankieren en terugkeren naar fysiek bankieren
2.) een veilige manier ontwikkelen voor " betalen op afstand ", als alternatief voor internetbankieren.

Optie 2 zegt bewust niets over te gebruiken technieken, platformen en beveiliging.
En wel omdat daar met heldere geest over moet worden nagedacht. Niet gehinderd door " wat er nu al is ".

Ik daag de banken bij dezen uit om weer respectvol om te gaan met klanten en een veilige, klantvriendelijke manier te ontwikkelen voor het overmaken van geld door klanten aan derden.

En wat ik steeds mis : het kost de banken zoveel geld......
Daar ben ik het niet mee eens ! Klanten betalen linksom en rechtsom de rekeningen ! Niet de banken zelf.
Als we dan toch zelf moeten betalen, waarom bepalen we dan niet ?
14-01-2014, 14:59 door Anoniem
Ik vind wel dat er door sommigen wel erg 'spastisch' wordt gedaan over het leggen van verantwoordelijkheid bij klanten. Ook 'vroeger' werd er al op gewezen dat je je boekje met overschrijfformulieren niet overal moest laten slingeren. En ook met betaalkaarten werd gesteld dat je moest oppassen dat ze niet gestolen werden en als dat gebeurde, dat je meteen de bank moest waarschuwen.

Vergelijkbare maatregelen en dus wat mij betreft ook vergelijkbare verantwoordelijkheden met nu.

Natuurlijk gaat de techniek snel en hebben velen in deze maatschappij moeite om dit bij te houden, en dus ook meer moeite dan anderen met het zorgen voor een veilige computer/device waarop men internetbankiert. Dat ontslaat je echter niet van de verantwoordelijkheid om dat wel na te streven! Dus om hulp in te roepen of door een cursus te volgen, en door afdoende maatregelen op je computer/device te treffen.

Daarentegen ligt er natuurlijk ook bij de banken een verantwoordelijkheid om mensen daarbij te helpen. En natuurlijk ook voor het zorgdragen dat er een systeem wordt aangeboden wat zoveel mogelijk beveiligingsverantwoordelijkheid bij de banken legt, aangezien zij de schaal en expertise hebben om een zo veilig mogelijk systeem te ontwerpen en implementeren.

Maar de klant heeft mijns inziens dus zeker ook een duidelijke verantwoordelijkheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.