image

Aanbevelingen aan bank en overheid voor veilig online bankieren

vrijdag 21 februari 2014, 11:22 door Paul van Dommelen, 32 reacties

De afgelopen weken heb ik in een aantal artikelen op Security.NL het thema gedeelde verantwoordelijkheid voor veilig online bankieren belicht. Uit de verschillende reacties blijkt dat dit een controversieel onderwerp is, zeker als het gaat om de eventuele verantwoordelijkheid van de klant. Gezien de ontwikkelingen in het beleid van banken en uitspraken van klachteninstituten (KiFid) en rechters in de afgelopen jaren, is dat ook begrijpelijk. De laatste jaren zijn klanten geconfronteerd met banken die eenzijdig de regels voor de klant in haar algemene voorwaarden aanscherpen. Dit zonder duidelijkheid te verschaffen over haar eigen verantwoordelijkheid en zonder te toetsen of de klant de regels ook uit kan voeren. En als klap op de vuurpijl heeft dit de afgelopen twee jaar in enkele gevallen ook nog geleid tot aansprakelijkheid voor de klant. Een gang naar het KiFid heeft voor deze klanten ook geen nut gehad, het KiFid neemt de voorwaarden van de banken (in mijn ogen onterecht) klakkeloos over. Zoals ik eerder schreef is het zomaar “afschuiven” van risico’s en aansprakelijkheid een verkeerd beleid geweest, dit moet dus anders. In de reacties ben ik gevraagd om een puntsgewijze opsomming te geven van mijn belangrijkste aanbevelingen.

Allereerst dient de zorgplicht van de bank voor het voorkomen van fraude op online bankieren wettelijk vastgelegd te worden. Eerder schreef ik al dat de online payment recommendations van de ECB een goede eerste voorzet voor de wettelijke zorgplicht zijn. Hier vallen bijvoorbeeld technische maatregelen voor preventie en detectie in. Ik wil graag de experts op Security.NL oproepen om deze aanbevelingen verder aan te vullen. Daarbij dient niet alleen gedacht te worden aan preventie en detectie door de bank maar ook aan voorlichting en het beschikbaar stellen van preventie en detectiemiddelen aan de klant. De DNB zal vervolgens moeten vaststellen of de bank zich daadwerkelijk houd aan de wettelijke maatregelen. Iedere vorm van non-compliance van de bank zal er automatisch voor moeten zorgen dat iedere klant (zowel particulier als zakelijk) altijd schade als gevolg van fraude vergoed krijgt.

Ten tweede dienen banken wettelijk verplicht te worden dat de verplichte veiligheidsmaatregelen voor de klant ook daadwerkelijk uitvoerbaar zijn. Dit kan door alleen realistische maatregelen te verlangen, maatwerk te bieden en door klanten te helpen. De bank dient dus vooraf duidelijk te maken wat grof nalatig gedrag is en dient dit af te stemmen op de daadwerkelijke kennis en kunde van de individuele klant. Dat wil dus zeggen dat in geval van een eventuele klant aansprakelijkheid, de bank (bij de rechter) aan moet tonen dat klant in staat was om de verplichte maatregelen uit te voeren, en niet andersom! Hierdoor worden banken verplicht om maatwerk toe te passen in verwachte maatregelen (aangesloten op de kennis en de kunde van de klant) of om in zijn geheel te stoppen met het opleggen van verplichte maatregelen. De wettelijke bewijslast en het probleem komen hierdoor volledig bij de bank te liggen en niet zoals nu bij de klant. Mochten banken naast deze verplichte maatregelen nog aanbevelingen aan de klant willen doen voor veilig gedrag, dan staat dat hun vrij. Het niet naleven van deze aanbevelingen betekent echter niet dat de klant aansprakelijk is voor de schade.

Ten derde dienen banken maatwerk op online bankieren aan te bieden. Allereerst zouden banken alleen functionaliteit aan moeten bieden die past bij het risicoprofiel en de behoefte van de klant. Daarnaast zouden klanten ook in staat moeten worden gesteld om op een eenvoudige manier de functionaliteit van online bankieren naar behoefte aan te passen. Maatwerk op online bankieren in plaats van standaardisatie.

Tot slot dienen banken samen met de overheid het kennis en bewustzijnsniveau van de klant / burger over de dreiging van online fraude te verhogen. Campagnes en voorlichtingsmateriaal moeten duidelijker uitleggen wat de dreiging is en voorbeelden van werkwijzen van criminelen bevatten. Banken dienen hun klanten hulpmiddelen aan te reiken om zicht te wapenen.

Pas als al deze zaken geregeld zijn, kan er worden nagedacht over verantwoordelijkheid van de klant. Ook na de commentaren op Security.NL ben ik nog altijd van mening dat we van klanten mogen verwachten dat ze zich naar eigen vermogen zo verantwoordelijk mogelijk gedragen. De klant heeft daar immers ook belang bij. Want zelfs als de schade vergoed wordt door de bank is er nog steeds impact voor de klant, denk aan privacy of het wachten op de schadeloosstelling. Voorkomen van fraude is dus ook in het belang van de klant.

Nogmaals wil ik benadrukken dat het begrip verantwoordelijkheid niet automatisch aansprakelijkheid betekent. Verantwoordelijkheid en aansprakelijkheid zijn echt twee verschillende zaken. Aansprakelijkheid is slechts een eventueel gevolg van verantwoordelijkheid. Het streven naar verantwoordelijk gedrag houdt dus niet automatisch in dat de rekening in het geval van schade ook doorschuift. Pas als alle elementen van klant verantwoordelijkheid ingevuld zijn en aan de hierboven beschreven voorwaarden voldaan is, kan het eventueel zo zijn dat een klant aansprakelijk gesteld wordt voor de schade. De bank is de partij op wie de bewijslast rust, de bank moet aantonen dat inderdaad aan alle voorwaarden voldaan is en dat de klant inderdaad grof nalatig gehandeld heeft.

Zoals minister Dijsselbloem reeds aangaf, heeft de rechter dan het laatste woord. Die uitspraak heeft echter wel tot gevolg dat de rechter zijn kennisniveau over online criminaliteit moet verhogen. Een rechter kan immers enkel en alleen een gefundeerde uitspraak doen als hij de situatie ook volledig begrijpt. De rechter zal vervolgens moeten toetsen of de bank zich aan bovenstaande voorwaarden gehouden heeft en of de klant inderdaad grof nalatig gehandeld heeft.

En als laatste noot: laten we niet vergeten dat de aansprakelijkheid voor fraude allereerst bij de fraudeur dient te liggen. Net als de klant, is ook de bank een slachtoffer als het gaat om online fraude. Laten we banken in de publieke opinie dan ook niet behandelen als de veroorzaker maar als een partij die het probleem mede kan beperken en daar een zeer belangrijke rol in dient te spelen.

Paul van Dommelen is Managing Consultant Financial Services bij Capgemini. Ter afronding van zijn Executive MBA aan de Nyenrode Business Universiteit publiceerde hij in november zijn master thesis over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren.

Reacties (32)
21-02-2014, 11:36 door Anoniem
Ik zou meer denken aan een virtual desktop omgeving bij de bank.
Dat is de enige manier waarom je kunt controlleren en enforcen.

"hee mevrouw X, u logt in vanaf een ander IP adres, geef aub de code op die u via SMS ontvangen heeft."
21-02-2014, 11:42 door Anoniem
Waarom maken die banken niet gezamelijk een leuck (Bootable) CD-tje met een dedicated application?!
Heel de discussie 'opgelost' !
21-02-2014, 12:17 door Anoniem
Goede punten. Ik ben het grotendeels eens. Lijkt me een goede aanpak van dit soort issues.

V.w.b. je laatste opmerking, dat banken niet de veroorzaker zijn, denk ik dat er een iets genuanceerdere opmerking op z'n plaats in.
In engere zin heb je natuurlijk gelijk. De bank fraudeert zelf natuurlijk niet. Maar de bank zou zich bewust moeten zijn dat het internet-kanaal grotere risico's met zich meebrengt dan andere kanalen (bijv. het bankkantoor). Toch kiest de bank om zich vooral op het risico-volle internet kanaal te richten (kosten, gebruiksgemak voor klant, etc.). Die keuze betekent dus impliciet ook het veroorzaken van meer risico's op fraude. Dat is trouwens ook de reden, waarom ik het met de rest van je aanpak eens bent, en dat de bank bijv. de bewijslast zou moeten dragen, en voor voldoende risico-beperkende maatregelen zou moeten zorgen.

Daarnaast zou ik dit soort aanpak ook niet tot banken willen beperken en zelfs niet alléén tot het internet kanaal. Ook voor andere types bedrijven (on-line winkels, etc.) en andere kanalen (telefonie, etc.) lijkt me dit een gezonde aanpak om tot regels m.b.t. verantwoordelijkheid en aansprakelijkheid te komen.
21-02-2014, 12:27 door WhizzMan
Banken hebben securityprofessionals in dienst. Die kunnen prima bepalen wat de risico's zijn. Je kan van een gebruiker nooit verwachten dat hij/zij ook maar enigszins op het niveau van deze mensen gaat komen. Je hebt daarom als bank een altijd zorgplicht.

Banken kiezen er op dit moment voor om veel risico's te nemen zodat gebruikers "gemakkelijk" met geld kunnen werken zonder dat er menselijke interactie bij de bank noodzakelijk is. Zolang die risico's door de bank integraal genomen worden en de kosten daarvoor worden verdeeld over de aandeelhouders en rekeninghouders, is er een economische grond voor het nemen van die risico's. Zodra je die als bank bij de gebruiker wilt neerleggen, zit je volgens mij fout.

Je kan geen bankproduct meer afnemen waarbij je fatsoenlijk kan bankieren zonder computer of pinpas. Kantoren zijn nooit open, geld opnemen zonder pasje is al helemaal een uitzondering en je krijgt allerlei "gemakkelijke" produkten "gratis" bij je rekening waarmee je de veiligheid van jouw geld in gevaar brengt. Banken kiezen hier bewust voor, want het is goedkoper voor ze, ondanks de risico's.

Ik heb maar een aanbeveling, haal de kosten van dit soort dingen eens van de bonussen van de bankdirectie en medewerkers af. Dan zal je zien dat ze ineens met hele slimme oplossingen komen die een stuk veiliger zijn dan wat er nu wordt geleverd. Gaten gevonden met een penetration test? Dan betaalt de directie uit eigen zak de test en het oplossen van de gaten. Geld gestolen via internetbankieren? Dan verkoopt de directeur toch gewoon z'n boot?
21-02-2014, 12:36 door Anoniem
Door WhizzMan: Banken hebben securityprofessionals in dienst. Die kunnen prima bepalen wat de risico's zijn. Je kan van een gebruiker nooit verwachten dat hij/zij ook maar enigszins op het niveau van deze mensen gaat komen. Je hebt daarom als bank een altijd zorgplicht.

Banken kiezen er op dit moment voor om veel risico's te nemen zodat gebruikers "gemakkelijk" met geld kunnen werken zonder dat er menselijke interactie bij de bank noodzakelijk is. Zolang die risico's door de bank integraal genomen worden en de kosten daarvoor worden verdeeld over de aandeelhouders en rekeninghouders, is er een economische grond voor het nemen van die risico's. Zodra je die als bank bij de gebruiker wilt neerleggen, zit je volgens mij fout.

Je kan geen bankproduct meer afnemen waarbij je fatsoenlijk kan bankieren zonder computer of pinpas. Kantoren zijn nooit open, geld opnemen zonder pasje is al helemaal een uitzondering en je krijgt allerlei "gemakkelijke" produkten "gratis" bij je rekening waarmee je de veiligheid van jouw geld in gevaar brengt. Banken kiezen hier bewust voor, want het is goedkoper voor ze, ondanks de risico's.

Ik heb maar een aanbeveling, haal de kosten van dit soort dingen eens van de bonussen van de bankdirectie en medewerkers af. Dan zal je zien dat ze ineens met hele slimme oplossingen komen die een stuk veiliger zijn dan wat er nu wordt geleverd. Gaten gevonden met een penetration test? Dan betaalt de directie uit eigen zak de test en het oplossen van de gaten. Geld gestolen via internetbankieren? Dan verkoopt de directeur toch gewoon z'n boot?

Heel goed verwoord! Het is vooral een economische keuze van de banken om de huidige slechte veiligheid niet te verbeteren. Credit maatschappijen hebben jaren hetzelfde gedaan, de rekening kwam bij de winkel te liggen die een valse kaart accepteerd. Nu wordt het wel op heel grote schaal misbruikt en gaan ze maar eens langzaam beginnen met chip + pin ipv de handtekening. Dat voor deze EMV techniek ook al exploits ontstaan voordat het ingevoerd wordt intresseert ze verder ook vrij weinig.
21-02-2014, 13:19 door [Account Verwijderd]
Ik hou het kort.

Geef een man een pistool en hij KAN een bank beroven.
Geef een man een bank en hij berooft iedereen!

Ik ben het verder helemaal eens met het antwoord van WhizzMan.
21-02-2014, 14:58 door john west
Als je rekening wordt geplunderd door dat je een besmette website heb bezocht,en de bank voert aan dat je niet gekeken
heb binnen een termijn van 14 dagen op je rekening,de bank je de schuld geeft en weigert je tegemoet te komen.
Ik krijg regelmatig van I.N.G allerlei reclame via de e-mail ,is het niet de plicht van de bank de rekening houder periodiek er op te wijzen dat de rekening moet worden gecontroleerd.
De tijd gaat zo vlug dat je het niet altijd in de gaten heb.
Dat is toch simpel.
21-02-2014, 15:01 door Anoniem
Er waarde in je verhaal rond verplichtingen bij de bank leggen.

Echter, het aanpassen van de kanalen v/e bank per klant (je noemt het maatwerk, in de praktijk zal het hoogstens op klantsegment-basis kunnen gaan) is iets wat tegen de belangrijkste eis die de maatschappij aan de bank stelt: klantbelang eerst.

De slimme mensen in deze community zijn erg goed in staat om vast te stellen wat hun belang is rond beveiliging en kunnen dit afwegen tegen gebruikersgemak, maar een overgroot deel is/kan dit niet. Die willen alles via een app, via online bankieren en hebben geen zin/tijd/behoefte om naar een kantoor te gaan.

In deze tegenstelling wringt te schoen. Je ziet dat veel banken bezig zijn om bijvoorbeeld betaal limieten (op dag of week basis) of geografische blokkering instelbaar te maken voor de klant. Klanten kunnen zo zelf op eigen inzicht het risico dat ze lopen beinvloeden. Erg klantvriendelijk! Je zou het misschien maatwerk kunnen noemen. Dit willen de meeste klanten ook. Maar daar we deze instellingen via dezelfde kanalen kunnen wijzigen als waarin we onze transacties doen, is het een schijn beveiliging. Deze instellingen lopen hetzelfde risico als de transacties zelf.

De meeste klanten begrijpen dit niet, maar accepteren ook niet dat ze bepaalde zaken nog via een kantoor moeten doen.

Een interessante tegenstelling en ik ben benieuwd hoe dit zich gaat ontwikkelen.

R
21-02-2014, 19:14 door Anoniem
Het vastleggen van de plichten van banken lijkt me een goed idee, maar de meeste andere suggesties zijn gewoon al geregeld.

En banken verplichten om preventie en detectiemiddelen te verstrekken voor insecure computers? Als we die kant op gaan laten we dan ook gelijk van Shell eisen om botskussens op elke auto te monteren...

Mas
21-02-2014, 19:57 door Anoniem
Een mooi betoog met onderbouwing. Het mist echter levensvatbaarheid.

Waarmee wordt bedoeld dat (grote) (commerciele) organisaties al lang geleden ervaren hebben dat afschuiven van risico's, lasten en gevolgen hen vele voordelen biedt. Zelfs vele voordelen biedt als je lijnrecht tegen (wettelijke) richtlijnen ingaat en boetes riskeert. Want de pakkans is klein, de kans dat het meer gaat kosten dan dat het gaat opleveren is nog kleiner, en de kans dat de echte eindverantwoordelijken die zich dankzij dergelijke praktijken verrijken dusdanig worden aangepakt dat ze het uit een hoofd laten nadert tot nul.

Daar komt bij dat organisaties die zich wel maatschappelijk verantwoord en fatsoenlijk opstellen weggeconcurreerd worden door organisaties die iedere norm met voeten treden of ver voorbij gaan. Waar de consument zelf nog aan meewerkt ook. Door mee te gaan met de aangeboden producten en constructies. Want ja, wie dan leeft, wie dan zorgt, toch?

Er is een parallel te trekken met de auto-industrie uit de vorige eeuw. Destijds hadden die de mogelijkheid om veiligheidsmaatregelen in door hun gemaakte auto's in te bouwen waardoor er minder slachtoffers zouden vallen, maar zij deden dat niet want het was winstgevender, voor hun, niet de maatschappij, om dat niet te doen. En ook om tegenwicht te kunnen blijven bieden tegen hun concurrenten die er net zo over dachten.
Pas toen naar buiten kwam hoe schandalig zij intern dachten over hun eigen klanten en de overheden eindelijk ingrepen, door eindverantwoordelijken persoonlijk zwaar aansprakelijk te maken (en dus iedere automaker moest buigen of barsten; aandeelhouders inclusief), kwamen er veiligere producten op de markt. Voornamelijk ook omdat de pakkans hoog was en de echte eindverantwoordelijken het voor de kiezen kregen.

Tegenwoordig echter heb je vele wassen neus constructies waar papieren tijgers zich sterk voor maken. En politici wiens carriere zich vaak voortzet in riant beloonde zetels bij organisaties die geen persoonlijk belang hebben bij talloze consumenten met vele rechten die nog serieus en ingrijpend afgedwongen worden ook.

Without real liability where it matters you forfeit our future. So follow the money.

Kijk maar eens rond in welke marktsegmenten er geen echte aansprakelijkheid (meer) is. Wat voor ontwikkelingen zich daar hebben voorgedaan de afgelopen jaren. Wat er fout is gegaan en wie daar de rekening uiteindelijk voor betaalt. Wie er beter van zijn geworden en hoe riant die er nu nog steeds bij zitten. Vraag uzelf ook eens af hoeveel potentiele sociopaten en soortgelijk er daar tussen zouden kunnen zitten. En in wat voor maatschappij men gaat leven als men sturing en leiding aan dergelijke types zou (blijven) overlaten?

Het echte probleem is dat het loont om je van niets en niemand ook maar iets aan te trekken. Het loont om zelf binnen te zijn ten koste van wie of wat dan ook. Vanaf een bepaalde positie dan. Het is simpelweg ijskoud ingecalculeerd dat zekere oneerbare praktijken weliswaar tot een bestraffing zouden kunnen leiden, maar de kansen en baten zijn simpelweg te verleidelijk. Met nog weinig persoonlijk nadeel ook. En ach, als het fout gaat trap je gewoon nog wat meer mensen op straat. Of verhoog je de lasten. Een bedrijf is immers maar een springplank voor je eigen succes, niet waar?

Zolang er niets gedaan wordt aan echte aansprakelijkheid, op het juiste niveau, over de hele linie van hoog tot en met allerhoogst, met zeer hoge pakkans en de zekerheid dat de bestraffing op winstbejag op ongepaste wijze tot brodeloosheid leidt en verlies van alle eigen bezittingen (waaronder ergens anders ondergebracht, waar dan ook) kan men van alles en nog wat bedenken maar er verandert niets werkelijks van betekenis.

Dus nee, wetje nummer zoveel gaat geen verschil maken. Aanpakken en in het gareel trekken van hen die aan de touwtjes trekken wel.
21-02-2014, 21:30 door Anoniem
@wizzman: welke bonussen? We leven niet in GB, D of USA....
22-02-2014, 11:17 door Briolet
Door Anoniem: "hee mevrouw X, u logt in vanaf een ander IP adres, geef aub de code op die u via SMS ontvangen heeft."

Het IP adres zal niet handig zijn als je vaak mobiel toegang maakt. Maar je kunt ook apparaat specifieke zaken opslaan om de inlogger te identificeren. Tot nu toe heb ik alleen ervaren dat Apple dit bij zijn accounts doet. Elke keer dat ik vanaf een nieuwe PC inlogde op mijn account, kreek ik een waarschuwingsmailtje hierover. Dit zou me ook een verstandige toevoeging van internetbankieren lijken omdat het de gebruiker ook niet merkbaar extra belast. In elk geval effectief bij een MIT aanval. Maar als je browser zelf overgenomen wordt, zal het nog weinig helpen.

Hoe zit het eigenlijk in andere landen van Europa. Zitten daar grote verschillen tussen hoe de banken het aanpakken?
Ik heb b.v. een Duitse internet rekening en na uitloggen krijg ik daar altijd de nadrukkelijke opdracht om de browser cache te legen. Die waarschuwing heb ik niet eens in de nieuwe Nederlandse regels gezien.
22-02-2014, 11:56 door Anoniem
Door Briolet:
Ik heb b.v. een Duitse internet rekening en na uitloggen krijg ik daar altijd de nadrukkelijke opdracht om de browser cache te legen. Die waarschuwing heb ik niet eens in de nieuwe Nederlandse regels gezien.
Dat zou ook niet nodig moeten zijn. Als de beveiliging goed geregeld is dan is er in de browser cache niks te vinden
wat bij een eventuele volgende sessie gebruikt zou kunnen worden om de boel aan te vallen.
Wellicht had deze of een andere Duitse bank ooit een probleem op dat gebied en is er toen dit advies uitgebracht.
Ik denk echter niet dat een Nederlandse bank die de boel goed heeft ingericht op de een of andere manier achterblijft
als hij dit advies niet geeft.

Bedenk ook dat het geven van teveel adviezen contraproductief werkt. Sommige mensen zullen de adviezen na een tijdje
niet meer lezen omdat er steeds wat anders staat, anderen gaan ze uit hun hoofd leren en precies opvolgen, en alles wat
niet in zo'n advies staat daar hebben ze geen probleem mee want dat was immers niet geadviseerd.
Het is beter om te proberen het op een wat hoger plan te tillen zodat je niet iedere specifieke handeling hoeft te adviseren
of te ontraden.
23-02-2014, 12:31 door Paul van Dommelen
Door Anoniem:

Daarnaast zou ik dit soort aanpak ook niet tot banken willen beperken en zelfs niet alléén tot het internet kanaal. Ook voor andere types bedrijven (on-line winkels, etc.) en andere kanalen (telefonie, etc.) lijkt me dit een gezonde aanpak om tot regels m.b.t. verantwoordelijkheid en aansprakelijkheid te komen.

Helemaal mee eens.
23-02-2014, 12:35 door Paul van Dommelen
Door Anoniem:
In deze tegenstelling wringt te schoen. Je ziet dat veel banken bezig zijn om bijvoorbeeld betaal limieten (op dag of week basis) of geografische blokkering instelbaar te maken voor de klant. Klanten kunnen zo zelf op eigen inzicht het risico dat ze lopen beinvloeden. Erg klantvriendelijk! Je zou het misschien maatwerk kunnen noemen. Dit willen de meeste klanten ook. Maar daar we deze instellingen via dezelfde kanalen kunnen wijzigen als waarin we onze transacties doen, is het een schijn beveiliging. Deze instellingen lopen hetzelfde risico als de transacties zelf.

In veel gevallen zijn dit voornamelijk maatregelen om de instellingen van de betaalpas in te stellen. Dat is om skimming tegen te gaan. Voor skimming is er dan wel degelijk sprake van een ander kanaal. Een geskimde kaart geeft immers niet direct toegang tot online bankieren, daarvoor zijn de responses codes nodig. Als dergelijke instellingen voor online bankieren zijn zou je inderdaad een ander kanaal moeten gebruiken om de limieten te verhogen, verlagen via hetzelfde kanaal is geen probleem. Er is een bank die dit aanbied, maar wel zeer verstopt en lastig voor de gewone consument. Resultaat zal naar mijn verwachting zijn zoals anderen terecht aangeven dat klanten het niet aanpassen. Dit zou dus veel prominenter naar voren moeten komen.
23-02-2014, 12:42 door Paul van Dommelen
Door Anoniem: Het vastleggen van de plichten van banken lijkt me een goed idee, maar de meeste andere suggesties zijn gewoon al geregeld.

Interessante opmerking. Ik hoor graag wat er volgens jou geregeld is, dat heb ik dan blijkbaar gemist in mijn onderzoek.

En banken verplichten om preventie en detectiemiddelen te verstrekken voor insecure computers? Als we die kant op gaan laten we dan ook gelijk van Shell eisen om botskussens op elke auto te monteren...

Mas

Dat is een heel interessante opmerking. Ik heb al eens eerder een vergelijking met de automobiel industrie gemaakt. Ergens is het raar dat wij zomaar accepteren dat we voor extra beveiligingsmaatregelen van een auto moeten betalen, denk bijvoorbeeld aan extra airbags etc. Auto's kunnen immers ook veiliger zijn dan ze standaard afgeleverd worden. En die extra veiligheidsvoorzieningen kunnen zomaar eens jouw leven of dat van je medeweggebruikers redden, niet bepaald onbelangrijk dus.

In tegenstelling tot jouw opmerking moeten ook automobiel fabrikanten (en nee, niet de Shell) weldegelijk zorgen voor een minimum niveau aan veiligheidsmaatregelen. Denk bijvoorbeeld aan fatsoenlijke verlichting, deugdelijke remmen, kreukelzones en het doorstaan van botsproeven. In de automobiel industrie verwachten we dus per wet weldegelijk een bepaald veiligheidsniveau. Wil je extra veiligheid dan betaal je daar als klant voor. Is dat raar? Of vinden we dat normaal? Ik ben benieuwd!
23-02-2014, 12:44 door Paul van Dommelen
Door Anoniem:

Dus nee, wetje nummer zoveel gaat geen verschil maken. Aanpakken en in het gareel trekken van hen die aan de touwtjes trekken wel.

Om dat te kunnen doen (op welk niveau dan ook) heb je toch eerst een wet nodig?
23-02-2014, 16:53 door roevka - Bijgewerkt: 23-02-2014, 17:12
Het is gewoon heel simpel: de staat verplicht de banken tot vergoeden van elke schade.
Deze verliesposten worden direct verrekend met het uit te keren dividend aan de aandeelhouders.
Het zijn met name auteurs als Paul van Dommelen die met bovenstaande artikelen discussieruimte creëren voor banken die ze domweg gewoon niet moeten krijgen. Punt.
23-02-2014, 17:21 door [Account Verwijderd]
Amen!
23-02-2014, 19:37 door Anoniem
Door Paul van Dommelen:
Door Anoniem:

Dus nee, wetje nummer zoveel gaat geen verschil maken. Aanpakken en in het gareel trekken van hen die aan de touwtjes trekken wel.

Om dat te kunnen doen (op welk niveau dan ook) heb je toch eerst een wet nodig?

Ja en nee. Hangt van de omstandigheden af waaronder verschil wordt gemaakt.
Het zou helpen als nieuwe wetvoorstellen aankaarten waarvan ze afhankelijk zijn teneinde optimaal resultaat te bereiken.

Wetten die met voeten worden getreden, daar waar het verschil maakt, zijn slechts papieren tijgers. Creeer situaties waarbij iedereen gelijk is (voor de wet), behoudens hen die zich daarboven gesteld voelen, en je krijgt vroeg of laat andere situaties.

Zoveel leert de geschiedenis der mensheid.

Van mijn kant denk ik dat het uitermate kortzichtig is om regelgeving uit te geven die voor een ieder geldt behoudens hen, in de praktijk, die het verschil moeten maken. Dan zit je als bestuurder toch echt op de verkeerde plek. Als adviseur ook trouwens.
23-02-2014, 20:17 door Anoniem
Door Paul van Dommelen: Dat is om skimming tegen te gaan. Voor skimming is er dan wel degelijk sprake van een ander kanaal. Een geskimde kaart geeft immers niet direct toegang tot online bankieren, daarvoor zijn de responses codes nodig.
De banken zouden het skimming risico kunnen beperken door de magneetstrip uit te schakelen of te verwijderen.
De klant kan dat ook zelf doen met een magneet.
De banken zouden moeten aangeven of passen zonder magneetstrip nou wel of niet ondersteund worden.
Dat willen ze niet aangeven, wellicht omdat ze niet openlijk willen beweren dat ze zelf nog spullen (geldautomaten)
in bedrijf hebben die met de magneetstrip werken.
23-02-2014, 21:42 door Paul van Dommelen - Bijgewerkt: 23-02-2014, 21:50
Door Anoniem:
De banken zouden het skimming risico kunnen beperken door de magneetstrip uit te schakelen of te verwijderen.
De klant kan dat ook zelf doen met een magneet.
De banken zouden moeten aangeven of passen zonder magneetstrip nou wel of niet ondersteund worden.
Dat willen ze niet aangeven, wellicht omdat ze niet openlijk willen beweren dat ze zelf nog spullen (geldautomaten)
in bedrijf hebben die met de magneetstrip werken.

Volgens mij snijd je nu een ander punt aan? Je eerste reactie ging er toch om dat deze maatregel onveilig was omdat het via hetzelfde kanaal uit te zetten was? Of had ik je verkeerd begrepen?
24-02-2014, 10:43 door spatieman
het geen wat ik mij persoonlijk stoor aan internetbankieren.
zijn al die trackers die mee lopen, dan denk ik bij mij zelf, TIKKEN JULLIE NOG WEL??
doe je ze blokkeren, dan kan je vaak niet meer inloggen.
24-02-2014, 13:54 door Anoniem
Door Paul van Dommelen:
En banken verplichten om preventie en detectiemiddelen te verstrekken voor insecure computers? Als we die kant op gaan laten we dan ook gelijk van Shell eisen om botskussens op elke auto te monteren...

Mas

Dat is een heel interessante opmerking. Ik heb al eens eerder een vergelijking met de automobiel industrie gemaakt. Ergens is het raar dat wij zomaar accepteren dat we voor extra beveiligingsmaatregelen van een auto moeten betalen, denk bijvoorbeeld aan extra airbags etc. Auto's kunnen immers ook veiliger zijn dan ze standaard afgeleverd worden. En die extra veiligheidsvoorzieningen kunnen zomaar eens jouw leven of dat van je medeweggebruikers redden, niet bepaald onbelangrijk dus.

In tegenstelling tot jouw opmerking moeten ook automobiel fabrikanten (en nee, niet de Shell) weldegelijk zorgen voor een minimum niveau aan veiligheidsmaatregelen. Denk bijvoorbeeld aan fatsoenlijke verlichting, deugdelijke remmen, kreukelzones en het doorstaan van botsproeven. In de automobiel industrie verwachten we dus per wet weldegelijk een bepaald veiligheidsniveau. Wil je extra veiligheid dan betaal je daar als klant voor. Is dat raar? Of vinden we dat normaal? Ik ben benieuwd!

Deze vergelijking gaat mank. De thuiscomputer is niet een product van de bank, zoals in jouw voorbeeld een auto het product van de autofabrikant is. Daarnaast voert de klant het beheer over de thuiscomputer, en kan daarvan de eigenschappen veranderen. Dat kan niet zomaar op een auto, die wordt afgeleverd conform de specificaties van de autofabrikant.

Een vergelijking met het 'bankieren-verleden' is dan wellicht beter te maken: vroeger had je overschrijfformulieren in van die scheurboekjes (waarnaar vele security.nl-lezers schijnbaar weer verlangen) en betaalkaarten. De bank gaf toen ook al aan dat je daar voorzichtig mee moest omgaan; niet laten slingeren en in een afgesloten kast bewaren. Want iemand die een beetje goed je handtekening na kon doen, kon daarmee geld overschrijven (en dat gebeurde dan ook regelmatig; fraude is van alle tijden...). Het pleidooi dat de bank preventie- en detectiemiddelen ter beschikking zou moeten stellen ter beveiliging van de thuiscomputer, komt dan overeen moet dat de bank vroeger sloten, camera's en anti-inbraaksystemen beschikbaar zou moeten stellen. Dat zouden we toen echt allemaal erg overdreven (of zelfs bemoeizuchtig) hebben gevonden!

Er wordt in de reacties veel geklaagd over het feit dat banken zomaar klakkeloos overschakelen naar het onveilige internetbankieren. Daar wil ik twee nuances bij plaatsen. Allereerst is dat niet klakkeloos gegaan (al denken we dat nu wellicht zo), en het is wel degelijk de roep van de klant die deze beweging in gang heeft gezet en heeft gestimuleerd. Ten tweede was het vroeger al niet anders dan nu: ook toen stelde de bank regels aan het gebruik van de overschrijfformulieren en betaalkaarten. Ik heb sterk het idee dat veel mensen die hier reageren het verleden romantiseren, danwel dit verleden niet hebben meegemaakt...
24-02-2014, 14:18 door Anoniem
"Maar de bank zou zich bewust moeten zijn dat het internet-kanaal grotere risico's met zich meebrengt dan andere kanalen (bijv. het bankkantoor). "

Waarom zou je veronderstellen dat banken zich daar niet bewust van zouden zijn ? Banken zijn ook constant bezig om te kijken hoe ze dergelijke risico's kunnen verkleinen.
24-02-2014, 14:25 door Anoniem
"De banken zouden het skimming risico kunnen beperken door de magneetstrip uit te schakelen of te verwijderen."

Hou je dan ook rekening met het feit dat Nederlanders hun pas willen kunnen gebruiken in landen waar de EMV chip niet wordt gebruikt, en dat toeristen hier willen kunnen pinnen, ook wanneer ze nog een magneetstrip hebben ?

Zomaar de magneetstrip verwijderen van de passen, en ondersteuning ervoor verwijderen uit de automaten, heeft nog altijd behoorlijke consequenties.

"De banken zouden moeten aangeven of passen zonder magneetstrip nou wel of niet ondersteund worden. Dat willen ze niet aangeven, wellicht omdat ze niet openlijk willen beweren dat ze zelf nog spullen (geldautomaten)
in bedrijf hebben die met de magneetstrip werken."

Dat is enkel een veronderstelling, en er zijn dus zeer goede redenen om de magneetstrip nog te ondersteunen (in ieder geval bij een deel van de gebruikte passen). Indien je het de bank zal vragen, dan zullen ze dat ongetwijfeld ook uit kunnen leggen.

"Het zijn met name auteurs als Paul van Dommelen die met bovenstaande artikelen discussieruimte creëren voor banken die ze domweg gewoon niet moeten krijgen. Punt."

Lekker kort door de bocht. Heb je zelf ook maar enige vorm van verantwoordelijkheid voor je eigen handelen ? Of denk je dat je schade altijd op anderen af kunt wentelen ?
24-02-2014, 14:28 door Briolet
Door spatieman: het geen wat ik mij persoonlijk stoor aan internetbankieren.
zijn al die trackers die mee lopen, dan denk ik bij mij zelf, TIKKEN JULLIE NOG WEL??.

Ik kan me voorstellen dat die trackers het voor een bank juist mogelijk kunnen maken om te zien of een account overgenomen wordt. :-)
24-02-2014, 15:43 door Anoniem
Door Anoniem: "De banken zouden het skimming risico kunnen beperken door de magneetstrip uit te schakelen of te verwijderen."

Hou je dan ook rekening met het feit dat Nederlanders hun pas willen kunnen gebruiken in landen waar de EMV chip niet wordt gebruikt, en dat toeristen hier willen kunnen pinnen, ook wanneer ze nog een magneetstrip hebben ?

Dat eerste is ieders eigen keuze. Wie het niet wil uitschakelen die doet dat niet. Maar ik wil het wel uitschakelen en
ik kan dat niet doen want dan slikt de geldautomaat wellicht mijn pas in. Ik kan die afweging dus niet maken.

Het tweede is niet belangrijk, ik neem toch aan dat de programmeurs van geldautomaten wel het IF statement kennen.
25-02-2014, 09:46 door Anoniem
"Dat eerste is ieders eigen keuze. Wie het niet wil uitschakelen die doet dat niet. Maar ik wil het wel uitschakelen en
ik kan dat niet doen want dan slikt de geldautomaat wellicht mijn pas in. Ik kan die afweging dus niet maken."

Een optie om zelf ervoor te kunnen kiezen zou zeker goed zijn, ik bedoelde vooral dat je niet generiek alle magneetstrippen kunt verwijderen van alle passen, en dat je ook niet de ondersteuning voor magneetstrippen zomaar uit de betaal/pin automaten kunt verwijderen. Meer maatwerk, zoals jij voorstelt, is zeker welkom.
26-02-2014, 08:37 door Anoniem
Door Anoniem:
In deze tegenstelling wringt te schoen. Je ziet dat veel banken bezig zijn om bijvoorbeeld betaal limieten (op dag of week basis) of geografische blokkering instelbaar te maken voor de klant. Klanten kunnen zo zelf op eigen inzicht het risico dat ze lopen beinvloeden. Erg klantvriendelijk! Je zou het misschien maatwerk kunnen noemen. Dit willen de meeste klanten ook. Maar daar we deze instellingen via dezelfde kanalen kunnen wijzigen als waarin we onze transacties doen, is het een schijn beveiliging. Deze instellingen lopen hetzelfde risico als de transacties zelf.


In veel gevallen zijn dit voornamelijk maatregelen om de instellingen van de betaalpas in te stellen. Dat is om skimming tegen te gaan. Voor skimming is er dan wel degelijk sprake van een ander kanaal. Een geskimde kaart geeft immers niet direct toegang tot online bankieren, daarvoor zijn de responses codes nodig. Als dergelijke instellingen voor online bankieren zijn zou je inderdaad een ander kanaal moeten gebruiken om de limieten te verhogen, verlagen via hetzelfde kanaal is geen probleem. Er is een bank die dit aanbied, maar wel zeer verstopt en lastig voor de gewone consument. Resultaat zal naar mijn verwachting zijn zoals anderen terecht aangeven dat klanten het niet aanpassen. Dit zou dus veel prominenter naar voren moeten komen.

Paul,

Dit is op twee punten niet compeet.

1. Instelbare limieten zijn er ook voor andere kanalen, en meer banken bieden dit (binnenkort) aan.
2. Met pas gegevens en PIN codes is het bij veel banken mogelijk om nieuwe producten te verkrijgen. Skimming zelf is over het algemeen niet het probleem (de meeste (wellicht alle) banken accepteren geen magneetstrip betalingen van binnen Europa en buiten Europe is geblokkeerd dmv Geoblocking) , er wordt wel wat geld gepint of spullen gekocht met geskimde passen, maar door de invoering van Geoblocking door de grootbanken heeft dit een grote vermindering gezien. Geoblocking is verre van bulletproof, maar waar klanten meer last van hebben is gegevens van een pas en PIN gebruikt worden op allerlei manieren meer geld van een rekening te krijgen. Zo kan dit bijvoorbeeld gebruikt worden om die limieten aan te passen, of om de Geoblocking op te heffen.

De tijd dat een klant (of een bank) voornamelijk op een enkel product/kanaal worden getarget is voorbij. En hier kom je bij het werkelijke probleem, de banken lopen achter op inzicht in hun eigen producten/processen. De fraudeur weet beter hoe dit in elkaar zit dan de bank zelf (dat krijg je bij grote banken waar allerlei processen en producten over afdelingen zijn verdeeld).

Ik merk dat veel mensen hier denken dat de meeste fraude met het onveilige internet kanaal te maken hebben, maar dit is slechts een schakel in de keten; ook de vestigingen, betaalautomaten en ATM's zijn onderdeel (en vergeet de fysieke brievenbus van de klant zelf niet).

Zo blijft het een afweging tussen veiligheid en gemak.

En vergis je niet, de hoeveelheid klanten die hun PINcode bij hun pasje bewaren is aanzienlijk. En ook zij krijgen nu hun geld terug...
18-03-2014, 13:36 door Anoniem
Op het moment dat een bank betalingsverkeer verplicht stelt, is het juridisch gezien volkomen normaal dat deze de gevolgen en risico's hiervan draagt.

Ik ken ouderen die niets met pinpassen te maken willen hebben. De 'oude manier' wordt door de banken niet meer ondersteund. Deze mensen die geen enkele digitale ervaring hebben worden gedwongen de comptenties van een veiligheidsexpert te hebben. Gierende nekzwetserij.

Met andere woorden, wanneer je buurman wil dat dat er een schutting komt en jij wilt dat niet, dan mag-ie 'm zelf onderhouden. Zie de bank maar als buurman.
20-03-2014, 11:11 door Anoniem
Ik had een vraag neergelegd bij de bank of ze een mogelijkheid zagen om de "o zo handige" koppeling tussen mijn
betaal en spaar rekening te verwijderen. Ik heb de laatste tijd gelezen dat bij inbraken op de telebankier omgeving
niet alleen geld van de betaalrekening werd overgeboekt maar meteen ook even al het geld van de spaar- naar de
betaalrekening geboekt werd zodat dit ook weggesluisd kan worden.
Als je de beveiliging van de internet bankieren omgeving gekraakt hebt (is bank-afhankelijk wat daar voor nodig is)
dan ligt dit compleet open.

Ik heb ze gevraagd te zorgen dat de toegang tot mijn spaarrekening los komt te staan van die van mijn betaalrekening.
Ik heb ook aangegeven dat ik zelf wel een mogelijkheid daar voor zie: de spaarrekening naar een concurrent verhuizen.

Na een nietszeggend antwoord (maakt u zich geen zorgen de beveiliging is heel goed en dit kan niet gebeuren als u uw
codes niet uit handen geeft) waarop ik een reactie stuurde, werd ik gebeld door een medewerker.

In dit gesprek heb ik een aantal punten waarover ik me zorgen maak cq verontwaardigd ben aan de bank uitgelegd,
en hoewel er uiteraard weer de standaard antwoorden terug kwamen was er toch ook wel begrip voor mijn standpunt,
en werd er in ieder geval verteld dat mijn mening zou worden doorgegeven naar mensen die hier over gaan.

Dat betreft dan voornamelijk mijn grief dat de bank wel allerlei eisen stelt aan de klant, en beslissingen neemt over wat
veilig en niet veilig is, maar dat de klant geen enkele manier heeft om eisen te stellen aan de bank, of te regelen dat
onveilige opties die de bank aanbiedt "voor het gemak" in eigen settings buiten werking te stellen.
Dit voorbeeld van "al uw rekeningen lekker handig in 1 omgeving" is er daar een van. Heel handig ja, maar als ik het
niet wil dan is het jammer want ik moet maar slikken. Echter als ik zelf lekker handig met WIndows XP wil werken
dan is dat ineens ontoelaatbaar want de bank vindt het niet veilig. Dit is een ongelijkheid waar men wat aan moet doen.

Ik begreep dat er inmiddels al wel een belletje was gaan rinkelen (eindelijk) en dat er zoals in eerdere reacties ook al
staat meer en meer opties komen om zelf dingen in te stellen. Uiteraard (daar hebben we het niet over gehad) speelt dan
wel altijd dat probleem dat de instelmogelijkheid wel zo moet zijn dat iemand die die boel gehacked heeft niet even
de instellingen voor hem gunstiger kan zetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.