Artikel op Banking Review - Bank moet beter communiceren over veiligheid..

Het onderstaande artikel werd op 14-09-09 geplaatst op Banking Review.

Lees het artikel hieronder of op de website van Banking Review.

Bank moet beter communiceren over veiligheid online bankieren

Het vertrouwen in online bankieren is groot geworden. De klant is onwetend van de toenemende gevaren. Banken hebben de laatste tijd verzuimd hen hierin verder op te voeden. De focus bij banken ligt te veel op interne veiligheidsmaatregelen. De risico’s voor zowel de financiële schade als de imagobeschadiging zijn groot. Dat terwijl de verbeteringen onder handbereik zijn.

Bijna alle rekeninghouders met een pc maken gebruik van het online bankieren. Online bankieren geniet inmiddels een ijzeren reputatie. Dat de klant zich zo veilig voelt, is een verdienste van de banken. Die hebben enorme investeringen gedaan in de beveiliging van het online bankieren.

Door dit grote vertrouwen zijn Nederlanders zich nauwelijks bewust van alle onzichtbare gevaren die het online bankieren bedreigen. Die zijn er steeds meer. Criminelen kennen als geen ander de zwakke plekken ervan. Banken hebben de laatste jaren niet alle hiaten in dit opzicht gedicht. Daardoor is het online bankieren de laatste tijd lang niet zo veilig als algemeen wordt aangenomen.

Afgelopen zomer verkende hostingbedrijf Byte de manier waarop banken hun websites beveiligen. Daaruit bleek dat de banken in dit vlak een achterstand hebben opgelopen. Dit ondanks de nog altijd enorme inspanningen die zij zich getroosten om het online bankieren te beveiligen. Eén van de bekendste en meest zichtbare veiligheidsmaatregelen van de banken, is het aanbrengen van slotjes in de webadresbalk van bankwebsites.

Deze slotjes, die de klant van de bank de zekerheid geven dat de verbinding met de bank veilig is, verwijzen naar het SSL-protocol (Secure Sockets Layer). Het SSL-protocol maakt gebruik van certificaten om de verstuurde data te beveiligen. SSL-gecertificeerde websites garanderen dat de verstuurde informatie wordt versleuteld.

De communicatie over de veiligheid van de banken is gebaseerd op deze SSL-certificering. Zeventig procent van de banken maakt hiervan gebruik. Drie jaar geleden hebben banken hiervoor met succes de campagne 3x Kloppen gelanceerd. Daarin legden zij het veiligheidsprincipe van de SSL-standaard uit. Zij informeerden klanten ook waarop zij moeten letten bij online bankieren. Deze informatie is nog steeds te lezen op de bijhorende website (www.3xkloppen.nl).

Maar deze informatie is voor een deel achterhaald. Temeer daar criminelen erin zijn geslaagd om de zichtbare veiligheidskenmerken bij online bankieren met succes na te bootsen. Het is eenvoudig om een websites eruit te laten zien als de originele websites van banken. In werkelijkheid gaat het om goed nagemaakte kopieën die in handen zijn van criminele organisaties. Deze nagebouwde bankwebsites kunnen eveneens voorzien zijn van een SSL-certificaat en hebben ook de veilig gewaande slotjes. De uitgevers van SSL-certicaten beoordelen soms marginaal de identiteit van de domeinhouder.

Klanten van banken kunnen er niet blindelings vanuit gaan dat een website van een bank die van een dergelijk slotje is voorzien, ook 100% veilig is. Zij lopen het risico transacties uit te voeren via een valse bankwebsite en zaken te doen met een criminele organisatie. Pas als er rekeningen geplunderd zijn, komt aan het licht wat er is gebeurd.

Hoewel grootschalige diefstal via deze nagebouwde websites nog niet is gebeurd, zijn de risico’s groot. Het zorgvuldig opgebouwde vertrouwen in elektronisch bankieren kan flink dalen. Dan is ook de reputatie van de banken in het geding. Zodra de klant elektronisch bankieren niet meer accepteert, kan de bedrijfsvoering van banken in grote problemen geraken.

Voor de SSL-beveiliging is al twee jaar lang een alternatief voorhanden, maar die wordt nog maar door dertig procent van de onderzochte banken gebruikt. Het gaat hier om de zogenaamde EV SSL-standaard. EV staat voor extended validation.

Bij de aanvraag van EV SSL-certificaten worden meer controles uitgevoerd dan bij de klassieke SSL-certificaten. Zo wordt de identiteit van de domeinhouder gescreend bij de Kamer van Koophandel en moet de aanvrager een identificatiebewijs overleggen. Er wordt in de register van domeinnamen gecontroleerd of de domeinnaam daadwerkelijk van de organisatie is. Websites die zijn gecertificeerd volgens het EV SSL-protocol zijn herkenbaar aan de groene adresbalk in de browser. Deze is niet te kopiëren of na te maken door criminelen. Die zijn evenmin in staat om een gekopieerde bankwebsite te voorzien van een EV SSL-certificaat.

Het doorvoeren van de EV SSL-certificering door de banken is een kwestie van tijd. Een veel groter vraagstuk is het heropvoeden van de klanten van de banken. Een vervolg voor de succesvolle campagne 3x Kloppen is onontkoombaar. Niet alleen vanwege de noodzaak het publiek te informeren over de nieuwe beveiligingscertificaten en de bijhorende groene balk. Het is ook nodig om het risicobesef van klanten aan te scherpen.

Het publiek moet zich realiseren dat de veiligheid van elektronisch bankieren in toenemende mate een gedeelde verantwoordelijkheid is van zowel de banken als hun klanten. Hoe scherp de veiligheidsmaatregelen van banken ook zijn, een deel van de risico’s van online bankieren ligt ook bij de klant. Zeker omdat criminelen steeds geavanceerdere methoden uitvinden om in te breken op het online bankieren.

Zo kunnen de pc’s van bankklanten worden geïnfecteerd door trojan horses, geavanceerde computervirussen die de instellingen van een pc kunnen aanpassen. Een ander risico voor de klant is het gebruik van een netwerk dat onvoldoende beveiligd is. Voor geoefende hackers betekent dat open huis. Dan zijn er de lekken in de software van de klanten, waardoor criminelen zich ook toegang kunnen verschaffen. Tenslotte kunnen er zwakke plekken zitten bij de providers, waardoor criminelen langs die weg kunnen binnenkomen op de verkeersweg tussen de bank en de klant.

Het is aan de banken om klanten wakker te houden als het gaat om deze risico’s. Ze doen dat momenteel onvoldoende. De informatie op de website 3x Kloppen is flink achterhaald. De website is bovendien niet goed onderhouden. De optie ‘Doe de vernieuwde test’ (voor pc-beveiliging) geeft een error-melding. Ook ontbreekt hier het juiste filmpje bij de uitleg over versleuteling in WLAN-kastje van wachtwoord en gebruikersnaam.

Ondanks alle inspanningen die banken hebben gedaan om het online bankieren potdicht te maken, is er nu opnieuw veel werk aan de winkel. Via de bank is het online bankieren nauwelijks te kraken. De zwakke schakel is dan de klant en die moet leren om zich eveneens te beveiligen. Daarvoor is de helpende hand van de banken hard nodig. Zij kunnen hun identiteit beter kenbaar maken met de uitgebreide EV SSL certificaten en zij kunnen hun klanten bereiken met uitleg over veiligheidsproblemen. Zodra de klant op de digitale snelweg beroofd wordt, zal die zeker verhaal gaan halen bij de bank. Hoe veilig die ook zijn, het is in ieders belang dat een digitaal bezoek aan de bank compleet veilig is.

Bron: Banking Review. Bank moet beter communiceren over veiligheid online bankieren. http://www.bankingreview.nl/?page=kennisbank/artikel&id=21872, geraadpleegd op 14 sept 2009.