woensdag 25 november 2009

Volgende generatie Internet bankieren

Banken beheren uw geld. Veiligheid staat daarbij voorop en aangezien het overgrote deel van ons geld tegenwoordig alleen digitaal bestaat, behoren ook gewelddadige overvallen op banken nagenoeg tot het verleden. Criminaliteit is daarmee echter niet uitgebannen. Waar het om banken en geld gaat, is het werkveld van de crimineel verschoven naar de digitale wereld. In deze digitale wereld zijn zowel de banken als ook haar klanten steeds vaker het doelwit van criminele activiteiten.

Frequente berichtgeving in de media over fraude met internetbankieren geven aan dat digitale criminaliteit een serieuze bedreiging is. Banken lijken echter alert en passen continu hun systemen en procedures aan om te voorkomen dat gegevens van haar klanten worden misbruikt. Maar hoe veilig is ons geld eigenlijk? Hoe veilig is het internetbankieren?

Banken geven aan dat internetbankieren een gezamenlijke verantwoordelijkheid is van banken en klanten. Om klanten te informeren over drie regels waaraan zij zich moeten houden bij het internetbankieren is door de Nederlandse Vereniging van Banken (NVB) het initiatief tot de actie ‘3x kloppen’ genomen. De drie regels voor klanten zijn: zorg dat de PC –beveiliging up-to-date is, controleer of de website echt van uw bank is en controleer altijd uw betalingen. In deze landelijke voorlichtingscampagne wordt de Nederlander geattendeerd op het belang van veilig internetbankieren.

Waar de klant het moet doen met deze ‘drie regels’, investeren banken jaarlijks vele miljoenen om systemen en procedures voor authenticatie van haar klanten te realiseren en te verbeteren. De meest gangbare authenticatiemiddelen die banken momenteel inzetten zijn nummer calculatoren, tokens en smart phones, al dan niet aangevuld door gebruik van SMS met TAN code. Kenmerkend voor al deze beveiligingsmaatregelen is dat het hier om eenzijdige authenticatie gaat. De bank wil zeker weten met de klant te maken te hebben. Of de klant weet of zij daadwerkelijk met de bank communiceert wordt door banken als vanzelfsprekend aangenomen. Immers, banken vormen toch geen bedreiging voor haar klanten? Door deze eenzijdige maatregelen van banken kunnen criminelen zich kinderlijk eenvoudig via de PC en Internet browser – de geliefde werkplaats van hackers – of door het infecteren van het operating system van de smart phone van de klant, met interceptietools tussen de klant en de bank begeven. Zij controleren zo ongemerkt de communicatie tussen de bank en de klant. Zowel de bank als de klant communiceren feitelijk met de crimineel (‘man in the middle’). Gebruik van SMS en TAN code biedt op het gebied van beveiliging nauwelijks toegevoegde waarde. Alle SMS verkeer is eenvoudig op te vangen met apparatuur die in iedere zichzelf respecterende spy shop verkrijgbaar is. Ook verzenden van SMS data onder een zelf gekozen nummer wordt door verschillende websites aangeboden. Zo denkt de klant met de bank te communiceren en de bank met de klant terwijl in werkelijkheid een crimineel tegoeden naar andere rekeningen doorsluist .

Maar mag de bank dan wel verwachten dat de klant zo goed is onderlegd dat deze de situatie van de zgn. ‘man in the middle’ onderkent? Waar banken miljoenen aan het verbeteren van haar authenticatieproces uitgeven moeten klanten zonder specialistische kennis over het authenticatieproces en zonder deugdelijke ondersteuning het doen met de 3x kloppen regels. Zolang banken niet investeren in en overgaan op ‘2-way’ authenticatie waarbij ook de klanten er zeker van kunnen zijn daadwerkelijk met de bank te communiceren zal internetbankieren nooit veilig zijn.

Een veilig betalingsverkeer via Internet is een zaak van ons allemaal. Het initiatief voor 3x kloppen van de NVB draagt zeker bij aan de bewustwording bij klanten. Waar banken het echter terecht over de gezamenlijke verantwoordelijkheid hebben, bieden zij haar klanten onvoldoende mogelijkheden om vast te stellen dat ook zij daadwerkelijk met hun bank communiceren. ‘2-way’ authenticatie is een oplossing die daadwerkelijk kan bijdragen aan een veilige en volgende generatie internetbankieren.