Trouwe lezers begrijpen dat ik naar aanleiding van de uitzending van NCRV-netwerk de NCRV heb uitgenodigd om zich gratis beter te informeren over betalingsverkeer. In reactie hierop en op mijn weblog mailt dhr du Mosch mij een kort inhoudelijk betoog met diverse spelfouten, om vervolgens op te merken:
De rest van uw betoog over de journalistiek is voor kennisgeving aangenomen.
Vandaag in FD gelukkig een goed inhoudelijk verhaal van Ing. Floris D. van den Dool RE. Die is partner bij PricewaterhouseCoopers en verantwoordelijk voor 'security'-diensten binnen Nederland. Hij is ook bestuurslid van Safe Internet Foundation. Onder de titel Onterechte paniek over gevaren internetbankieren schrijft hij:
Afgelopen maandagavond was het weer zover. Met sensationele aankondigingen werd de televisiekijker voorgehouden dat het vertrouwen in internetbankieren in Nederland onterecht was. Is er inderdaad reden tot paniek voor de circa vier miljoen Nederlandse internetbankierders? Niet als een aantal basisregels in acht genomen wordt. Hebben de Nederlands banken hun beveiligingszaken inderdaad zo slecht voor elkaar? Zeker niet, maar ook banken zijn afhankelijk van de beschikbare internethulpmiddelen, die soms hun beperkingen kennen.
Om op een veilige manier zaken te doen via het internet is het belangrijk te weten met wie zaken wordt gedaan. Veelal wordt gebruikgemaakt van wachtwoorden of andere codes om de cliënten bij de bank bekend te maken. Maar ook de cliënt moet zeker weten dat hij met de bedoelde bank communiceert. Daarbij is het feit dat in de browser 'www.mijnbank.nl' is ingetikt onvoldoende garantie dat inderdaad communicatie met 'mijn bank' plaatsvindt. Dit is opgelost door gebruik te maken van zogenaamde digitale certificaten. De website van de bank biedt, onmerkbaar voor de gebruiker, een digitaal certificaat (een digitaal paspoort) aan de browser aan op basis waarvan de bank te herkennen is. Dat dit onmerkbaar voor de gebruiker gebeurt, leidt tot een mogelijk probleem: de gebruiker zal het certificaat moeten controleren om vast te stellen dat het hier inderdaad de bedoelde bank betreft. De meeste browsers detecteren eventuele problemen, maar door een 'bug' doet Internet Explorer dat niet in alle gevallen. De gebruiker zal dus zelf de uiteindelijke controle moeten doen.
Om te voorkomen dat internetverkeer onderweg bekeken of gemuteerd kan worden, passen vrijwel alle banken versleuteling toe. Veel banken voegen daar nog eigen maatregelen aan toe. Dergelijke maatregelen maken in veel gevallen het ongemerkt muteren van transacties vrijwel onmogelijk of in ieder geval uitermate complex.
De huidige onrust is ontstaan omdat gebruik is gemaakt van de bug in Internet Explorer om internetverkeer naar een website van een bank ongemerkt om te leiden via een nepwebsite. Dit kan echter alleen vanuit het netwerk binnen de eigen organisatie. In potentie zou op deze manier zelfs de versleuteling omzeild kunnen worden. Een gebruiker kan dit eenvoudig vaststellen door het certificaat te controleren en vast te stellen dat rechtstreeks met de bank gecommuniceerd wordt en er niemand tussen zit.
Het is belangrijk vast te stellen dat de omleiding een moedwillige actie is waarbij een kwaadwillend persoon binnen het kantoornetwerk een dergelijk scenario opzet. Hiervoor zijn eenvoudig hackerstools te downloaden. Maar het betreft wel een bewust misleidende en dus fraudeleuze actie. Een goedwillende gebruiker of systeembeheerder kan niet min of meer onopzettelijk op de inhoud van banktransacties van collega's stuiten.
Banken hebben diverse maatregelen genomen om het op zich onveilige internet op een veilige manier te kunnen gebruiken. Daarbij zijn ook banken afhankelijk van de door gebruikers gebruikte standaardsoftware zoals Internet Explorer en andere browsers. Uiteraard dienen zij daaromtrent hun cliënten te informeren en voor te lichten. Toch zullen in de eerste plaats de softwareleveranciers zich de kritiek ter harte moeten nemen. Banken, media en bedrijfsleven zouden de handen ineen moeten slaan om iedereen voor te lichten over internetveiligheid. Iedere internetgebruiker dient op de hoogte gebracht te worden van de maatregelen om veilig van het internet gebruik te maken. Geen sensatie, gewoon feiten. En oplossingen graag.
Waarmee we de discussie maar als afgerond moeten beschouwen.
