Maandagmiddag stond mijn vriendin aan de kassa van Ikea klaar om de vele fantastische aanbiedingen die ze in dit shoppingparadijs gevonden had af te rekenen en mee naar huis te nemen. Trots trekt ze haar plastiek kapitaal van de Fortisbank en voert haar pincode in en krijgt de magische woorden “saldo ontoereikend” te lezen op de display van de bankterminal. Vertwijfeling… Schaamte… Onbegrip… Woede.. Paniek…
Een paar seconden later rinkelt mijn telefoon. Ik had haar het weekend ervoor gevraagd om haar rekeningen eens te controleren want er was een onduidelijk probleem geweest met het internetbankingsysteem van een aantal Belgische banken. “Mijn centen zijn toch niet verdwenen… Wat moet ik nu doen?”. Dan maar naar het Fortiskantoor gebeld… Bezet… Ah iemand antwoordt en hangt onmiddellijk terug op. Blijven proberen tot er eindelijk iemand aan de lijn komt en zegt “Ahja da’s normaal, er werkt momenteel geen enkele Fortis bankkaart. We weten wat er aan de hand is.”.
Dit alles na een weekend waarin aan het licht gekomen is dat de Russische Maffia het op de Belgische internetbankingsystemen heeft gemunt. De Computer Crime Units onderzoeken dit niet na een klacht van de banken maar van een aantal individuele gebruikers. De banken zelf doen in de eerste plaats of er niks aan de hand is. Op maandag komt de Commissie voor het Bank-, Financie- en Assurantiewezen uit met het bericht dat er slechts 51 of 52 (of 53 of 400 of 500.000?) fraudegevallen geweest zijn voor een totaal van +- 800.000 euro sinds 2005 (cfr. Datanews 8 oktober). Nu vertelde mijn professor statistiek me dat je een beetje mag liegen met statistieken om je theorie te bewijzen. Maar als je echt begint te overdrijven dan valt je leugentje om bestwil wel op. Ben ik de enige die de wenkbrauwen fronst bij het horen van deze statistieken? Mijn zieke geest bouwt hier 2 theorieën mee op: ofwel liegt het CBFA met statistieken, ofwel worden er nauwelijks fraudegevallen aangegeven.
Vervolgens de officiële reactie van Fortis op de bankkaartproblemen: “In onze kantoren en aan de loketten hadden we geen transactieproblemen. Alleen op het ‘externe’ netwerk, in de winkels, konden onze klanten niet betalen. Het probleem ligt dus bij de netwerkbeheerder. ” Het probleem ligt dus niet bij ons hoor, neen, het ligt bij de anderen, in dit geval Atos Origin/Banksys. Trouwens toch wel raar dat er tenminste één DataNews-lezer meldt dat ook in de kantoren van Fortis zelf problemen waren maandag.
Wat de banken duidelijk vergeten zijn, is dat ons hele bancaire systeem, zelfs ons hele monetaire systeem gebaseerd is op één ding: vertrouwen. Als u een briefje van 50 euro kan gebruiken om te betalen dan is dat omdat de hele gemeenschap er vertrouwen in heeft dat dit briefje 50 euro waard is. In praktijk vertrouw je erop dat je naar de nationale (eigenlijk Europeese Bank) kan stappen en je 50 euro kan inwisselen voor goud of andere valuta. Hetzelfde geldt voor je bankrekening: de burger plaatst zijn geld daar omdat hij of zij er vertrouwen in heeft dat het daar veiliger en makkelijker staat dan in een oude sok onder zijn bed.
De industrie roept steeds harder dat de Belgische technologie voor internetbankieren de veiligste ter wereld is maar daar gaat het fundamenteel niet om. Het klopt dat de Belgische internetbanken als één van de eersten allemaal one-time tokentechnologie à la Digipass hebben uitgerold. In elke goede security-cursus leer je echter dat technologie slechts een middel is om een veilige omgeving te kunnen opzetten. Het beste securityproduct is immers nog altijd een goed securitybewustzijn en een duidelijke communicatie met de klant. Waarom heb ik de indruk dat de hele bancaire industrie bij securityproblemen reageert als een puber die je op een stickie betrapt? Ontkenning in alle talen… Minimaliseren, en als dat niet lukt: het is de schuld van de andere. Elf jaar geleden fulmineerde ik al tegen verschillende securityproblemen bij de eerste Belgische internetbank. Toen kon je als het ware gewoon met een internetbrowser binnenwandelen op het systeem en ermee beginnen spelen. De technologie is sterk verbeterd maar ons inziens nog altijd niet onfeilbaar. Wat wel nog altijd hetzelfde gebleven is, is de reactie van de bank toen we die op voorhand waarschuwden: (juridische) bedreigingen, ontkenning, minimaliseren, doorschuiven van de verantwoordelijkheid naar de leverancier. Het schaadt mijn vertrouwen dat mijn eigen bank, KBC, dit weekend (en vermoedelijk al veel eerder) een securityprobleem gehad heeft en dat ze er zich niet toe verlaagd heeft hierover met mij te communiceren. Eén eenvoudige e-mail met wat uitleg is voldoende. Nu moet ik alles als klant uit de krant vernemen. Zijn ze bang dat dit hun imago bezoedelt? Het zou mij juist méér vertrouwen geven. De banken hebben zelf zo weinig vertrouwen in het Belgische politionele apparaat dat ze nooit aangifte doen van securityproblemen en fraudegevallen en die liever verzwijgen.
Het wordt dan ook hoog tijd dat ze uit hun ivoren toren komen en in de eerste plaats onder ogen zien dat ze niet onfeilbaar zijn. (Internet)fraude zal er altijd zijn in onze kapitalistische samenleving en geen enkele beveiliging is perfect. Bovendien moet er op een volwassen, open manier over deze problemen gecommuniceerd worden zowel met politie en justitie als met de eigen klanten. Als een struisvogel de kop in het zand steken en hopen dat alles voorbijwaait is geen oplossing.
Jan Guldentops is netwerk- en securityconsultant van het Leuvense consultancybureau BA N.V. Na meer dan een decennium in de ict-sector werpt hij zich graag op als kritische ziel.
Jan Guldentops
Fout opgemerkt of meer nieuws? Meld het hier