"Internetbankieren in Nederland kan veel veiliger"
Internetbankieren en de bescherming van persoonsgegevens kan in Nederland veel veiliger, maar de overheid moet hier actiever bij optreden. Dat zegt Tom de Jongh van Imation in een interview met Security.nl. De Nederlandse overheid gebruikt zelf beveiligde USB-sticks voor het verplaatsen van gevoelige informatie, maar zou dat ook voor bedrijven moeten verplichten, merkt De Jongh op. Imation levert de Ironkey Basic, samen met de Kobil mIDentity Basic de enige twee USB-sticks die door de AIVD zijn goedgekeurd voor het bewaren van gegevens die onder de categorie "Departementaal Vertrouwelijk" vallen.
Het goedkeuren van USB-sticks door de AIVD komt voort uit een behoefte bij de overheid, aldus de 'Director of Business Development'. Als de AIVD voldoende aanvragen van ministeries ontvangt, zet de inlichtingendienst een accrediteringstraject in. Voor het testen van de stick moest Imation allerlei documentatie opleveren. "Documentatie is een groot deel van het traject." Daarnaast wordt ook de USB-stick zelf opgestuurd. De AIVD voert hier vervolgens een penetratietest op uit. Vervolgens wordt er alleen gecommuniceerd of de USB-stick geslaagd is of niet. De inlichtingendienst overhandigt bijvoorbeeld geen rapport met verbeterpunten. Wel kan in het geval van een certificering er een lijst met punten komen waarin staat hoe het product moet worden ingezet.
Het certificeringstraject duurt vaak zo lang, dat tegen de tijd een product gecertificeerd is, er inmiddels nieuwe, snellere versies beschikbaar zijn. "Dat is een probleem dat alle certificeringsinstanties over de hele wereld hebben. De levenscyclus van het product is sneller dan het certificeringstraject." De Jongh adviseert bedrijven die niet aan de Departementaal vertrouwelijk regel moeten voldoen, om de nieuwste versie te kopen, in plaats van het gecertificeerde product.
Zorgtaak
De Nederlandse overheid heeft regels afgesproken, waardoor vertrouwelijke documenten altijd op een beveiligde USB-stick horen. De Jongh merkt op dat de overheid beveiligde USB-sticks ook voor minder geclassificeerde documenten zou kunnen afspreken. "Dat is de rol van de overheid op de data die ze zelf gebruiken." In Duitsland en Engeland gaat de overheid een stapje verder, merkt hij op. Daar worden bedrijven verplicht om gegevens van derden te versleutelen.
De Duitse en Engelse overheid stellen door deze regels dat bedrijven ook een zorgtaak hebben om hun klantgegevens te beschermen. In Nederland wordt bedrijven alleen gezegd dat ze "passende maatregelen" moeten nemen. "Zo zeggen de Duitsers dat gevoelige data versleuteld moet worden."
Internetbankieren
En niet alleen bij gegevensbescherming houdt de Nederlandse overheid zich afzijdig, ook bij internetbankieren blijft het stil. "Veilig internetbankieren is mogelijk, veel veiliger dan het nu is, met een certificaat of stick. De Nederlandse overheid zegt zelf bij zoiets belangrijk als internetbankieren niets, waar heel veel fout gaat, maar wat door banken onder de tafel gehouden wordt omdat ze dat terugbetalen aan de klanten. Daar wordt niet gezegd dat het beveiligingsniveau omhoog moet. Dat wordt niet centraal aangestuurd."
De banken lanceerden alweer enige tijd geleden een campagne om veilig internetbankieren onder de aandacht te brengen. Bij deze 3xKloppen campagne moet de klant drie dingen in het oog houden. "De klant is zelf helemaal geen beveiligingsexpert. Dat kan je niet van een klant verwachten." De Jongh vindt dat de overheid op dit gebied de zorgplicht wel wat strakker mag stellen. In Duitsland heeft de overheid niet gezegd dat banken bepaalde oplossingen of producten moeten implementeren, maar er is wel afgesproken om een standaard voor internetbankieren af te spreken.
Die standaard is aan leveranciers bekend gemaakt, zodat die een USB-stick konden ontwikkelen die het internetbankieren ondersteunde. Duitse burgers kunnen bijvoorbeeld naar de Media Markt gaan en daar een stick kopen om veilig te internetbankieren. "De klant heeft dan zelf een optie om het op een veilige manier te doen. In Nederland is dat niet zo. Je krijgt gewoon iets van de bank en daar ben je afhankelijk van." Deze houding kan in de toekomst veranderen. "Nederland is best security-minded, maar ik denk dat door het poldermodel er veel overleg aan ten grondslag ligt." De veiligheid van internetbankieren mag volgens De Jongh best wat uitgebreider in de media worden uitgelicht, in de hoop dat dit als een katalysator kan dienen.
Voor de zoveelste keer: fraude met internetbankieren is in Nederland te verwaarlozen (Alle vormen samen < 45.000.000 w.v. 80% recovered op enkele Miljarden omzet). (En die gegevens zijn openbaar)
Zet er dan "advertentie" op. Kunnen we het blokken.
Jaha;
Vooral halverwege april as voor de Vista Home gebruikers.
Linux kan, maar dan moet 't wel vanaf de boot, wat voor de normale consument niet prettig is. laat ik het erg simpel houden: Een extra laag encryptie en authentificatie (met een hardware matige token) bovenop het huidige systeem. Dan krijg je alleen weer de discussie aan wie het uitbesteed moet worden. Ironkey heeft al zo'n teckniek: https://www.ironkey.com/trusted-access, maar in de Intel vPro processors zit ook al een extra mogelijkheid tot authentificatie en in de Ivy Bridge processors komt er nog een speciaal gedeelte in de chips dat echt willekeurige getallen maakt.
Als ik het me goed herinner hebben de zuiderburen voor hun equivalent van de DigiD al een hardwarematige token van VeriSign
Jaha;
Vooral halverwege april as voor de Vista Home gebruikers.
Voor het gemak even een linkje, want niet iedereen zal zich bewust zijn van de aflopende ondersteuning voor Vista Starter, Home en Ultimate die in die thread besproken wordt, en van de potentiële implicaties van die aflopende ondersteuning:
http://www.security.nl/artikel/40087/1/Microsoft_geeft_XP-gebruikers_nog_800_dagen.html
MAG IK EVEN LACHEN.
DIE LATEN ZICH BEDIENEN DOOR COMMERCIËLE BEDRIJVEN DIE SECURITY ALS JE MAZZEL HEBT NA DE OPLEVERING VAN HET PROJECT een beetje inzetten... om aan de minimale niet duidelijke specs te voldoen.
Daar zou nou eens een journalist in moeten duiken.
Lach gerust, maar leg liever eens wat uit.
In iedergeval: Schreeuw niet zo hard.
Je krijgt er echt niet meer gelijk van.
Een 'stick' zou een certificaat van de bank kunnen hebben. Hierdoor kan de bank checken of jij bent wie je zegt te zijn zonder dat er een middle-man is. Blijven natuurlijk nog de problemen met een eventuele 'door hackers aangepaste browsers' maar dit kan door een secure browser die eventueel ook op de stick staat opgelost worden.
Ik lees ook opmerkingen over een 'paslezer'. Een paslezer i.c.m. een bankpas is inderdaad een handige oplossing. Ik gebruik het zelf ook. Ten aanzien van de veiligheid is er echter een aantal haken en ogen. Bijvoorbeeld de 'man-in-the-middle-attack'. Hoe kun je zeker weten dat je met de bank communiceert? Dat kan je in dit scenario alleen aan de gebruiker overlaten. Die kijkt in de meeste gevallen alleen naar de URL, maar als de ARP-tabel al is aangepast naar een schaduw-site op een andere server ben je de sigaar.
Een voorlichtingscampagne is zeker zinvol omdat de banken nu eenmaal geen invloed hebben de klant en werkplek. Door mensen bewuster te maken valt hier ook zeker wat te winnen. Want het zijn toch echt de gebruikers die hun PC niet goed updaten, authenticatie info prijsgeven etc.
Een 'stick' zou een certificaat van de bank kunnen hebben. Hierdoor kan de bank checken of jij bent wie je zegt te zijn zonder dat er een middle-man is. Blijven natuurlijk nog de problemen met een eventuele 'door hackers aangepaste browsers' maar dit kan door een secure browser die eventueel ook op de stick staat opgelost worden.
Banken hebben genoeg commerciele interesse om internetbaniekeren veilig te maken en als het mis gaat vergoeden ze de schade. Wat is dan het probleem?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
