Consumentenbond: grijze gebieden in nieuwe veiligheidsregels voor internetbankieren
De Consumentenbond erkent dat er grijze gebieden zijn in de nieuwe veiligheidsregels voor internetbankieren die het eind november samen met de Nederlandse Vereniging voor Banken presenteerde en die vanaf 1 januari 2014 zullen gaan gelden. Consumenten worden dan ook opgeroepen om misstanden te melden wanneer die zich door de nieuwe regels hebben voorgedaan.
Uniforme regels
Volgens de Consumentenbond is er echter geen sprake van nieuwe regels. De regels bestonden al maar waren "verspreid" over de verschillende banken en derhalve niet eenduidig. Nu zijn de regels gebundeld zodat ze duidelijker zijn en voor iedereen gelden.
Door de uniforme regels, waarin onder andere staat dat apparatuur die voor bankzaken wordt gebruikt over een goede beveiliging moet beschikken, is de verantwoordelijkheid voor fraude bij internetbankieren niet verschoven aldus de Bond. "De bewijslast ligt bij de banken", laat woordvoerster Sandra de Jong weten.
Grijze gebieden
Volgens De Jong is er bewust voor een beknopt veiligheidsreglement van 2,5 pagina's gekozen waar niet alles staat uitgeschreven. "Als je alles in detail wil vastleggen en in cement wilt gieten kom je weer in die dikke stapels terecht. Je moet ook rekening houden met iemands kennis en kunde als het om computergebruik gaat. Er moet ruimte zijn om daar persoonlijk naar te kijken."
Met name punt drie van de lijst lijkt een grijs gebied te bevatten. Zo moet gebruikte software, bijvoorbeeld een virusscanner en besturingssysteem, up-to-date zijn. Zelfs in het geval van automatische updates kan het echter enkele dagen duren voordat een update bij alle gebruikers wordt aangeboden en geïnstalleerd. Wat als er in die tussentijd iets gebeurt? En hoe speelt dit mee in de bewijslast. Moeten gedupeerde consumenten bijvoorbeeld hun computer bij de bank voor onderzoek brengen?
"De goede beveiliging van de apparatuur voor bankzaken betekent niet, zoals soms wel wordt geridiculiseerd, dat je de uitgave van vanmorgen op je computer moet hebben, maar ook niet die van drie jaar geleden. En afhankelijk van hoe intens je met computers omgaat en gebruikt kan er worden gekeken wat hierin een realistische vraag is voor de beveiliging die gebruikt wordt", laat De Jong weten.
Een ander grijs gebied is het delen van de bankpas. Bijvoorbeeld in het geval van mensen die ziek of slecht ter been zijn en iemand anders hun pas wel moeten geven. Het is echter nog onbekend hoe dit in praktijk precies zal uitpakken merkt ze op. "Hoe het uiteindelijk gaat en waar de onduidelijkheden liggen, daarvoor hebben we een evaluatietraject."
Oproep
De Consumentenbond roept mensen op die tegen misstanden in de veiligheidsregels aanlopen of vinden dat ze door de bank worden benadeeld om dit te melden. "Zo kunnen we zien hoe de banken deze uniforme veiligheidsvoorschriften hanteren." Het kan dan bijvoorbeeld gaan om het toepassen van de regels op een manier die niet de bedoeling was. De evaluatie van de nieuwe regels staat voor over een jaar gepland. "Maar indien nodig zal het eerder plaatsvinden", aldus De Jong.
Voor zover ik als leek heb begrepen, is niet de illegale software hoofdverantwoordelijk voor besmetting van iemand zijn computer, maar de kwetsbaarheid van drukbezochte websites die als springplank fungeert naar de gewone gebruiker.
Hoe kan een bank de PC van een bezoekende klant controleren en welke bevoegdheden heeft zo'n bank dan eigenlijk op 'iedere' PC die verbinding wil maken met het bancaire systeem? Wat is up-to-date en welke garantie heb ik dat iets up-to-date is? Zonder exacte kaders aan te geven, is niets meetbaar, ligt niets vast en is er dus ook geen zaak lijkt me.
Ik zie het zo: Banken bieden hun klanten een dienst aan om het voor ons makkelijker en voor de bank goedkoper te maken. Alle bankzaken via Internet heeft gevolgen, maar dat is een dienst die de bank aanbiedt en ik afneem. Strikt genomen is het dus de bank die de zaken veilig aan moet kunnen bieden, maar dat kost natuurlijk weer extra geld en dat hadden ze nu juist bespaard door al die balies en kantoren dicht te gooien. Mijn antwoord is dan ook: De bank moet met een oplosing komen zodat de klant op een veilige manier gebruik kan maken van de dienst die wordt aangeboden.
Tweede punt: Wat als het misgaat, als ik de 2,5 A4 lees lijkt het erop dat dit het begin is van een omgekeerde bewijslast. Dus uw pas wordt gekopieerd, er wordt geld gesloten en U moet aantonen dat uw computer up-to-date was. (Whatever that my be!) Nu is het andersom. Redenen genoeg om te overwegen de internetbankierenovereenkomst te ontbinden en terug te gaan naar de post, de vraag is wat er dan gaat gebeuren bij de banken?
O wacht... kan dat eigenlijk nog wel nu alle voorzieningen zijn afgebroken en banken geen gezicht meer hebben, maar een IP adres? Voor advies moet tegenwoordig ook al worden betaal, terwijl we voor het product zelf nog steeds hetzelfde kwijt zijn. En dan nog de fraude met de rente van onze rabo-vrienden? Zien we daar nog ooit iets van terug, want volgens mij heb ik jaren lang te veel hypotheekrente betaald door dat grapje. Ooit wel eens berekend wat 1% op uw hypotheek doet?
Nee, banken blijven in mijn ogen toch weer buiten schot, bezuinigen de baan van Henk weg en leggen verantwoordelijkheden neer op plaatsen waar ze niet thuis horen.
Die telebankeren niet meer doet per 1 jan.
Ze willen toch niet vertellen dat al die verontwaardiging die er ontstond over die regels niet door henzelf te voorzien
was en in de onderhandelingen meteen naar voren kon worden gebracht?
Wat was eigenlijk de inbreng van de Consumentenbond bij het opstellen van die regels?
Indien geen, waarom verbinden ze dan hun naam eraan?
Wanneer heb jij voor het laatst echt contact gehad met je bank met die vraag?
Ubuntu staat er gewoon tussen op https://www.rabobank.nl/particulieren/servicemenu/toegankelijkheid/besturingssystemen_en_browsers/
En als je denkt, dat doen alleen de groten, ook de ASN bank heeft gewoon linux erbij staan (http://www.asnbank.nl/index.asp?nid=11063)
Dat zou net zo belachelijk zijn als een verzekeringsmaatschappij die bij een inbraakverzekering eist dat je geen "gestolen fietsen" in je huis hebt staan, dat heeft ook niets met het beveiligen van je huis te maken...
De "nieuwe" regels zijn zo opgesteld dat de bank NOOIT hoeft te compenseren als ze op de strepen gaan staan, wat ze dus zeker en masse zullen gaan doen...
En moet ik dat dan geven? Want niet meewerken zal echt niet leiden tot schadeloosstelling. Maar op iedere computer is wel wat te vinden uit de lijst wat niet klopt. Of mensen zich daar nu bewust van zijn of niet. En wij als IT-'ers zijn dan vogelvrij, want wij moeten het allemaal weten?
Ik doe mijn uiterste best om alles up-to-date te hebben, maar soms wil je dat niet of kan het om uiteenlopende redenen niet, bijvoorbeeld omdat een software update compatibiliteitsproblemen heeft met add-ins of gekoppelde software. Of omdat een Windows patch tot issues kan leiden.
Ik kan me niet voorstellen dat dit soort nuances meegenomen kunnen worden, of als ze al meegenomen kunnen worden, het proces heel lang gaat duren en dus heel kostbaar wordt. De bank heeft echt wel een langere adem en portemonnee dan de particulieren.
Dus met deze regels zijn alle klanten in mijn ogen vogelvrij en hebben de banken alle opties om hun gelijk aan te tonen en dus niet tot schadevergoeding hoeven over te gaan.
het is gewoon dat banken maar moeten zorgen dat hun klanten een veilige bankier omgeving hebben. dit kunnen ze op verschillende manieren realiseren: laat banken ook de klant controleren of er die een veilig certificaat heeft en dus niet alleen zoals het nu is dat alleen de klant de bank controleert. of lever als bank een zelf gebouwde linux omgeving welke veilig is op cd of dergelijke.
regelgeving is nu vooral tegen klanten gericht en niet tegen banken. bank is hier koning en niet de klant en bij die insteek gaat het mis.
Een bank mag NIET zomaar even hun eigen regeltje opstellen.
Ik heb een spaarrekening, waar ik niet aan kom, dus ik ga echt niet welke twee weken checken of mijn saldo
wel klopt. Als ik dit moet checken betekend dit dus dat de bank NIET veilig is.
Dan maak ik gebruik van een Linux Live CD om te bankieren via mijn andere rekeningen, dus dat ik besmet raak
is zeer hoogst onwaarschijnlijk.
Mijn PC krijgen ze ook nooit waar daar staan zeer persoonlijke dingen op, die enkele voor "My eye's only" zijn.
Dan zou ik graag zien welke virusscanner ze aanraden? Niet elke virusscanner is ja even goed.
Dat gaat me nog wat worden zo.
Ik hoop dat de Consumentenbond hier echt achteraan gaat, voor de banken het voor het zeggen hebben, want
als consument sta je dan mooi in je hemd als je niet mee wil werken omdat je PC prive hoort te zijn.
Dus laten we eerst eens kijken wat er allemaal wettelijk allemaal kan en moet voordat banken hun eigen regeltjes
gaan maken, want anders is de consument straks de dupe ervan.
"Dat zou net zo belachelijk zijn als een verzekeringsmaatschappij die bij een inbraakverzekering eist dat je geen "gestolen fietsen" in je huis hebt staan, dat heeft ook niets met het beveiligen van je huis te maken..."
Die vergelijking met je gestolen fiets kun je beter doortrekken naar: dat jij iemand de sleutel van je woning geeft die die gestolen fiets in je huis zet. Dan is er wel echt ineens risico en is het vergelijkbaar (want in die software die op jouw pc staat kan van alles zitten, ook zooi die je browser aanpast (en daar kan een website dan weer niets tegen doen)).
Aangezien jij niet kunt bepalen welke malware meekomt met software die je niet via een officieel kanaal hebt gekregen kun je dat niet uitsluiten. Kijk naar een paar jaar geleden iWork (mac) die illegaal te downloaden was, http://www.zdnet.com/blog/security/mac-os-x-malware-found-in-pirated-apple-iwork-09/2418 , daar zat toch mooi wat extra's in.
Ik blijf die regel over illegale software wel te vaag vinden, maar er is zeker wel een risico. Misschien dan toch wat de ING doet met een gratis soort van virusscanner https://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/ing-trusteer-rapport/index.aspx en dat ze daarmee alle bekende zaken gewoon kunnen tegenhouden?
Dit is natuurlijk onzin. De bank verkoopt een dienst, en voor het aanschaffen en gebruik van het dienst moet je je aan bepaalde regels houden. Deze regels staan vaak in algemene voorwaarden en productvoorwaarden. Die accepteer je als je de dienst afneemt en dan dien je er aan te houden. Dat heet een overeenkomst. Als algemene voorwaarden en/of productvoorwaarden wijzigen wordt dat aangekondigd en heb je de gelegenheid om de dienst op te zeggen.
Ik verwacht dan ook dat alle banken de nieuwe regels aan hun voorwaarden zullen toevoegen (voorzover ze ze al niet in hun voorwaarden hadden staan).
Mijn mening is dan dat als je een app aanbied je er ook voor moet zorgen dat het veilig is ongeacht wat er verder op de pc staat of draait.
Je gebruikt die app toch omdat je er dan vanuit gaat dat het dan juist veilig is.
Mijn mening is dan dat als je een app aanbied je er ook voor moet zorgen dat het veilig is ongeacht wat er verder op de pc staat of draait.
Je gebruikt die app toch omdat je er dan vanuit gaat dat het dan juist veilig is.
het is gewoon dat banken maar moeten zorgen dat hun klanten een veilige bankier omgeving hebben. dit kunnen ze op verschillende manieren realiseren: laat banken ook de klant controleren of er die een veilig certificaat heeft en dus niet alleen zoals het nu is dat alleen de klant de bank controleert. of lever als bank een zelf gebouwde linux omgeving welke veilig is op cd of dergelijke.
regelgeving is nu vooral tegen klanten gericht en niet tegen banken. bank is hier koning en niet de klant en bij die insteek gaat het mis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
