Door Anoniem: Dit in tegenstelling tot alle 'nerds' hierboven die beginnen over kompjoeters en Linux etc...
Deze "nerd" had het niet over linux. Had ik naast geen windows, geen mac, nog eens extra geen linux moeten toevoegen?
Overigens had ik het over dat de bank zelf apparatuur en softare mag leveren als ze eisen willen mogen stellen, en vervolgens prijs je zelf het volgende aan:
Een iOS device is goed beveiligd, aantoonbaar up to date en draait (mits geen jailbreak) alleen legale software. Bankieren vanaf je iPad dus!
Een soortement appliance dus, al schuif je de verantwoordelijkheid voor het garanderen van de veiligheid af op apple, niet op de bank. Moet je er wel eentje hebben. Je kan zeggen, de bank deelt zoiets uit... maar daar loop je tegen een groter probleem aan. Afgezien van de problemen, laten we het eerst eens over de kosten hebben. Waarom zou ik meer moeten betalen om niet allerlei risico op me afgeschoven te krijgen?
En verder - is het zo raar dat een bank eisen stelt aan de beveiliging van een pc waarmee wordt gebankierd?
Ja, dat is raar. Om dit te snappen moet je weten wat een "demarcatiepunt" is. Waar begint jouw verantwoordelijkheid en waar eindigt die van de bank?
Probleem hier is dat ze een website bieden, en dan houdt hun verantwoordelijkheid zo'n beetje op als de data de browser ingetrokken wordt, maar ook dat ze zorgdragen voor jouw geld, en daar een aparte verantwoordelijkheid voor hebben. Dat laatste is zeg maar hun bestaansrecht, want anders kunnen we beter geld in een matras stoppen en weer teruggaan naar loonzakjes.
Stellen alle leveranciers niet soortgelijke eisen?
Moet je eens zien wat voor gesteggel het was om eens iets anders dan het standaardmodel telefoon wat je van de ptt huurde(!) te mogen(!) aansluiten.
Vergelijk met een "ontbundelde lijn", die de monteur "afleverde" als twee kale draadjes die uit de muur staken. Een wandcontactdoos eraan klussen kon ik mooi zelf doen.
Laten de Admins van een willekeurig bedrijf een BYOD toe op hun netwerk als de software hopeloos achter loopt of illegale reut (inclusief keygenerators) is geinstalleerd? Natuurlijk niet.
Natuurlijk wel... als'ie van de baas is. Maar BYOD is een ander, maar vergelijkbaar wespennest, en hoe daarmee omgegaan wordt is weinig uniformiteit in.
Waarom zou een bank dan wel de schade moeten vergoeden van ongelukken die gebeuren door slecht onderhoud van klantensystemen?
Omdat het bij hun ondernemersrisico hoort. Niet omdat ze een website bieden, maar omdat ze bankier zijn, en ook omdat ze die website verkocht hebben als "dat is makkelijk, hoef je niets voor te kunnen, is lekker goedkoop (voor ons)" en zo verder.
Hier breekt ons op dat de meestgebruikte systemen voor het gemak en het snelle geld gebouwd zijn--zorgen voor solide code die niet voortdurend de broek laat zakken was "geen prioriteit" terwijl ze dondersgoed wisten dat hun software op miljoenen systemen gebruikt werden, en dat die steeds vaker aanelkaar geknoopt werden. Ook daar zijn ze lang in de ontkenningsfase blijven steken. En ook dat de meeste gebruikers geen experts zijn, iets wat duidelijk aangemoedigd werd door de fabrikant. Dit betekent dat met betere software het probleem veel minder groot geweest zou zijn. Ook jij promoot hier software die beter gecontroleerd wordt, zij het dan in een "ommuurde tuin"model.
Maar het grotere punt is dus dat de softwarefundering niet deugt, en dat banken geen zin hebben in voor de kosten te moeten opdraaien. Jammer voor hen hoort het bij hun ondernemersrisico.
Mijn probleem met het hele verhaal is het blind aannemen dat iedere klant hetzelfde is en dat er oneigenlijk specifieke eisen aan apparatuur gesteld gaan worden die vooruitgang in de weg staan en daardoor een extra dosis bankiersrisico op mij afschuiven of zelf mij compleet het internetbankieren onmogelijk maken.
Door Anoniem: Het is totaal niet onmogelijk om een endpoint controle te doen alvorens je toegang biedt tot een externe dienst.
Je neemt hier blind aan dat a) je ook maar enige zeggenschap hebt over dat endpoint, en dat is bij lange na niet altijd het geval en b) dat jouw eisen redelijk zijn, wat ze niet zijn zodra je aanames gaat doen over de software op het endpoint buiten dat het een afgesproken protocol spreekt.
Andersgezegd, in deze context neem je blind aan dat de bank mag zeggen dat ik windows moet draaien (anders past er geen virusscanner op waarvan zij kunnen controleren of die wel op tijd de updates heeft geinstalleerd) en dat ze dat mogen controleren. Wat mij betreft mogen ze dat niet, onder andere niet omdat dat hun zaak niet is en ook al niet omdat ik er onveiliger van wordt.
Vandaar ook: Willen ze dat, dan leveren ze mij maar alle apparatuur en licenties en onderhoudscontracten erbij, en betalen dat uit eigen zak. Maken ze het hun zaak, dan dragen ze daar ook maar de gevolgen van.
Lijkt me niet kosteneffectief. Daarbuiten heb ik hier dan extra apparatuur staan die niet onder mijn beheer valt en dus eigenlijk niet in mijn netwerk wil hebben. Daar kun je wel weer een mouw aan proberen te passen, maar dan moet ik ineens, zeg, bankieren op een remote desktop die weer heel ergens anders staat, die ik nog minder kan vertrouwen, en die voor mij niet bruikbaar en dus helemaal niet gebruiksvriendelijk zal zijn. En het probleem oplossen doet het dat nog steeds niet, alleen maar een eind verschuiven.
Dit is overigens in het geheel geen pleidooi om de banken vrij te pleiten, want ik vind dat ze hun verantwoordelijkheden moeten nemen en fraude tot op zekere hoogte wel degelijk tot hun eigen risico moeten rekenen.
Omdat ze bankier zijn.
In zekere zin hadden ze veel eerder hun belang moeten zien en de fabrikant aanspreken op de noodzaak tot oplapmiddelen als virus- en malwarescanners. Maargoed, zoals al eerder geconstateerd*, bankiers denken niet verder dan of er meer geld binnenkomt dan er uitgaat.
*
https://www.security.nl/posting/367906/Geldautomaten-malware+vertaald+en+verbeterd#replies