image

Veilig online bankieren: op weg naar een verantwoordelijke klant

vrijdag 31 januari 2014, 10:11 door Paul van Dommelen, 15 reacties

In mijn vorige artikel schreef ik dat klanten niet gelijk zijn in hun kennis en vaardigheden. Ik gaf aan dat er een diepgaand onderzoek plaats moet vinden naar de kennis en kunde van de klant. Weten we dan helemaal niets over de kennis en kunde van de klant?

Het antwoord is ja en nee. Er zijn enkele onderzoeken gedaan naar de maatregelen die klanten nemen. Ook zijn er onderzoeken gedaan naar het bewustzijn van klanten. Het grote probleem in veel onderzoeken is echter dat niet gevalideerd is of het zelfbeeld van de klant daadwerkelijk klopt. In mijn eigen onderzoek heb ik klanten bijvoorbeeld gevraagd hoe groot ze de kans achtten dat zij slachtoffer worden van fraude op internet bankieren. Het overgrote deel van de klanten geeft aan dat ze de kans voor zichzelf als laag inschatten, maar dat de kans voor bijvoorbeeld hun ouders of opa en oma veel groter is omdat ze lagere computervaardigheden hebben.

Zonder doorvragen zeggen deze antwoorden echter weinig. En juist aan dat doorvragen schort het in veel onderzoeken. Ik heb na de antwoorden van de klanten daadwerkelijk getoetst wat ze weten van de verschillende aanvallen, en welke beveiligingsmaatregelen klanten kennen en daadwerkelijk nemen. Bij het doorvragen stuitte ik op een discrepantie. De klant is helemaal niet zo kundig als zij zelf denkt. Bij doorvragen blijkt dat meeste klanten helemaal niet weet hoe bijvoorbeeld hoe social engineering werkt en hoe de pc beveiligd is.

Uit mijn onderzoek blijkt ook dat de meeste klanten van de Nederlandse banken wel degelijk verantwoordelijkheid willen nemen (let wel, zoals al eerder vermeld: verantwoordelijkheid is geen aansprakelijkheid). De klant begrijpt (in tegenstelling tot veel reacties die ik lees op Security.nl) dat zij ook een verantwoordelijkheid heeft om zich zo veilig mogelijk te gedragen. Het probleem is echter dat deze klanten niet weten hoe ze dit moeten doen en daar hulp bij willen hebben. We zullen de klant dus moeten helpen om haar internetvaardigheden en online weerbaarheid te verhogen. Banken moeten daar een belangrijke rol in spelen. Dat begint bij het juist uitleggen van de risico’s. Ja, online bankieren is veilig (bekeken vanuit de statistieken), maar toch kleven er bepaalde risico’s aan. Risico’s die voor een groot deel te mitigeren zijn door de juiste maatregelen maar zelfs in het meest optimistische scenario nooit 100% te mitigeren zijn. Mijn advies is om de risico’s, hoe klein ze ook zijn, beter te communiceren. Hoe beter klanten ingelicht zijn over de risico’s en bijvoorbeeld de modus operandi van een social engineer en het gedrag van malware schermen, hoe beter deze klanten in staat zullen zijn om zich te wapenen, bijvoorbeeld door alert te zijn en afwijkingen te herkennen.

Ik lees vaak dat banken dit niet zouden willen communiceren omdat ze het vertrouwen van online bankieren in stand willen houden. Het vertrouwen van de Nederlandse consument is hoog, en dat is wat mij betreft terecht. Als we het aantal fraude gevallen in 2012 (het jaar2012 is tot op heden de piek van het aantal succesvolle aanvallen) afzetten tegen het aantal internetbankier klanten in 2012, dan zien we dat de kans om slachtoffer te worden 0,0828% per jaar is. Om dit in perspectief te plaatsen: de kans dat u dit jaar in het verkeer betrokken raakt bij een ongeluk is volgens statistieken oplopend tot ongeveer 30%. De kans op een ongeluk in het verkeer is dus 36.232% groter dan de kans dat u in 2012 slachtoffer werd van fraude met internet bankieren. Houd dat u tegen om niet meer deel te nemen aan het verkeer? Roepen we massaal dat de fabrikanten de auto’s veel veiliger kunnen maken dan ze vandaag de dag doen en daarom altijd op zouden moeten draaien voor de koste van de schade als gevolg van een ongeluk? Waarschijnlijk niet, het zorgt er (voor de meesten van u) voor dat u veilig en behoedzaam deel neemt aan het verkeer. Het zorgt ervoor dat u uw risico’s probeert te verkleinen door zelf verantwoordelijk gedrag te vertonen.

Hoewel de banken een belangrijk onderdeel van de oplossing zijn, kunnen we niet van banken verwachten dat zij het gehele probleem alleen op kunnen lossen. Natuurlijk dienen banken te zorgen voor een zo hoog mogelijk veiligheidsniveau van hun applicaties. Maar in de praktijk zal 100% security van systemen en processen niet haalbaar / betaalbaar zijn (dit laat onverlet dat het beter kan en moet). Ik ben van mening dat een tandem tussen een verantwoordelijke bank en zo verantwoordelijk mogelijke klant de beste oplossing is.

De overheid, het onderwijs en de klant hebben ook een belangrijk aandeel in de oplossing. Zoals ik laatst ook in een live uitzending van BNR nieuwsradio aangaf, is de overheid verantwoordelijk voor de veiligheid van haar burgers, en dus ook voor de online veiligheid. Het verbaast mij dan ook dat de overheid tot nu toe passief handelt en enkel verwijst naar de banken en de rechter. De overheid zou moeten zorgen voor bescherming van haar burger, enerzijds door voorlichting anderzijds door wettelijke rechten en plichten te scheppen (denk bijvoorbeeld aan het verder invullen van de online zorgplicht van de bank). Online veiligheid is in het belang van iedereen. Laten we gezamenlijk zoeken naar oplossingen in plaats van het doorschuiven van de hete aardappel en wijzen naar de ander.

Het verhogen van de online weerbaarheid van de consument is een extra stap in de goede richting, maar helaas niet de heilige graal. Hoe goed de online weerbaarheid ook is, fraudeurs zullen altijd mogelijkheden blijven vinden om misbruik te maken. En sommige zaken zijn nu eenmaal zeer lastig te detecteren voor een consument, denk bijvoorbeeld aan een malafide “drive by download”. Ook phishing websites en social engineering werkwijzen worden steeds lastiger te detecteren. Onderzoek heeft zelfs uitgewezen dat de beste phishing websites 90% van de deelnemers wist te verleiden (dit komt voor een deel door onwetendheid). Een klant die zich beter kan wapenen is dus slechts een deel van de oplossing. Preventie en detectie dienen daarom hand in hand te gaan.

Paul van Dommelen is Managing Consultant Financial Services bij Capgemini. Ter afronding van zijn Executive MBA aan de Nyenrode Business Universiteit publiceerde hij in november zijn master thesis over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren.

Reacties (15)
31-01-2014, 11:18 door Anoniem
Ben ik nu de enige die deze stropdas een beetje zat aan het worden is met z'n gezever dat banken geen veilige omgeving kunnen aanbieden maar dat de klant hier eigenlijk voor moet opdraaien?

Natuurlijk vind iedere consument dat deze zelf verantwoordelijk is voor de eigen online veiligheid en dat banken niet alles veilig kunnen maken, dat is de hersenspoelende werking van o.a. de media en stropdassen die voor de banken werken.
Dat niemand vind dat ie een gemakkelijk slachtoffer kan worden van cybercrime is er ook zo een, het is altijd lastig om toe te moeten geven dat je er niets van snapt. Maar het aantal slachtoffers van cybercrime is stijgende i.p.v. dalende dus dat zegt in feite meer dan wat de mensen er zelf van vinden.

Indien banken echt begaan waren met de veiligheid van hun klanten dan hadden ze de papieren versie van online bankieren wel in stand gehouden (zonder extra kosten voor de klant) en de de keuze voor online of offline aan de klant over gelaten. Dat ze dit niet doen zegt in feite genoeg over hoe banken over hun klanten denken. Banken lopen in feite geen enkel risico want schade wordt gewoon door de klanten zelf opgehoest door de extra kosten of door belastinggeld.
Onlangs lekte een document uit waarin stond dat de NL banken miljarden aan steun van de overheid ontvangen. Dat is belastinggeld die wij burgers en bedrijven op moeten hoesten en vervolgens hebben banken het gore lef om ons ook nog voor hun wanprestaties op het gebied van beveiliging mede-verantwoordelijk te maken.
Het moet toch niet gekker worden in dit rare land.
31-01-2014, 13:34 door Anoniem
"We zullen de klant dus moeten helpen om haar internetvaardigheden en online weerbaarheid te verhogen. Banken moeten daar een belangrijke rol in spelen. Dat begint bij het juist uitleggen van de risico’s."

Als ik iets niet begrijp moet ik zelf leren hoe dat werkt. Dan leg ik niet de verantwoordelijkheid bij 'de maatschappij' of een beroepsgroep neer om mij dat gratis uit te komen leggen. Omdat beveiliging iedereen aan zijn reet roest heb je de huidige situatie.
31-01-2014, 13:55 door Anoniem
Ook phishing websites en social engineering werkwijzen worden steeds lastiger te detecteren.
Graag met cijfers onderbouwen, iedereen kan hier iets over roepen zonder cijfers en je hebt altijd gelijk.

Onderzoek heeft zelfs uitgewezen dat de beste phishing websites 90% van de deelnemers wist te verleiden
Verleiden is één ding, daadwerkelijk een rekening plunderen is een ander ding. En dat is uitstekend te detecteren en te stoppen/voorkomen.

Phishing is voor banken voor de volle 100% te detecteren en tijdig te stoppen. En dat zonder hoge kosten voor de bank, niet geheel onbelangrijk. Iemand die het tegendeel beweert, moet zich eens wat beter laten informeren. Het accepteren van phishing is een keuze van de banken, het is namelijk écht niet nodig anno 2014.

Dus Paul, laat je alsjeblieft eens wat beter informeren, jouw cijfers zijn achterhaald. Zie de daling in het 3e en 4e kwartaal 2012 in de NVB fraude cijfers, die laten het verschil zien tussen geen detectie en wél detectie.
31-01-2014, 16:52 door Anoniem
Door Anoniem: Ben ik nu de enige die deze stropdas een beetje zat aan het worden is met z'n gezever dat banken geen veilige omgeving kunnen aanbieden maar dat de klant hier eigenlijk voor moet opdraaien?

Natuurlijk vind iedere consument dat deze zelf verantwoordelijk is voor de eigen online veiligheid en dat banken niet alles veilig kunnen maken, dat is de hersenspoelende werking van o.a. de media en stropdassen die voor de banken werken.
Dat niemand vind dat ie een gemakkelijk slachtoffer kan worden van cybercrime is er ook zo een, het is altijd lastig om toe te moeten geven dat je er niets van snapt. Maar het aantal slachtoffers van cybercrime is stijgende i.p.v. dalende dus dat zegt in feite meer dan wat de mensen er zelf van vinden.

Indien banken echt begaan waren met de veiligheid van hun klanten dan hadden ze de papieren versie van online bankieren wel in stand gehouden (zonder extra kosten voor de klant) en de de keuze voor online of offline aan de klant over gelaten. Dat ze dit niet doen zegt in feite genoeg over hoe banken over hun klanten denken. Banken lopen in feite geen enkel risico want schade wordt gewoon door de klanten zelf opgehoest door de extra kosten of door belastinggeld.
Onlangs lekte een document uit waarin stond dat de NL banken miljarden aan steun van de overheid ontvangen. Dat is belastinggeld die wij burgers en bedrijven op moeten hoesten en vervolgens hebben banken het gore lef om ons ook nog voor hun wanprestaties op het gebied van beveiliging mede-verantwoordelijk te maken.
Het moet toch niet gekker worden in dit rare land.

De wet is duidelijk, en stelt de bank voor het grootste deel verantwoordelijk voor de schade die u als consument lijd.
Wat hier op deze website gebeurt, is dat de makers hiervan al weken zo niet maanden bezig zijn dit onderwerp uit te melken,
en hiervoor iedere keer weer een ander variant van dit onderwerp plaatsen.
Uw boosheid is precies wat de makers hopen op te wekken.
31-01-2014, 17:34 door schele
Soms ben ik cynisch. Dan denk ik: oh jee, daar heb je weer een veel te duur betaalde jongen van een consultantsbureau met internationale allure die een rapport over verantwoordelijkheid moet opstellen. Daar komt AL-TIJD hetzelfde uit: ja nou de ene kant is wel misschien eventueel verantwoordelijk mits indien, echter, de andere kant kan natuurlijk ook eventueel weliswaar mogelijk mits in geval van verantwoordelijk zijn.

Maar... bovenstaande is ook nu weer precies wat er staat in de artikelen. Echter, die artikelen zijn niet de thesis zelf natuurlijk. Dus ik denk, he schele, doe niet zo cynisch, pak op zn minst de thesis zelf er even bij. Ik bedoel, dat ziet er een indrukwekkend boekwerk uit, nyenrode universiteit klinkt als een klok, al is er nogal wat sap uit het vlees gekropen de laatste decennia maar goed, je moet dat toch niet zomaar terzijde schuiven. Tijd voor een thesis review!

De thesis is getiteld “Secure onlie banking, a quest towards joint responsibility”. Nou niet meteen denken dat Paul met gleufhoed en zweep de jungle van het bankwezen in is getrokken, quest is hier iets minder spannend bedoeld: 100+ pagina’s grofweg bestaande uit literatuuronderzoek, klanten onderzoek, analyse en aanbevelingen. Paul beschrijft overigens wel hoe tie 2 jaar op een persoonlijke ontdekkingstocht is geweest bij het samenstellen van deze thesis, dus misschien is die Indiana Jones vergelijking toch terecht. We duiken erin.

Het literatuurwerk is prachtig. Duidelijk veel gelezen, cijfers rond de impact, de huidige wet, ethische standpunten en het beeld dat de markt zelf heeft. Maar ja, dat blijft literatuur, snel door naar het veldwerk.

Oh nee. Eerst een conceptueel model. Iets met powerpoint en blokjes naar gezamelijke verantwoordelijkheid. Snel vergeten en op naar het stuk waar Paul met de voeten in de modder is gaan staan!

Het klantenonderzoek is uitgevoerd obv van... ff kijken... 26 klanten! Sow.. da’s.. minder dan ik had gehoopt, maar er ligt vast een stevig statistisch onderbouwd steekproefmodel onder. Oh... nee... ook niet: een zogenaamd convenience sample. Ook wel bekend als de "ik vraag ff rond" methode, veel toegepast door HBO studenten die vrienden en familie enquetes rondsturen, alleen worden die hier focus interviews genoemd in focus groepjes, lees 5 interviews van meerdere mensen tegelijk, met een vrij kort vragenlijstje. Dus het voeten in de modder is 5 keer een middagje praten. Ow. De sample van 26 is overigens wel heel random hoor!

Reden voor kwalitatief ipv kwantitatief onderzoek is dat klanten te dom zijn om eigen verantwoordelijkheid in te schatten dus moet er gekeken worden naar hun innerlijke perspectieven (jup, staat er echt) binnen de praatgroepjes. Meaningful quote: “I expected responsibility for online security to be a difficult topic for customers, since it’s an aspect the average customer don’t (sic) usually has (sic) to think about”. Het prachtige Engels daargelaten is het nogal een subjectieve insteek: de onderzoeker die van te voren al bepaald dat klanten zelf hun verantwoordelijkheid niet in kunnen schatten. Nice!

Maar goed, aanpak daargelaten, nu komt het, koppen met spijkers: conclusies! Nou, Paul, kom er maar in: root causes zijn het ontbreken van morele standaarden en gebrek aan communicatie. En voor de rest: it are not only the FSPs, but also the NVB, the customers, the government, legislators (paragraph 4.2.8), judges and the KiFid that will have to perform efforts in order to achieve a joint responsibility. Met andere woorden: iedereen samen hand in hand kunnen we het oplossen. Keiharde conclusies schuw je duidelijk niet Paul.

Maarrr... er zijn wel 2 beperkingen: die morele standaarden moet nog eens goed onderzoek naar gedaan worden, het is niet duidelijk wat ze zijn en wat de morele standaarden specifiek voor banken zijn. Moeten we nog eens goed onderzoeken. En er moet een wet komen want ja nu weten we niet waar we aan toe zijn.
Da’s nogal slap voor een conclusie Paul. Maar niet getreurd, we hebben de aanbevelingen nog!

Banken moeten bijvoorbeeld morele standaarden vastleggen (hahahahaha... banken en morele standaarden, die is goed Paul!), risico profielen bepalen voor hun klanten (hoe staat er niet bij), morel besef kweken, beter communiceren, help desk oprichten om klanten te helpen met beveiligen (kost geld, dus gebeurt never nooit niet tenzij wettelijk vastgelegd), op basis van risico profielen klanten beperken (ja hallo, ze zouden is aan hun eigen geld kunnen komen hey??), klanten zelf laten bepalen wat er kan in de online bankomgeving (ok, eerlijk is eerlijk, da’s een goeie).

Klanten moeten beter lezen, opletten, moreel besef ontwikkelen (dude, wat is dat met moraliteit, het gaat over mensen en hun geld), beter beschermen.

En dan nog wat algemeenheden voor de overheid en rechters die moeten kijken of de bovenstaande aanbevelingen wel goed zijn toegepast en die zelf wat nieuwe wetten moeten doorvoeren en reeds beschreven aanbevelingen vanuit Europa moeten implementeren.

Nou... dat was verhelderend. 2 jaar, 10.000+ euri en een executive MBA later is dit de output. Holy shit.
01-02-2014, 07:39 door Paul van Dommelen - Bijgewerkt: 01-02-2014, 08:04
Door schele: Soms ben ik cynisch. Dan denk ik: oh jee, daar heb je weer een veel te duur betaalde jongen van een consultantsbureau met internationale allure die een rapport over verantwoordelijkheid moet opstellen ........
Nou... dat was verhelderend. 2 jaar, 10.000+ euri en een executive MBA later is dit de output. Holy shit.

En hoe simpel het voor jou ook mogen lijken, in de dagelijkse praktijk gaan al die partijen er aan voorbij. Banken houden klanten niet alleen verantwoordelijk voor zaken die ze niet kunnen maar in sommige gevallen ook nog eens aansprakelijk. De klant weet ook niet waar hij aan toe is want moet wachten op de coulanceregeling. Wettelijk heeft hij namelijk geen poot om op te staan. Ik vind dat erg onjuist en probeer dat aan het verstand te brengen bij bijvoorbeeld de wetgever. Het verschil tussen verantwoordelijkheid en aansprakelijkheid lijkt men maar niet te begrijpen. Evenmin als de zaken die nodig zijn om überhaupt verantwoordelijkheid te verwachten. Als klap op de vuurpijl stelt de rechter geen enkele kritische vraag en neemt de conclusie zomaar over. Geen check of de bank alles gedaan heeft om de beveiliging op orde te hebben, geen check of de algemene voorwaarden misschien onredelijk bezwarend zijn. Sterker nog: daar was nog geen enkel onderzoek naar gedaan. Ook minister Dijsselbloem blijft makkelijk van zich afwijzen (afgelopen donderdag weer), de rechter vogelt het wel uit. Zo werkt het helaas niet. Bij een gang naar de rechter is de klant op dit moment 9 van de 10 keer de dupe omdat niet de juiste vragen worden gesteld. Dus hoe simpel het volgens jou ook moge zijn, in de dagelijkse praktijk gaat het allemaal fout!

Op deze site "weten" we al langer dat klanten dat niet kunnen. Maar wat is weten? Zonder bewijs krijgen we dit de banken, wetgever en rechter blijkbaar niet voldoende aan het verstand. Je mag kritisch zijn, daar heb ik geen problemen mee, afbreken is immers altijd makkelijker dan bouwen. Ik kan je echter verzekeren dat de sampel die ik heb genomen wetenschappelijk 100% in orde is en dat het gelukkig niet de friends fools en familie sample is. Ik heb de thesis en deze artikelen geschreven vanuit de wil en drive om mee te helpen de huidige situatie op te lossen, niet uit een eigen belang. Als ik de betrokken partijen aan hun verstand gepeuterd kan krijgen dat verantwoordelijkheden niet zomaar afgeschoven kunnen worden op de klant (aansprakelijkheid nog daargelaten) dan ben ik al zeer tevreden. De situatie zoals die vandaag de dag is, is wat mij betreft niet acceptabel.
01-02-2014, 13:28 door Fwiffo
@Paul: Ik begrijp dat je uit de bestuurdershoek komt, maar zou je je onderzoek 'concreet' kunnen maken?
Zo controleer ik zelf nog steeds braaf de hangslotjes (ook op security.nl), maar automatisch inloggen onder Windows Vista zou ik toch echt gaan missen (Ik zet mijn computer aan en ga dan tien minuten wat anders doen en reboot overvloedig bij het updaten van software).

En hoe zit het met mensen met minder vaardigheden, maar die een security.nl-er kennen die hun helpt met het veilig houden van hun computer? Of kennissen die security allemaal maar onzin en verspilling van tijd vinden, ook al probeert de security.nl-er hints te geven voor 'verbeteringen'. Zijn ze minder 'verantwoordelijk' door diens tips te negeren? Zo ken ik wel een paar mensen die door blijven modderen met Windows XP, maar ik heb ze wel de suggestie gedaan naar linux over te stappen (kost je een lege dvd en wat tijd, draait op bijna alle oude hardware). Geen reactie hierop.

Dat zijn dingen waarvan ik denk dat ze je lezers hier bezig houden. Dat is je doelgroep hier :-)
En nog iets, mijn bank heeft adobe flash bestanden op haar site. Hoe moeilijk is het oude versies hiervan te blokkeren (en dus de verantwoordelijkheid van de bank als die de klant toch door laat gaan). Idem met Windows XP of oude versies van Internet Explorer (bijvoorbeeld IE 6).
01-02-2014, 17:11 door Paul van Dommelen
Door Anoniem:
Graag met cijfers onderbouwen, iedereen kan hier iets over roepen zonder cijfers en je hebt altijd gelijk.

Beste Frank, lees bijvoorbeeld eens het boek Financial Identity Theft van Nicole S. van der Meulen, daar staat voldoende onderzoek in. Maar ook zonder dit onderzoek te lezen weet jij denk ik wel dat phishing mails steeds beter worden (betere lay-out, geen spelfouten) en dat de belscripts van criminelen steeds beter worden. Mevrouw ik ben een medewerker van de fraud afdeling van de ... bank, u mag absoluut uw pincode niet aan mij doorgeven etc etc.


Verleiden is één ding, daadwerkelijk een rekening plunderen is een ander ding. En dat is uitstekend te detecteren en te stoppen/voorkomen.

Al die tijd is er wel een breach of privacy geweest, ook dat is een serieus probleem


Phishing is voor banken voor de volle 100% te detecteren en tijdig te stoppen. En dat zonder hoge kosten voor de bank, niet geheel onbelangrijk. Iemand die het tegendeel beweert, moet zich eens wat beter laten informeren. Het accepteren van phishing is een keuze van de banken, het is namelijk écht niet nodig anno 2014.

Nu zou ik jou natuurlijk kunnen vragen om zelf ook met een feitelijke onderbouwing uit onderzoek te komen. Maar dat zou flauw zijn. Feit is in ieder geval dat er anno 2014 nog steeds klanten slachtoffer worden van phishing en dat ze anno 2014 nog altijd moeten hopen op coulance van de bank in het vergoed krijgen van de schade.


Dus Paul, laat je alsjeblieft eens wat beter informeren, jouw cijfers zijn achterhaald. Zie de daling in het 3e en 4e kwartaal 2012 in de NVB fraude cijfers, die laten het verschil zien tussen geen detectie en wél detectie.

Blijkbaar is detectie toch niet voldoende, de fraude is namelijk nog steeds niet 0,00 euro. De daling is mooi, maar we zijn er nog niet. Daarnaast heb ik de cijfers tot en met het tweede kwartaal 2013 meegenomen. Die zijn absoluut niet achterhaald en recenter dan jij aangeeft. Tenminste, naar mijn weten zijn er nog geen publieke cijfers over de tweede helft van 2013 beschikbaar. Of heb jij andere informatie?
01-02-2014, 21:43 door Anoniem
Zo, zo,

Omdat het 'too much to read' principe in dit geval niet bestaat een woorden-bal teruggekaatst (specifiek bedoeld voor de artikel schrijver om eens lappen tekst te lezen).

Vanaf 10 januari heb ik met krommetenen-mededogen en geduld geprobeerd vooral respect te hebben voor het ruimte biedend podium dat achtergrond is voor security publicisten en niet te gaan sabelen (ook niet gereageerd), teveel sabelen, dat gebeurt nogal eens.

Het stelt je als lezer wel voor een dilemma als een schrijver meent artikelen-lang de lezer op de proef te moeten stellen door grenzen op te zoeken. Met boude stellingen of bijvoorbeeld door je lezersgroep 'weg te zetten'.
Wat zullen we nou krijgen?
Over het idee van aansluiting van de doelgroep heen gaan zonder daarbij een overtuigende bescheidendeheid ten aanzien van het eigen kennisniveau in acht te nemen. (Gesteld vanuit een veiliger comfort van reageerder).
De kennisvraag werd in beginsel direct gesteld, leek wat vroeg maar is inmiddels er één die zich vast bij meer dan twee lezers aandient en mijns inziens schreeuwt om antwoord.

Dat is niet het enige, helaas, algemeenheden, open deuren zat,
bij deze eveneens ruim de woorden nemend voor achterstallig kritisch onderhoud, aangaande wat er zoal is beweerd. Er wat uit gepakt (ruim teveel keuze)

Weten we dan helemaal niets over de kennis en kunde van de klant?

- De schrijver geeft vooralsnog geen blijkt van de eigen technische kennis of concrete interesse daarin.
Literatuuronderzoek is mooi, lezers en klanten zijn veel meer gebaat bij concrete maatregelen en concrete zinvolle technische tips.

De klant is helemaal niet zo kundig als zij zelf denkt. Bij doorvragen blijkt dat meeste klanten helemaal niet weet hoe bijvoorbeeld hoe social engineering werkt en hoe de pc beveiligd is.

- Hoe kundig is de schrijver zelf op dit vlak?

Uit mijn onderzoek blijkt ook dat de meeste klanten van de Nederlandse banken wel degelijk verantwoordelijkheid willen nemen (let wel, zoals al eerder vermeld: verantwoordelijkheid is geen aansprakelijkheid). De klant begrijpt (in tegenstelling tot veel reacties die ik lees op Security.nl) dat zij ook een verantwoordelijkheid heeft om zich zo veilig mogelijk te gedragen.

- Het begrip verantwoordelijkheid blijft vaag en niet concreet
- Wat de schrijver niet begrijpt is dat het weinig nut heeft de lezers onterecht te schofferen of de gordijnen in te jagen.

Dat begint bij het juist uitleggen van de risico’s. Ja, online bankieren is veilig (bekeken vanuit de statistieken), maar toch kleven er bepaalde risico’s aan.

- Klanten de gordijnen injagen met nieuwe regels zonder te exact te willen kwantificeren hoeveel het voorkomt en wat de dreigingen precies zijn helpt daar niet bij.
Kom maar op met een hele lijst aan cijfers, gespecificeerd per soort fraude, soort malware etc. Gebeurt niet. Waarom niet?
Banken en overheid houden kaken op elkaar, daarmee creëer je onveiligheidsgevoel.

Ik lees vaak dat banken dit niet zouden willen communiceren omdat ze het vertrouwen van online bankieren in stand willen houden.

- Taak van een onderzoeker is dan de banken om antwoorden te vragen of te onderzoeken wat dan de feiten zijn in plaats van vage literatuuronderzoeken die in concreto geen inzicht geven of een handreiking zijn naar klanten die bereid zijn de eigen veiligheid te verhogen.

Hoewel de banken een belangrijk onderdeel van de oplossing zijn, kunnen we niet van banken verwachten dat zij het gehele probleem alleen op kunnen lossen.
..
Ik ben van mening dat een tandem tussen een verantwoordelijke bank en zo verantwoordelijk mogelijke klant de beste oplossing is.

- Ik voel me als lezer volstrekt niet aangesproken.
Niet omdat ik het probleem of het risico niet onderken, wel omdat ik het een onrealistische, vergezochte, geforceerde onderzoekersstelling vindt (eerst het antwoord dan de vraagstelling?).
Nooit heb ik ook maar iemand serieus horen beweren dat de volledige verantwoordelijkheid bij de bank ligt. Wat voorkomt is dat dergelijke standpunten gechargeerde (boze) reacties zijn op de niet onterechte aanname van klanten dat zij het gevoel krijgen door banken geheel verantwoordelijk dreigen te worden gesteld voor beheer routines (geen loketten, kantoortijden, wel internet en mobiel bankieren) die zij opgedrongen krijgen.

Zoals ik laatst ook in een live uitzending van BNR nieuwsradio aangaf..

- Wat is dit voor artikelenserie? Variatie op het eerder gehoorde oude liedje wederom?
Nu ; Pvd-Branding? Capgemini-branding? Nyenrode-branding?
linkbuilding, searchengine link building, .?

Laten we gezamenlijk zoeken naar oplossingen in plaats van het doorschuiven van de hete aardappel en wijzen naar de ander.

- laat een artikelschrijver die een dergelijk grote ruimte claimt op een security site zich eens verdiepen in de doelgroep en de eigen know how en ideeën laten aansluiten in concrete oplossen de zin.

Geen heilige graal maar op zijn minst waard geweest, te laat helaas.


Toegift :
(vertrouwend op de goede smaak van het publiek)

een uitgebreide reactie stond al klaar na artikel 1, gisteren na revisie wederom. Nu nog een revisie eroverheen wegens nieuwe verbazingwekkende reacties en net zo uitgeweid.
Dat krijg je dan van academisch trollen ('persoonlijke mening (?)) van een lezersgroep. Veel leesplezier.

Maar wat is weten?

'Maar wat is lezersgeduld, hoe ver kan je gaan?'

Nou,.. tot hier.
'Dank' voor de druppel, in een lange reactie een deel van de emmer met inhoud retour. Ofwel 'een Cookie van.' , extra lang, ruim uitweidend, de bal in overeenkomstige breedsprakige stijl terugkaatsend.

Vele woorden en diverse artikelen later is het nog steeds veel te weinig concreet, de discussie over het onderwerp is ongeveer platgeslagen met een waaier van onoverzichtelijke 'pseudo'-info, zijpaden, meningen en verwijzingen naar ter plaatse niet nader helder gespecificeerd en samengevat onderzoek, andere eigen opinies, aanvullende literatuur,
èn met zelfs meermalen nog een diskwalificatie van de lezersgroep hier erbij (dan vraag je erom). (&1)

Voor de lezer valt het niet mee sinds 10 jan gemotiveerd bij de les te blijven, vermoed ik zo, de rek raakt er inmiddels wel uit gezien de omslag in toon.
Hoe zou dat nou komen?
Die vraag mag de schrijver zelf proberen te beantwoorden. (doe maar niet hier)

Mijn gedachte die opkwam bij het globaal weer doornemen van alle artikelen; het vereist ongeveer een 'security.nl-'lectuur'onderzoek' (inmiddels ook extra literatuur onderzoek) met veel copy paste en herordening op zich om effectief de werkelijk concrete en relevante informatie eruit te kunnen filteren.
Wie overvraagt er hier eigenlijk?
Wie gaat die extra taak aan? De lezer? Nee hoor, waarschijnlijk niet, dat kan je vergeten.
Wat is dan het nut en effect van deze artikelen investering in concreto voor de lezer behalve meer vragen en een waaier aan reacties?

Een aantal artikelen later was ik ergens (nog steeds? vraag me niet waarom) bereid te geloven dat de bedoeling van 'de' schrijver 'goed' was.
Helaas; 'We weten' echter allemaal ook dat tegenwoordig niets meer is wat het lijkt.
Concreet hier; 'weten we allemaal' dat artikelen onder 'achtergrond' nogal eens meer weg hebben van verkapte zelfpromotie of promotie van een product of bedrijf (veelgehoorde reactie variant is de 'Duck' reiniging promotie).
Gevolg gedachte; Waar ben ik als lezer eigenlijk inmiddels onderdeel van??
Een 'achtergrond partij x' marketingcampagne, 'x' zelfpromotie, een tegenactie van 'partij x' om kritische geluiden te doen verstommen, een relevante discussie omzichtig maar effectief verwarrend compleet de knoop gejaagd?

Waar gaat dit inmiddels werkelijk over?
Wat is het doel erachter, wat lees ik nu eigenlijk en waarom?
Ik heb het me afgelopen maand meerdere malen afgevraagd. Nieuwe reacties maken de lichte verbijstering groter en groter . (&2)
Na een aantal artikelen slaat dus het geduld, de bereidheid van 'de' lezer en het geloof in een goede, integere intentie lijkt het wel om.

Dan kan je als schrijver (even meedenkend) een paar dingen doen :

- ophouden (stoppen) met behoud van de positive attention (publiciteit is wel bereikt)
- damage control door te ja-maar reageren, 'literatuuropdrachten' uit te vaardigen.
(eerder genoemde metafoor hier van ' Voeten in de Modder' begint overigens meer op dat van 'Voeten in het Moeras' te lijken, geen sneer maar het wordt er niet beter op sinds het laatste artikel met over en weer reacties).
- of misschien (met het lef van constructief doorzettingsvermogen) oppakken wat eventueel met node door de lezer(s) gemist wordt (heel graag!).
(afhankelijk van hoeveel artikelen er nog in de pijpleiding zitten/zaten en het draagvlak tot lezen dat mogelijk nog rest bij de lezersgroep).

Wat mist dèze reagerende lezer (die voor geen meter door dat eindeloze Engelstalige boekwerk heen kwam)?
Een praktische, concrete, heldere kijk op zaken, gebaseerd op inzichtelijke heldere overtuigende cijfers.
Helder zicht in plaats van dichte desoriënterende beleids-mits-maar-etc-mist (ja, daar zit wel het geld, de mogelijkheden en de invloed; consultancy?).

Ik hoop dat (mogelijk aangesproken) schrijver dit alsnog oppakt, nu wel met een goede concrete puntsgewijze samenvatting met als resultaat iets waar lezers wat mee kunnen.
Een concrete overzichtelijke overtuigende samenvatting, een concrete leidraad (alsnog) voor een heldere, functionele, praktische discussie met te implementeren concrete maatregelen als resultaat (vast wel wat ict-ers te vinden hier die meelezen).

En liever niet gewild, te laat helaas : de lezer auteur gaan maken van een nieuw (eigen) virtueel stuk door hen als reactie op kritische vragen naar huis te sturen met een extra opdracht; literatuuronderzoek? Statistieken onderzoek? Cijferonderzoek?
Kom nou, dat had in de afgelopen artikelen met gemak erbij gekund, rollen omdraaien is geen optie (al heb je mij inmiddels aardig in de rol van schrijver gekregen, met tegenzin).

Dus aub alsnog weer terug naar de realiteit en concreet maken, wat concrete punten gefilterd, in de hoop dat er nog connectie met 'de lezersgroep' (?) gaat plaatsvinden en deze serie nog een goed / positief / functioneel einde krijgt.

a) Probleemstelling helder definiëren : digitale banking fraude

b) Concrete inventarisatie dreigingen :
- Welke daadwerkelijke specifieke soorten threads en malware gaat het over?
Lijst van soorten Fraude en bijbehorende virus, malware, engineering threads.
- Cijfers. Cijfers.
Harde thread en fraude cijfers! Geen indicatieve onderzoekjes van meningen of belevingen. Niet doorverwijzen naar andere loketten.
- Eventueel daarbij percentages gebaseerd op de gegeven inzichtelijke cijfers.
(hier onderbouwen aub en niet alsnog doorverwijzen naar artikelen en literatuur, de lezer is niet bezig met het behalen van een MBA maar neemt hier graag kennis van een standpunt dat aannemelijk overtuigt).

Het is waarschijnlijk de tijdsgeest, massaal allemaal discussiëren, op elkaar reageren en vooral je laten waarschuwen, informeren en bangmaken zonder concrete cijfers. Waar hebben we het eigenlijk over?
Wie weet het nog? Opinie op opinie, reactie op reactie.

c) Oplossingen :
- Beschikbare technische en morele oplossingen.
- Lijsten, gespecificeerd naar categorie.
- Gesorteerd naar effectiviteit, haalbaarheid en dreigingslevel.

d) Wie kan wat : wie kan welke maatregelen nemen tegen welke threads?
- Banken lijstje. (&3)
- Consumentenlijstje. (&4)
- Overheidslijstje.
- Industrielijstje.
- ..lijstje.

e) Digitale misverstanden en ruis :
- Inventariseren van verkeerde ict opvattingen en aannamen rond gebruikte techniek.
- Teruggekoppeld naar de daadwerkelijke threads.
(gechargeerd voorbeeld, Windows 95 is onveilig maar zijn er eigenlijk veel dreigingen voor? Je gebruikt een browser die niet bij de standaard grote drie hoort, maar zijn er relevante dreigingen voor?).

- Af moeten we van dreigingsclichés en napraterij.
Of komt sommige partijen dat wel goed uit, wel zo makkelijk en overzichtelijk (eigenbelang?).

f) Verantwoordelijkheidsvraag (&4) : concreet koppelen aan de beschikbare technische en morele maatregelen die banken en consumenten zouden kunnen nemen.

g) Toetsing :
- Bovenstaande aan elkaar koppelen met aandacht voor een realistische balans in mogelijkheden.
- Wanneer banken meer technische mogelijkheden hebben is het ook logisch dat zij meer investeren in service naar de klant in plaats van de klant te forceren in bepaalde modellen die hen goed uitkomt (het vereisen van extra onveiliger techniek t.b.v. tracking analyse bijvoorbeeld).

h) Plan van aanpak :
- Wie gaat de consumenten informeren en hoe?
De bank op de site met een technische feedback?
- Wat is de actiebereidheid onder banken en wie krijgt ze gezamenlijk zover hierin zelf, met eigen middelen, te investeren.


Het is maar een indicatie van een idee hoe het ook gekund had of alsnog in aanvulling kan.
Zou het kunnen dat als dit onder elkaar staat een krachtig kort en helder document oplevert dat diverse partijen kunnen gebruiken als basis voor een heldere discussie? Dat zou mooi zijn.
De vraag is wie het oppakt en er het dichtste bij zit met beschikbare kennis.


Je mag kritisch zijn, daar heb ik geen problemen mee, afbreken is immers altijd makkelijker dan bouwen.

Een waarheid die hier wat is verdwaald en daarnaast nogal een makkelijke open deur.

Het getuigt van lef (of enige naïviteit?) om op deze plek (niet geheel onterechte kop van jut plek) over een dergelijk controversieel onderwerp te schrijven, ook nog eens verspreid over een aantal artikelen.

De schrijver van een artikel is de (virtuele) bouwer, die zet het gedachtenbouwwerk neer of geeft als architect van de gedachte een aanzet tot verder bouwende lezers.
Alhoewel het 'Toren van Babel' architectuur principe in creatief uitdagende zin meer tot de verbeelding spreekt, leert de praktijk dat de aangevende/ontwerpende architect (de artikelschrijver) poogt een meer aannemelijk en geaccepteerd bouwwerk met een overtuigend stevig fundament (!) voor te schotelen (overtuiging, functioneel lezersbereik omdat het hout snijdt).
De lezer kan niet anders dan reageren op dat idee, het eventueel bijschaven, of als het moet beoordelen op en in haar fundamenten.

Afbreken is een heel nuttig en maatschappelijk geaccepteerd proces, het is aan de architect het bestaansrecht van haar creatie te bewijzen en desgewenst voor de mensheid te bewaren.
Wanneer het bouwsel dreigt om te vallen met een zuchtje wind is het raadzaam daarvoor de oorzaak niet bij de wind te zoeken, maar nog eens naar het fundament te kijken (en ervan te leren).

Over vorm van kritiek kan je twisten.
De vraag is hoe aantoonbaar juist en relevant de kritiek aangaande de kracht en stabiliteit van het eigen onderzoek eigenlijk is.
Met
Ik kan je echter verzekeren dat de sampel die ik heb genomen wetenschappelijk 100% in orde is en dat het gelukkig niet de friends fools en familie sample is.
redt je het denk ik niet meer, niet bij mij, de vraag van de lezer stuurt aan op een goede onderbouwing, nu aantoonbaar graag met solide cijfers (niet verschuilen achter percentages) die het probleem daadwerkelijk inzichtelijk maken.

Heb je ze niet?
Wees daar dan eerlijk over of gooi bepaalde stellingen en zekerheden in de heroverweging.

Genoeg nu, nootjes tijd.


Nootjes :

&1) Lezersgroep diskwalificeren

"In hun algemene voorwaarden, verwachten banken allerlei beveiligingsmaatregelen van hun klant. Maar zijn klanten wel in staat om deze maatregelen ook daadwerkelijk uit te voeren? Het antwoord dat uit mijn onderzoek naar voren komt is nee! Daarnaast durft ik te stellen dat er geen enkele bezoeker van Security.NL is, die zich volledig houdt aan de algemene voorwaarden. Verder denk ik dat het percentage van Security.NL bezoekers dat volledig op de hoogte is van de details van de algemene voorwaarden zeer laag is (en dat terwijl dit onderwerp uitgebreid bediscussieerd is op deze website)."

Het praktisch nut van deze passage ontging me enigszins (negatieve balans).
Als schrijver ben je wel geen gelijke onder gelijken, je bent immers 'de' expert.
Met al te grote distantie of het wegzetten van je lezersgroep als 'dom', 'kakelziek' is mijns inziens een strategisch weinig effectieve aanpak; wat heb je aan een podium als je je lezers wegjaagt?
Ironisch, dat is het gelijk van de 'eenzame schrijver'. Een positie die over het algemeen al voorbehouden is aan reageerders en bloggers en niet aan artikelschrijvers (m.u.v. de genialen onder ons).

Deze lezer had het in zekere zin al behoorlijk gehad na het eerste artikel en heeft tot dusver niet gereageerd. Dat was namelijk weinig zinvol door de 'slimme' opzet van de artikelstructuur.
Vooruit'ver'wijzen naar volgende artikelen, komen met conclusies die je later zegt te gaan onderbouwen (handig, moet de lezer daarna weer terug gaan lezen, wie doet dat?).
Voor concrete onderbouwing vaak impliciet verwijzen naar een groot Engelstalig document (daarbij nu andere literatuur) en het nalaten per keer argumenten ter plaatse concreet met overtuigende cijfers te onderbouwen.


&2) Wat overgebleven hamvragen :

Paul van Dommelen is Managing Consultant Financial Services bij Capgemini. Ter afronding van zijn Executive MBA aan de Nyenrode Business Universiteit publiceerde hij in november zijn master thesis over de zoektocht naar gedeelde verantwoordelijkheid voor veilig online bankieren.

- Wat is de (commerciële) relatie tussen artikelschrijver, Capgemini en het Bankwezen op specifiek dit topic?
- Wat is de werkelijke achtergrond en doelstelling van het tot stand komen van deze thesis?
- Is het werkelijk een onderzoek of meer bedoeld als aanbevelingsbrief voor een functie in ...?
- Hoe werkelijk onafhankelijk is het onderzoek eigenlijk? Sponsored by?
- Waarom is er niet gekozen voor een concrete analyse van het probleem met zeer concrete aanbevelingen?
Teveel concrete openheid = ondergraving van de markt(consultancy)waarde van het eigen onderzoek?


&3) Broekzakker : Moral Hazard bij klanten? - Door welke 'Consultant Dukes of Hazards' is dat aangetoond?

Om de veiligheid van de totale keten te verhogen is het daarom goed dat banken hun klanten weerbaarder proberen te maken.
(..?? Kom maar op)
Het is daarom in het belang van de consument dat haar veiligheidsbewustzijn verhoogd wordt.

Bewustzijn is nog geen op zichzelf staande security maatregel.
Het doet erg denken aan het (m.i. deels stompzinnige) cliché van 'goed oppassen. Processen verlopen (vaak) ongemerkt en op de achtergrond, het is slecht oppassen op datgene dat je simpelweg niet waarneemt.

De oude situatie waarin banken de schade van hun klanten standaard vergoeden kwam het veiligheidsbewustzijn van de Nederlandse consument niet ten goede: onderzoek wijst uit dat dit juist heeft gezorgd voor moral hazard bij consumenten.

Cijfers beschikbaar bij deze aanmatigende conclusie?
Hoeveel klanten veronachtzamen hun totale digitale veiligheid vanuit het vergoedingsbesef van fraude bij online bankieren?
Nota bene ! ,
er zijn meer zaken waarover een klant zich zorgen kan maken, bijvoorbeeld algemeen immaterieel verlies en een algeheel gevoel van (digitale) onveiligheid. Dat stel je als klant niet bewust in de weegschaal vanuit de (hier aangeprate) logica dat het internetbankieren alleen je leven en veiligheidsbesef beheerst en bepaalt.
Als moraaldenken onderwerp van dit onderzoek is is het aardig hier nog eens bij stil te staan. Nu, niet bepaald overtuigend aangetoond.


&4) Plichten en rechten : wie bepaalt (betaalt) eigenlijk hier het perspectief?

Persoonlijk denk ik dat onze maatschappij inmiddels aanbeland is in een tijdsperk waarin we ons moeten beseffen dat we als burger en klant niet alleen rechten hebben in de online wereld, maar ook bepaalde plichten. Net zoals we die in de fysieke wereld geregeld hebben, denk bijvoorbeeld aan het slot op de voordeur.

Een dienst die vanuit het belang van een ander is aangeboden, zo niet bijna opgedrongen is, verkopen als een consumenten recht klinkt aardig. Het doet alleen niet helemaal recht aan de werkelijkheid.

Probeer het eens anders : het plichtdenken zou 'je' eens 'moeten proberen te vervangen' door 'eigenbelang denken'.
Probeer eens in te haken op wat er al is, het 'eigenbelang denken', lijkt wat nuttiger, want niemand vindt het een prettig idee om gehackt te worden en niemand brengt bewust de eigen materiële en immateriële veiligheid die met het gebruik van digitale devices gemoeid is in gevaar.

Een gebrek aan besef kan wel oorzaak zijn van een onveilige situatie, dat heeft voor de klant echter (zeer waarschijnlijk) niets te maken met de bank en ook niet met plichtdenken.
Tunnelvisie : De bank ìs niet het centrum van het leven van een klant, hoe graag de bank dat ook zou willen!

Als een klant het algemene digitale veiligheidsbesef heeft met daarbij concrete kennis om één en ander digitaal beter te organiseren zal het dat zeker voor een deel doen.


&5) Welke verantwoordelijkheden?
Net zo hard en scherp gedefinieerd als het begrip participatiemaatschappij misschien?

In mijn onderzoek heb ik klanten gevraagd over hun (toekomstige) verantwoordelijkheden. Uit dit onderzoek blijkt dat de meeste klanten wel degelijk begrijpen dat ze een bepaalde mate van verantwoordelijkheid (zouden moeten) dragen. De meeste klanten accepteren zelfs dat het niet nakomen van deze verantwoordelijkheid ook consequenties kan hebben. Klanten geven echter wel terecht aan dat daarvoor eerst bepaalde randvoorwaarden aanwezig moeten zijn.

Vaag : je vraagt naar 'verantwoordelijkheden'?

- Ik mis een specifieke definitie van het begrip.
- Binnen welke specifieke deel context is deze vraag gesteld? (ja ik weet het het gaat over internetbanking).
- Hoe open of gesloten is de vraagstelling, hoe sturend zijn de vragen (meerkeuze antwoorden toevallig)?
- Accepteren van welke verantwoordelijkheid?
- In welke context zijn de consequenties geplaatst, wat voor consequenties zijn de klant voorgeschoteld?

Het antwoord is in mijn ogen dus ja, banken mogen een zekere mate van verantwoordelijkheid van hun klanten verwachten.

- Waar precies is de klant het mee eens (?!) en komt dit overeen met het kader wat de banken voor ogen hebben?
Dit is geen geloofwaardige conclusie (open deur en te vaag).

Maar hoe zorgen we dat we klanten niet over- of ondervragen in hun verantwoordelijkheid?

Door bij jezelf te rade te gaan als bank
(of als schrijver/publicist/aankomend politicus/eindigend raad van bestuur lid na carrière in de politiek / .. de doorlooproutine is een platgetreden pad, succes met de carrière)

- Voor welke veiligheidsmaatregelen heb je de klant niet nodig?
- Op welke wijze kan je nu al maatregelen nemen als bank?
- Technische mogelijkheden genoeg, dat weet de bank maar al te goed als het gaat om online marketing en tracking technieken.

Investeer (als bank) maar eens meer in het proces van veiliger bankieren, op het moment dat de klant vanaf een vast device probeert in te loggen heeft de bank al een heleboel parameters om te veronderstellen dat het inderdaad met die klant te maken heeft.
Een bank kan met web technieken precies vaststellen met wat voor apparaat en software het te maken heeft en kan op het moment van bezoek al het veiligheidsrisico bepalen.
Het redelijkheids-'beginsel' zal daarbij een discussie kunnen worden als het gaat om blokkeren van toegang, een waarschuwing zou eerder op haar plaats zijn. Waarom daar niet eens eenvoudig mee begonnen; direct te implementeren, heel simpel als je trackingcode weet te verstoppen.

- Waarom moeten klanten eigenlijk plugins die de eigen veiligheid en privacy beschermen niet zelden uitschakelen om juist te kunnen inloggen bij banken?
Verplicht toestaan van Adobe Omniture Tracking e.d.?

Als er al een slot op de deur is dan is het dat (anti privacy) slot op de deur wat er pas afgaat als klanten toestaan dat de bank meer tracking-info over het website bezoek kan verzamelen met gebruik van - let wel derde partijen - met een eigen privacy policy die niet in Europa maar zich buiten 'die safe Harbor' bevinden'.


O,ja,
functioneel trollen (uit de kast lokken) is niet alleen aan lezers voorbehouden, dat is wel bewezen. Functioneel arrogant zijn (uit de kast lokken) omgekeerd weer niet voorbehouden aan schrijvers, ook bewezen (retorisch)?
Een bewust gekozen stijlvorm in deze ; bewust omgekeerd toegepast, in de hoop dat het omgekeerd ook net zo fijn aankomt als sommige passages bij de lezer.
02-02-2014, 08:41 door Paul van Dommelen
Door Anoniem:
verwijzing naar bovenstaande reactie

Allereerst bedankt voor je uitgebreide reactie. Om antwoord te geven op je eerste vraag: ik ben niet de inhoudelijke technische expert die veel van de Security.nl bezoekers zijn, ik heb dat ook nooit beweerd. Ik ben wel goed op de hoogte van de problematiek die er bij de banken speelt en de technische mogelijkheden die er zijn om fraude te voorkomen / beperken. Omdat ik niet de 100% technische expert ben heb ik dit onderzoek ook niet vanuit de techniek maar juist van een ethisch / klant perspectief uitgevoerd. De afgelopen jaren heb ik waargenomen dat de discussie veelal gevoerd wordt tussen de technische inhoudelijke mensen enerzijds en de beleidsmakers zonder technische kennis anderzijds. Mijn verwachting was / is dat die insteek voor een verbindende schakel kan zorgen.
Daarnaast is het niet mijn bedoeling om de lezers van Security.nl te schofferen, integendeel. Dank dat je aangeeft dat het blijkbaar zo overkomt. Mijn stelling bijvoorbeeld dat de gemiddelde bezoeker van Security.nl volgens mij niet voldoet aan alle gestelde regels in de algemene voorwaarden is bedoeld om de absurditeit van deze set regels aan te geven. Ik denk (niet op feiten en cijfers gebaseerd) dat de gemiddelde lezer van Security.nl meer weet van de technische mogelijkheden dan de gemiddelde Nederlandse burger, beter op de hoogte is van de gevaren en zich meer betrokken voelt bij dit onderwerp. Ondanks deze verhoogde alertheid en kennisniveau denk ik niet dat alle regels 100% gevolgd worden, dat is simpelweg onmogelijk (ook voor mij). Ik ben dus ook bepaald geen voorstander van het zomaar opstellen van nieuwe regels.
Jouw suggestie om te onderzoeken wat de security maatregelen zijn die een bank kan nemen en dat te vergelijken met de maatregelen de bank ook daadwerkelijk neemt heb ik overwogen. Ik heb dit om de volgende redenen niet gedaan:
• Als onafhankelijk onderzoeker is het erg lastig (zoniet onmogelijk) om van banken informatie te krijgen over welke maatregelen ze daadwerkelijk nemen, zeker niet als deze resultaten ook nog eens openbaar beschikbaar zijn. Ik juich een dergelijk onderzoek wel toe, ik denk echter dat dit vanuit de DNB zou moeten komen om het echt van toegevoegde waarde te laten zijn.
• Naar mijn mening is er al een goede aanzet door de ECB gedaan met de recommendations voor de security van online payments. Ik heb als aanbeveling toegevoegd dat banken moeten voldoen aan deze aanbevelingen en dat de overheid moet verplichten dat banken hier ook daadwerkelijk aan gaan voldoen. Wellicht moeten de ECB aanbevelingen nog verder uitgebreid worden, dat lijkt me een mooi onderzoek voor een onderzoeker die 100% uit de security techniek komt.
• Ik wilde graag de ethische kijk op het probleem toevoegen in de hoop via deze blik tot nieuwe inzichten en oplossingsrichtingen te komen.
Banken en overheid houden kaken op elkaar, daarmee creëer je onveiligheidsgevoel
Die mening steun ik van harte.

- Taak van een onderzoeker is dan de banken om antwoorden te vragen of te onderzoeken wat dan de feiten zijn in plaats van vage literatuuronderzoeken die in concreto geen inzicht geven of een handreiking zijn naar klanten die bereid zijn de eigen veiligheid te verhogen.
Ik ben het met je eens dat ook dit onderzoek erg interessant zou zijn. Ik vraag me echter af in hoeverre je als onafhankelijke onderzoeker toegang zal krijgen tot deze informatie.
Ik hoop dat (mogelijk aangesproken) schrijver dit alsnog oppakt, nu wel met een goede concrete puntsgewijze samenvatting met als resultaat iets waar lezers wat mee kunnen.
De puntsgewijze samenvatting komt in het volgend artikel terug. Waarschijnlijk had het voor jou beter gewerkt als ik direct en enkel en alleen de puntsgewijze samenvatting had gegeven. Ik dacht zelf dat het beter zou zijn om eerst meer achtergrond te geven. Misschien een foute aanpak, in ieder geval voor jou en enkele andere reageerders, voor andere misschien weer niet. Ik neem je feedback in ieder geval mee.
c) Oplossingen :
- Beschikbare technische en morele oplossingen.
- Lijsten, gespecificeerd naar categorie.
- Gesorteerd naar effectiviteit, haalbaarheid en dreigingslevel.
Ik heb mijn onderzoek niet op deze manier opgezet. Vind dit wel een aanrader voor een onderzoek, hard vanuit de techniek.
Met … redt je het denk ik niet meer, niet bij mij, de vraag van de lezer stuurt aan op een goede onderbouwing, nu aantoonbaar graag met solide cijfers (niet verschuilen achter percentages) die het probleem daadwerkelijk inzichtelijk maken.
Heb je ze niet?
Wees daar dan eerlijk over of gooi bepaalde stellingen en zekerheden in de heroverweging.
Ik heb ze wel, staan ook uitgebreid beschreven in het rapport. Het rapport is academisch ook goedgekeurd. Als je dat wilt controleren dan is dat prima.

- Wat is de (commerciële) relatie tussen artikelschrijver, Capgemini en het Bankwezen op specifiek dit topic?
- Wat is de werkelijke achtergrond en doelstelling van het tot stand komen van deze thesis?
- Is het werkelijk een onderzoek of meer bedoeld als aanbevelingsbrief voor een functie in ...?
- Hoe werkelijk onafhankelijk is het onderzoek eigenlijk? Sponsored by?
Ik heb het onderzoek volledig zelfstandig uitgevoerd zonder enige commerciële inmenging of dubbele agenda. Ik heb een persoonlijke drive om te proberen te helpen om dit probleem op te lossen. Ik vind het onterecht hoe slachtoffers vandaag de dag behandeld worden en zie niet dat er echte verbeteringen doorgevoerd worden in het beleid. Daar zou ik graag een verandering in aanbrengen.
Bewustzijn is nog geen op zichzelf staande security maatregel.
Klopt, opzichzelfstaand is het zeker niet. Ik denk echter dat onderbelicht is wat de kracht van bewustheid kan zijn. Als ik me bewust ben van de gevaren, de dingen die verkeerd kunnen gaan etc. dan ben ik meer in staat om me te beschermen. Bijvoorbeeld: als ik als klant weet dat ik niet zomaar op iedere hyperlink moet klikken maar eerst moet controleren waar de link naar verwijst en snap waarom dat moet en wat er verkeerd kan gaan, dan is de kans groter dat ik ook daadwerkelijk zal doen. Natuurlijk zoals jij ook stelt geen opzichzelfstaande en al helemaal geen totaal oplossing, wel een onderdeel van de oplossing.
Hoeveel klanten veronachtzamen hun totale digitale veiligheid vanuit het vergoedingsbesef van fraude bij online bankieren?
Ik heb dit meegenomen in mijn onderzoek. Omdat ik kwalitatief onderzoek heb gedaan en geen kwantitatief mag ik volgens de academische regels niet tellen, dat zie je dus ook niet in het rapport. Ik kan je zeggen dat in het onderzoek dat ik deed meer dan 90% van de klanten aangaf zich geen enkele zorgen te maken over de risico’s van fraude. Bij de openvraag waarom gaf ongeveer 50% te kennen dat dit was omdat de bank de schade toch wel zou vergoeden.
Probeer het eens anders : het plichtdenken zou 'je' eens 'moeten proberen te vervangen' door 'eigenbelang denken'.
Dat probeer ik ook te doen. Vandaar dat ik het niet eens ben met het opleggen van algemene regels en mijn oproep om het kennis en awareness niveau van de klant / burger te verhogen door enerzijds transparant te zijn over de risico’s en anderzijds te helpen met het nemen van maatregelen etc.

En nog als laatste toevoeging: ik heb gekozen voor kwalitatief onderzoek, juist om meerkeuze vragen te voorkomen. Ik heb open vragen gesteld (de vragen heb ik beschikbaar en staan ook gepubliceerd in het rapport) om vervolgens te observeren hoe klanten onderling de discussie voeren. Bij dit type onderzoek gaat het dus voornamelijk om de redenering en argumenten van de klant. Naar mijn mening is dat in deze discussie veel interessanter. Door deze methode kreeg ik namelijk niet alleen inzicht in wat de klant denkt (het daadwerkelijke antwoord) maar ook vooral in waarom de klant zo denkt. Mijn mening was dat een kwantitatief onderzoek dat in de regel bestaat uit meerkeuzevragen juist geen waarde zou hebben, zeker niet als je de klant vragen stelt over een onderwerp waar ze niet dagelijks mee bezig zijn (dit was een aanname voor mijn onderzoek en is tijdens het onderzoek gevalideerd).
02-02-2014, 15:45 door Anoniem
Door Paul van Dommelen:

Phishing is voor banken voor de volle 100% te detecteren en tijdig te stoppen. En dat zonder hoge kosten voor de bank, niet geheel onbelangrijk. Iemand die het tegendeel beweert, moet zich eens wat beter laten informeren. Het accepteren van phishing is een keuze van de banken, het is namelijk écht niet nodig anno 2014.

Nu zou ik jou natuurlijk kunnen vragen om zelf ook met een feitelijke onderbouwing uit onderzoek te komen. Maar dat zou flauw zijn. Feit is in ieder geval dat er anno 2014 nog steeds klanten slachtoffer worden van phishing en dat ze anno 2014 nog altijd moeten hopen op coulance van de bank in het vergoed krijgen van de schade.
Als je cijfers wilt zien, ga dan zsm eens informeren bij de bank waar jij zelf werkzaam bent. Je zal zien dat 100% detectie op phishing de nieuwe standaard is. Januari 2014 ligt nu net achter ons, kun je dit goed vergelijken met januari 2012 en januari 2013. De schade (van alle vormen van fraude via de internet kanalen) is nu vrijwel nul. Coulance is hierdoor goedkoper dan een hoop gedoe rondom de aansprakelijkheid en verantwoordelijkheid.


Blijkbaar is detectie toch niet voldoende, de fraude is namelijk nog steeds niet 0,00 euro. De daling is mooi, maar we zijn er nog niet. Daarnaast heb ik de cijfers tot en met het tweede kwartaal 2013 meegenomen. Die zijn absoluut niet achterhaald en recenter dan jij aangeeft. Tenminste, naar mijn weten zijn er nog geen publieke cijfers over de tweede helft van 2013 beschikbaar. Of heb jij andere informatie?
De cijfers van de NVB betreft álle banken, niet alleen die ene bank waar jij werkt en waar ze detectie goed op orde hebben.

En daar komt nog bij dat het niet alleen detectie is, maar ook actie: Transacties die je niet vertrouwt moet je kunnen parkeren om later te kunnen afkeuren of alsnog te laten verwerken. Ondanks alle alarmbellen tóch een transactie uitvoeren, is een beetje onhandig...

Fraude is een zeer dynamisch speelveld, cijfers van het 1e en 2e kwartaal 2013 tellen in het eerste kwartaal 2014 al niet meer. Dat is lastig voor jouw onderzoek, maar het is niet anders.

Wanneer je fraude wilt aanpakken, moet je er voor zorgen dat je als doelwit niet meer aantrekkelijk bent. Het moet te moeilijk worden en te veel tijd kosten om er geld aan te verdienen. Schuiven met verantwoordelijkheid en/of aansprakelijkheid gaat hierbij niet helpen, criminelen hebben daar namelijk niets mee te maken: Ze voelen zich niet verantwoordelijk en al helemaal niet aansprakelijk.

Dus welk probleem wil je aanpakken: Wie voor de schade opdraait of het bestaan van deze vormen van fraude?

Ik kies er voor om de fraude aan te pakken. De schade is namelijk bijzaak wanneer de fraude er niet meer is.
02-02-2014, 21:56 door schele - Bijgewerkt: 02-02-2014, 23:19
Credit where credit's due: de vriendelijke niet geagiteerde manier waarop je blijft reageren op het overvloedig cynisme en sarcasme (al dan niet terecht, dat laat ik even in het midden) is bewonderenwaardig. Petje af.
04-02-2014, 13:57 door Anoniem
Door Paul van Dommelen: Door Anoniem:
verwijzing naar bovenstaande reactie

Allereerst bedankt voor je uitgebreide reactie.

(...knip...)

Ik hoop dat (mogelijk aangesproken) schrijver dit alsnog oppakt, nu wel met een goede concrete puntsgewijze samenvatting met als resultaat iets waar lezers wat mee kunnen.
De puntsgewijze samenvatting komt in het volgend artikel terug.

Dank voor de genomen moeite van bovenstaande uitgebreide reactie met toelichting op punten.
Ik zie het volgende artikel met verhoogde belangstelling tegemoet.
Vriendelijke groet
10-02-2014, 14:25 door Anoniem
Banken verschuiven eerst uit economische motieven de baliewerkzaamheden naar Internet en daarna de schuld van henzelf door naar de consument. De sussende woorden dat het zo'n vaart niet zou lopen ten spijt.
"Vrouw moet schade skimming betalen na misser online afschrift"
20-02-2014, 12:42 door Anoniem
maar dat de kans voor bijvoorbeeld hun ouders of opa en oma veel groter is omdat ze lagere computervaardigheden hebben.

Mijn (schoon)ouders [van beide paren is nog de helft in leven] gebruiken echt geen internetbankieren. Die gaan zelf naar de bank (schoonvader) of in het geval van mijn moeder regelen mijn broer en schoonzus (werkt zelf bij een bank toevallig) alles.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.