Dus als ze die maatregelen nou, zeg, twintig jaar geleden genomen hadden, dan had dat ondertussen hoeveel gescheeld?

Dat met banken en de reputatie "veilig" te zijn blijkt als je eerlijk ben net iets te vaak meer reputatie dan waar.

geraaskal

En als internet niet zou zijn uitgevonden, was er nooit schade geweest op internetbankieren...

Rome is niet in één dag gebouwd, dat geldt ook voor een bank en de bijbehorende beveiliging.

Of is het glas weer eens half leeg?

Ik kan er zo even geen referenties voor vinden maar het lijkt me dat dit toch wel iets langer bestond. Volgens mij jaren tachtig dat de eerste rapportages over "oh kijk zo kan je een kaart klonen" kwamen bovendrijven.

Punt is dat banken "veiligheid" verkopen, en daarmee toch wel een beetje een zorgplicht qua vooruitkijken hebben. Zeker gezien hun collectieve machtspositie op het betalingsverkeer. Ze hadden dus wat mij betreft ook zonder uit de hand lopend misbruik mogen nadenken dat zo'n magneetstrip makkelijk te kopieeren is (zeker toen dat met wat lees- en schrijfkoppen uit een cassettespeler gedemonstreerd werd) en dus hadden moeten beginnen met een alternatief te verzinnen.

Zeg maar toen de chipkaart inzetbaar werd. In plaats daarvan hebben ze zich met faalspielerei in de chipknip en de chipper beziggehouden. Leuk voor een paar projectmanagers hun CV, maar geen blijk van doordachte strategie de infrastructuur op peil te houden.

Dan gaan zitten wachten tot de schadeclaims je te gortig worden voordat je er wat aan doet veroorzaakt een hoop niet-vergoedde nevenschade in de ellende, moeite, tijd, en zelfs geld die het bankklanten kosten om hun reine skimschade vergoed te krijgen. Zelfs als je 2006 als breekpunt aanneemt zie je dat er dus acht jaar zit tussen "en nu is het genoeg" en dat het gat ook redelijk gedicht is. Nog een reden dat niet vooruitkijken voor banken als dienstverleners gewoon nalatig is.

Had je ook nog iets inhoudelijks te melden of is je dat gezien je gebruikersnaam toch net even te moeilijk?

Niet dat we het over alles of niets hadden. Je kan de kredietkaarten erbijpakken, een systeem zo zwak dat misbruiken triviaal is. Toch is het al jaren gemeengoed "op het internet", en ook het misbruik, waar zelfs een hele industrie omheen opgerezen is. Wat door de kredietkaartbedrijven afgedekt wordt door schade op verkopers af te wentelen of desnoods zelf te compenseren. Beide brengen een hoop verborgen kosten met zich mee die uiteindelijk betaald moeten worden want er moet wel dikke winst gedraaid worden. En dat terwijl de schade genoeg is om best een leuk systeempje van te onwikkelen.

De magneetstrip is van een vergelijkbaar makkelijk te misbruiken allooi, en dus is de vraag waarom het zo lang geduurd heeft, waarom ze diezelfde "betere" chip eerst voor een nog zwakker beveiligd systeem ingezet hebben, toch echt gerechtvaardigd.

Dat is best, maar gaan zitten wachten tot je oude bouwsel spectaculair begint ineen te storten vanwege alle schavuiten die ongeoorloofd mee komen snoepen, gebruikmakend van structurele zwakheden in jouw bouwsel, voor je een alternatief aanbiedt, voor je zelfs serieus vaart zet een alternatief te onwikkelen, is me een beetje te laat. Daar hadden ze eerder mee mogen beginnen.

Want laten we wel wezen, op de historie van het bankierwezen zijn deze paar jaartjes niet erg veel. Voor de digitale wereld, toch wat meer. Kan je zeggen, ach, ze bewegen zich gewoon langzaam... vertel dat de "quants" van de HFT. Daar schromen ze ook niet een boel geld in de allerlaatste miniscule verbeteringen in infrastructuur te investeren. Kennelijk is dat wél belangrijk en dienstverlening naar de klant toch wat minder.

Ik denk dat je van een partij die zelf beweert, zich er zelfs op laat voorstaan, alléén maar volle glazen te serveren, gaat u rustig slapen beste klant wij zorgen ervoor, dat je dan echt mag vragen waar die bovenste helft gebleven is als ze opeens minder serveren dan beloofd.

Ja natuurlijk "foutje kan gebeuren", maar dat is in zo'n geval gewoon niet genoeg verklaring. Overgaan tot de orde van de dag betekent dat er niet geleerd wordt en we ons alvast kunnen opmaken voor de volgende dramavoorstelling. Terwijl bankieren dus al best een tijdje bestaat, beveiliging altijd (zeggens) een belangrijk onderdeel geweest is, en daar dus best een beetje vooruitzien verwacht mag worden.

Toch wel typisch dat ook hier op security.nl nou al drie verschillende (zo te zien) respondenten dat idee maar wat moeilijk vinden.

@Anoniem 10.30...
Lees je oorspronkelijke posting nog even na, dan snap je het type reactie dat je erop heb gekregen.
Wat ik wel goed vind, is dat in je laatste reactie vooral inhoudelijk reageert, en dan wordt het interessant.... Dus, laten we op inhoudelijke argumenten verder gaan, en verder het persoonlijke erbuiten laten, dan wordt de discussie veel leuker....

Ik ben het helemaal met je eens dat credit cards en de magneetstrip in z'n algemeen behoorlijke zwakheden qua beveiliging hebben. En die benoem je dus terecht.

Probleem is wel een beetje dat de financiële industrie als hoofdbezigheid de financiële stromen heeft (betalingen, leningen, sparen, etc.). Beveiliging is daarbij noodzakelijk, maar beveiliging is niet het hoofdproduct, en is dat nooit geweest.
Daarom zullen banken in z'n algemeen o.b.v. urgentie bepalen wat ze echt moeten doen. Ook banken proberen kosten te besparen (of dat altijd terecht is, en of de prioriteiten daarom altijd goed zijn, daarover is een discussie best wel terecht), en zullen daarom pas een project opzetten om betere security maatregelen te nemen (lees: kosten maken) als men merkt dat het anders een groot issue wordt.
Uiteidelijk wordt vrijwel alles in termen van "kosten" en "reputatieverlies" uitgedrukt. Dus als die factoren onder druk komen, dan worden er initiatieven genomen (lees: kosten gemaakt) om daar iets aan te doen.

M.a.w. als de magneetstrip onveilig is, maar die onveiligheid wordt niet misbruikt, of zo weinig dat de kosten niet echt stijgen, en het ook nog niet in de publiciteit komt (reputatie), dan wordt er geen urgentie gevoeld om er iets aan te doen, en dus worden de kosten ervoor niet gemaakt.

Deze manier van werken is niet uniek voor de financiële sector, maar voor vrijwel alle bedrijven. Waar de urgentie niet wordt gevoeld, wordt niets ondernomen (beetje zwart-wit natuurlijk, maar in het algemeen klopt dit wel, denk ik).
Zo zal een ziekenhuis vooral maatregelen nemen rond "ziekenhuis-infecties" als die infecties ook echt plaatsvinden. Daarvóór wordt er vast wel op gelet, maar wijzigingen in het beleid zul je niet zien.
Een school zal pas maatregelen nemen om het wifi-netwerk goed te beveiligen (encryptie, goede authenticatie, splitsing gevoelig deel van het netwerk, en gasten-netwerk, etc.) als daar iets ongewenst gebeurt, zoals dat leerlingen hun eigen cijfers hebben aangepast, of dat de eindexamen-opgaven al vóór het examen bekend blijken te worden.
Zo werkt onze maatschappij een beetje.
Is dat terecht? Dat is inderdaad een discussie waard...

Wat banken en creditcard maatschappijen wel doen, is het vergoeden van de geleden schade. Dat merk je goed aan de uitzonderingen daarop, zoals de ophef die ontstond toen klanten hun schade vanwege skimming niet meer vergoed kregen. Dat kwam groot op TV (reputatieschade) en vervolgens werd binnen no time alle schade weer vergoed. En ook met credit cards merk je ook weinig van de geleden schade. Die wordt meestal zonder omhaal vergoed.
Deze aanpak levert "vertrouwen van klanten" op, en dat is wat de financiële instellingen proberen te doen.

Is deze aanpak altijd goed, nou nee, maar het werkt wel vrij goed, want klanten blijven gewoon, en hebben nauwelijks risico (schade wordt toch vergoed...).

Wat daarnaast nog meespeelt, is dat wijzigingen in de financiële stromen nogal lang duren, aangezien ze niet van één bank afhankelijk zijn, maar wereldwijd worden gebruikt.
Bijv. die magneetstrip kun je in Nederland wel vervangen door een chip, maar je kunt het als bank niet zomaar voor elkaar krijgen dat banken in andere landen, of zelfs andere werelddelen, óók stoppen om dat te gebruiken.
En als klant ben jij weer niet blij, als jij in Hong Kong o.i.d. op vakantie bent, en je kunt niet pinnen, omdat ze daar nog geen chip ondersteunen. Dat betekent namelijk dat je helemaal niet meer aan geld kunt komen, dus dat is een groot issue. Klanten accepteren dat gewoon niet, en zouden dan waarschijnlijk overstappen naar een andere bank. En individuele banken worden daarom gedwongen om die magneetstrip te blijven ondersteunen.

Dus wat doe je dan, als bank. Dat is lastig. Een aardige nieuwe maatregel in de laatste jaren was dat je bankpas niet meer automatisch buiten Europa bruikbaar was. Dat moest je zelf aanzetten, of aan laten zetten. Dat blijkt goed te werken.
Maar zelfs dat was voor de eerste klanten die daarmee geconfronteerd werden, natuurlijk ook al lastig. Want die hadden er natuurlijk niet aan gedacht dat dit automatisch werd uitgezet. En ook nu moet je daar nog vóór je vakantie aan denken. En er zullen best veel klanten zijn, die dat nu ook nog vergeten.

Kortom, je hebt altijd een afweging tussen beveiligingsmaatregelen en de bruikbaarheid voor de klant.
En daarnaast is dit type aanpak absoluut niet uniek voor de financiële industrie.

Is dit allemaal goed? Soms wel, soms niet. En nogmaals, het is zeker een discussie waard.

Dan ga je voorbij aan waarom je niet alleen je geld aan de bank toevertrouwt, maar dat ook wil: Ze passen op je geld en doen daar dingen in jouw opdracht mee, en doen dat beter en veiliger dan jij dat kan. Tenminste, dat is de basis waar ze op bouwen, want zonder depositos geen kapitaal om hypotheken en leningen mee te verstrekken, fractionele reserve te draaien, noem maar op. En dat al een tijdje.

Een bekend voorbeeld is de Amsterdamse Wisselbank (1609), maar er schijnt al in de twaalfde eeuw in China betaald te zijn met een op een Turkse bankier getrokken wissel. Liever iemand anders administratief met goud laten schuiven dan er fysiek mee te zeulen.*

(Als je weet hoe fractionele reserve werkt, snap je ook hoe ontzettend "financieel product" een leugen is: Het is geen product, hooguit een dienst. Maar eigenlijk is het een vage belofte waarvan je nog maar moet zien of ze die gestand gaan doen. Valt de bank om, dan niet. Was het een product dan had ik het in mijn bezit en viel de bank om had ik daar geen last van.)

Het vertrouwen dat een reputatie als "veilig instituut" met zich meebrengt is waar ze op drijven. Daar hoort beveiliging dus zeer zeker wel bij, want zonder dat verdampt hun verdienmodel. Dat kan dus niet iets zijn wat je er maar even bij doet. Iets wat ze zelf soms wel eens vergeten, en voor de goede verstaander is ze dat aan te zien.

De opmerking is dus inderdaad dat die berekening scheef zit; hadden ze er eerder bijgeweest hadden ze het voor minder kunnen invoeren en dus schade (en gezichtsverlies) veel eerder kunnen inperken. Zeker omdat een uitrol een tijdje kost. Ook bij het opzetten van je beveiligingsstrategie je moet vooruitzien.

In plaats daarvan zijn het experts in het in de doofpot stoppen van onwelgevallig nieuws. Security by obscurity dus.

Ik hoop toch dat het hier niet nodig is uit te leggen waarom dat geen goed idee is.

Natuurlijk, en dus komen er wetten die je verplichten datalekken publiek te maken. Niet dat je er als datalekslachtoffer veel aan hebt --het scheelt een stuk in het rechtzetten mits je kan aantonen dat het onderhavige misbruik uit zo'n lek voortkomt, maar zie dat maar eens aan te tonen-- maar de politiek wist ook snel even niets beters te doen op dat punt.

Voor banken is dat, hun genesis indachtig, maar ook gezien hun huidige positie als min of meer geldhandelingmonopolisten en daarmee enorm invloedrijk, eigenlijk best wel ontzettend onacceptabel. Dat ze dat zelf ook een beetje vergeten zijn, ach, mischien moeten we ze dat dan maar weer in herinnering brengen.

Waar nu heengedreven wordt is dat we "leren om te gaan" met al die nieuwe techniek en dat als we dat maar met z'n allen een beetje in de vingers hebben dat het dan weer rustig wordt op de maatschappelijke baren.

Persoonlijk denk ik dat dat niet gaat werken want het gaat allemaal te snel en is al een tijdje veel te complex geworden. Daar zal gestructureerd aan gewerkt moeten worden. (Vandaar ook dat de hap-snap makkelijk geld voor simpele fixes aanpak van de computerbeveiligingsindustrie me zo tegenstaat. Met hun hoedjes.) "Appliancificering" gaat niet werken, want dan kom je om in de appliances, allemaal incompatible. "Best current industry practices" (PCI-DSS en zo meer) gaan ook nooit echt alle mogelijkheden afdekken, en zijn dan ook exercities in je eigen aars beschermen maar meer niet.

We kunnen ons proberen in te dekken maar uiteindelijk komen we niet onder doorgronden uit.

Tot op het moment dat ze denken dat ze er mee wegkomen het niet meer te doen. Voor kredietkaarten is die garantie (voor zover...) ook zo ongeveer de enige echte beveiliging. Wat mij betreft dus gewoon niet goed genoeg.

Ze doen het dus vooral op korte termijn. Er wordt niet voldoende op lange termijn gedacht, ook werkelijk de structuur van wat ze aan het doen zijn doorgrond, en zo verder. Terwijl ze zwemmen in het geld en dat allemaal in kunnen kopen, wat ook nog eens de kern van wat ze doen, waar ze hun bestaan op opbouwen, zou versterken. Zeker en vooral bij banken.

Een paar dagen terug op slashdot iemand met "een lange carriere in IT, bij een bank, waar ze toch heel erg op security letten"... die vervolgens dacht dat een zipbestandje met een lang wachtwoord al best wel geavanceerd was. Ik bedoel, je zit in de IT, je doet dingen met security, bijna twintig jaar, en je hebt nog steeds geen flauw benul van de verschillende eigenschappen van verschillende implementaties van "bestand met wachtwoord". Ik vond dat heel tekenend.

Nou, ze kunnen niet zoveel anders. Je bent verplicht een rekening bij een bank te hebben (probeer het maar eens zonder, kijken wat de belastingdienst zegt), en ze werken allemaal eender. Dat heet dan "geen realistische keuze hebben".

Nog een reden eerder te beginnen. Of hoe wilde je dit anders zien?

Het idee de klant zelf toegang te geven tot zulke vinkjes kan onderhand best wel, maar echt veel zie je het nog niet. En als, dan op zo'n manier dat je er vooral horendol van wordt. Wat me dan weer vertelt dat er niet echt nagedacht wordt over wat "klantvriendelijk" inhoudt. Heeft wellicht te maken met de infantiele betutteling die uit de (Amerikaanse) gruttershoek is komen overwaaien en ondertussen als de goudstandaard geldt voor "public relations".


* Een gedachte waarmee het pinnen ook hard gepusht wordt. Alleen ligt de risicoafweging voor de pinner toch net even iets anders. Kun je zien hoezeer mensen vaak nauwlijks begrijpen wat ze doen, zeker niet doordenken over de gevolgen. En ach, een vertrouwd autoriteitsfiguur als DNB zegt het, dus moet het wel waar zijn, ja toch niet dan? Even vergetende dat als overheidsorgaan ze eerder de belangen van de overheid dienen, zegge belastingdienst en al dan niet buitenlandse opsporingsdiensten, dan die van de burger.

En dan lees je op Linkedin dat niet alle passen standaard uit staan. Met name de passen van zakelijke gebruikers van de Rabobank kunnen pas sinds kort uitgezet worden. Dat moeten de pashouders zelf doen. Maar ik heb daar als zakelijke gebruiker nog geen officieel bericht van ontvangen. Daarnaast ben ik plaatselijke penningmeester van een landelijke organisatie. De pashouders kunnen niet zelf de passen blokkeren en de landelijke 'eigenaar' kan dat ook niet gemakkelijk. Er is dus nog steeds een lange weg te gaan ...