Totale kansloze aktie van ASN, en dat in deze tijd. Langs hoeveel mensen is deze aktie binnen ASR gegaan die totaal geen enkel besef van cyber security hebben?

Kom er maar in Karma4 met je BSN opmerking.

Dus zou je ook alleen die twee gegevens (afgiftedatum met documentnummer) kunnen mailen, ipv een scan (bv icm je bankrekeningnummer) :-)
Dat is een stuk anoniemer dan een scan van je ID.
Dan valt er weer minder te misbruiken.

(Maar dat zal wel weer niet de bedoeling zijn, dus gaat de uitleg van de woordvoerster nat)

Dan toch maar liever de onherkenbaar gemaakte scan persoonlijk overhandigen, en dan meteen laten zien dat je bent wie je bent door je te identificeren.

Raar dat je zoiets niet meteen aan het overheidsloket kunt regelen als de Belastingdienst tot 5 jaar terug je bankgegevens in kan zien (terwijl de ASN Bank bij internetbankieren al na 2 jaar voor de klant transactiegegevens offline haalt - over ongelijke behandeling ivm bewijslastvoering gesproken!). iDIN en DigiD zijn toch al binnenkort uitwisselbaar, dus dan zou een ID-verlenging ook automatisch doorgegeven kunnen worden. Technisch is dat te programmeren, maar de politiek sukkelt jaren erachter aan.

Ik vrees dat dit nou niet bepaald een veilige methode is...
Mijn conclusie is dat "de bank" zich maar beter niet als ict-security-specialist kan opstellen.

Daarbij is het volgens mij niet legaal om van nieuwe ID-documenten ook weer een kopie te eisen als de bank in het verleden al eens een ID-kopie heeft gemaakt. Dat was destijds om witwassen tegen te gaan en alle bankrekeningen aan een duidelijke eigenaar te verbinden. Maar dat hoeft natuurlijk niet nog eens.

Laat ASN-bank dus eerst maar eens uitleggen op grond van welke wet men een kopie van het nieuwe ID nodig heeft.
Of op grond van welk doel. Dan bepaal ik wel of ik het er mee eens ben.
Of zijn ze soms data kwijt geraakt? Laten ze dat dan eerst even officieel melden graag.

Weet je wat er nou mist in dat plaatje?

Nee? Identificatie van de bank. Gewoon een genotariseerd kopietje idbewijs van de baliemedewerker en een genotariseerd kopie verklaring aanstelling van dezelfde medewerker vragen, ondertekend door de mensen genoemd op het bijbehorende genotariseerde kopietje uitreksel kvk, en de bijbehorende kopietjes idbewijs. Eerst graag. Want we moeten wel zeker weten met wie we van doen hebben.

Is dat raar? Nee, het is raar dat dat achterwege blijft. Het is mijn geld, niet dat van hunnie, en ik wil wel graag zeker weten bij wie ik het stal. Willen zij moeilijk doen? Dan moeten we moeilijk terugdoen. "Jamaar het is de wet" betekent alleen maar dat die wet nodig gewijzigd moet worden omdat'ie hopeloos tekortschiet. En laten we wel wezen, de banken hebben leuk hun eigen wetjes bijelkaar gelobbiet maar toen het op hun klanten aankwam hebben ze de boel mooi verzaakt.

Plus, en dit is redelijk fundamenteel, de overheid heeft langzaamaan de levensruimte van de burger steeds harder dichtgetimmerd met allerlei maatregelen, waaronder deze. Waarmee hele rare situaties zijn ontstaan. Stel, je woont in een gemeente waar ze vinden dat je moet pinnen voor je idbewijs. Je mag niet even naar een andere gemeente. Daar heb je dus eerst een pinpas (niet gratis) voor nodig, en dus een bankrekening, en dus... een geldig idbewijs. Wat je niet kan krijgen want je moet pinnen. En waarom? Nou, om "witwassen" tegen te gaan. Want geld stinkt en de overheid kan bepalen of jouw geld stinkt of niet.

We hadden al veel eerder hier hard tegenin moeten gaan, want die paar rotte appels die je ook op andere manieren wel kan detecteren (Of is de opsporing echt zo inept in Nederland? Nou?) op deze manier proberen te vangen weegt niet op tegen het gedonder dat over alle bankrekeninghouders wordt uitgestort. Nog afgezien van dat werkelijke terroristen grossieren in extra idbewijzen (14 stuks toch?). Voor de meeste mensen is het een klein beetje moeite, ja, maar voor sommigen niet, en dat zijn vooral brave burgers; en nog steeds, als je alle moeite bijelkaar optelt dan is dat veel meer gedoe dan wat het aan detectiegemak oplevert.

Weer zo'n gevalletje "wel makkelijk" voor de overheid is eigenlijk gewoon een slecht en dom idee voor de samenleving.

ASN bank staat niet bekend om hun uitgebreide kantoren netwerk, dus voor 'persoonlijk overhandigen' moet je wel wat over hebben . 56,000 mensen die langskomen in dat ene kantoor zien ze liever ook niet - dat zijn er ca 220 per werkdag , als ze zich optimaal uitspreiden. (27 per uur continu !)

Ik was een beetje skeptisch over het aantal klanten dat gemaild werd, maar is toch wel in verhouding :

ASN heeft ca 600,000 klanten (kerncijfer 2014,2013) . Een paspoort of rijbewijs is 10 jaar geldig . Dan verwacht je dat elk jaar 10% van je kopiën van een inmiddels verlopen ID is , en kom je op 60,000 verzoeken om te updaten.
Best een hoop logistiek - de mail (of brief) uitsturen is één ding, het verwerken van de antwoorden en vragen kost wel een aantal mensen.

De ASN is raar bezig. Het tonen/kopiëren van een identificatiebewijs werd destijds gepresenteerd als een eenmalige actie: voor alle lopende rekeningen en als je voor het eerst een rekening opent bij een bank. Het is helemaal niet nodig die kopie te actualiseren.
Ik heb meerdere bankrekeningen. Geen enkele van de betrokken banken heeft dit de afgelopen jaren gedaan en ze hebben toch echt allemaal alleen maar een kopie van een bewijs dat intussen allang is verlopen.

1 april?...

Die weten dus niet wat ze zeggen.
Een e-mail heeft de status van een briefkaart, iedereen mag het lezen.
Een kopie van het ID bewijs mag een onleesbaar gemaakt BSN nummer hebben en ter identificatie van het document, mag je er ook nog eens b.v. ASB-BANK dwars overheen schrijven.

Hopelijk zijn de berichten niet gericht aan geachte relatie of aan beste klant maar gewoon met de naam van de klant in het briefhoofd, anders gaan ze ook nog tegen de eigen regels in..............

Het mail adres waarvandaan de mail is verstuurd, asnbank@mail.asnbank.nl ondersteund ook nog geen enkele encryptie. Al met al niet echt professioneel. Als met enkel de nieuwe ID/paspoort nummers en verloop datum nodig heeft is een melding met een simpel formulier in de hun android/apple app iets handiger. De mensen die je zo niet bereikt kun je dan alsnog een brief sturen.

Wat al meer schrijvers hebben aangegeven, hoef je als klant je maar eenmalig te legitimeren. Dit is een raar verzoek, tenzij ze de gegevens kwijt zijn, want dan kunnen ze niet meer aan die verplichting voldoen. Lijkt mij dat er wat anders aan de hand is. Misschien een gevalletje ransomeware?

Kan wel zijn, maar dat is het probleem van de bank. Noem het maar bedrijfs-risico.
En als de bank dit inzamelen van IDs "moet" doen vanwege een (kromme) belasting-wet oid, en daar last van heeft, dan moet de bank maar druk uitoefenen op de politici zodat die wet aangepast wordt.


We gaan nu naar een situatie toe, waarbij de bank geen rente meer betaalt voor spaargeld.
Waar een bank geen loket meer heeft in kleinere gemeenten.
Waar de bank (iov de politiek?) van de burger een fysiek kopie van diens ID wil hebben.

De dienstverlening wordt slechter. De kosten hoger.
En wat krijgen we ervoor terug: Wankelende banken, met een perverse bonus-cultuur.


Wat gaan de banken en politici doen als steeds meer mensen hun geld weer onder/in het matras stoppen, en weer contant zouden gaan betalen?
Of zouden weigeren aan deze "legitimatieplicht" te voldoen?

"Het gaat er in dit geval niet om dat mensen zich moeten identificeren, maar dat wij van mensen van wie het id-document is verlopen de gegevens van het nieuwe document nodig hebben, dus documentnummer en afgiftedatum", aldus de woordvoerster.

Maar dat klopt niet! Ze moeten een identiteitsonderzoek doen bij nieuwe klanten en bij klanten die ze al hadden voor
dit verplicht werd, maar het is niet nodig om een nieuw onderzoek te doen als het id-document is verlopen.

Volgens de site van de ASN betreft het een beperkte groep en het was probleem bij hun dat het niet goed gegaan is toen.

Door een probleem van technische aard is deze controle tijdelijk niet uitgevoerd. Voor een groot deel van onze klanten hebben we deze toetsing alsnog kunnen doen. Bij klanten van wie het destijds aangeboden legitimatiebewijs nu niet meer geldig is kunnen wij die toetsing helaas niet uitvoeren.

Er staat nog meer info hoe te zenden en per post is ook mogelijk.

Toen ik laatst ging stemmen mocht mijn ID-bewijs tot 2 jaar verlopen zijn. Nu herinnert de ASN Bank mij eraan dat zij dat niet tolereren?

En als ik niks opstuurt,wat gebeurd er dan,mijn vertrouwen in de ASN Bank zakt als een plumpudding in mekaar.

American Express maakt het nog gekker.

Zij schrijven in hun e-mail het volgende:

"Let op: de link verwijst naar een beveiligde website die afwijkt van onderstaand adres."
https://www.americanexpress.com/nl/particulier/doc

Wat is die link?

Vooropgesteld mailen met zo'n vraag: banken zouden zoiets niet mailen werd altijd beweerd. Hoe herken je pishing, zo.
Waarschijnlijk is het ook niet de juiste oplossing bij de oorspronkelijke vraag. Ze hebben het BSN al ze moeten alleen nog vaststellen of de persoon nog leeft en er verder niets geks aan de hand is. Aan een id-nummer heb ook niets of je moet het koppelen aan de bsn en brp.
..................

Kijk even naar:
https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken Banken zorg je werkgever en opleiding(studie) zijn wettelijk verplicht het bsn te gebruiken en te controleren of het BSN bij de betreffende persoon hoort.

Opgenomen in http://wetten.overheid.nl/BWBR0022428/2014-01-06 artikel 12
"Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt."

Als je verstand van cyber-security zou hebben dan zou jet verschil kennen tussen tussen identificatie en authenticatie.
Het probleem we zeuren over het uitlekken van een BSN (fase identificatie) mar vergeten de authenticatie in te vullen.
Ter vergelijk het password probleem is opgelost, zoiets gewoon niet meer gebruiken.
We hanteren enkel nog je user-id en als dat user-id bekend raakt is dat jouw probleem. Vind je dat acceptabel, vast niet.
Let op autorisatie is weer wat anders.

Alsof post wel veilig zou zijn. Zelf heb ik een postbus waar post naar mij binnen komt. Eens per maand ligt er wel een brief van een ander in die ze in het verkeerde vak gegooid hebben. Meestal merk ik dat voor ik de brief open, maar soms valt het pas na openen op, als je begint te lezen.

Als je het dus echt veilig wilt doen, moet je toch echt een treinkaartje kopen en de brief zelf bij het hoofdkantoor afgeven.

ASN kansen bij uitglijder : pakken of laten liggen?

HSTS
Geen HSTS gebruikt op subdomein nieuws.asnbank.nl
Wel op asnbank.nl particulieren, zakelijk en bij inloggen.
Waarom niet op het subdomein?
Of maakt dat geen zak uit?

Subdomein risicos'
En waarom onder een subdomein?
Dat maakt het alleen maar onveiliger.
Verwijzen naar eigen informatie voorziening op de website onder een subdomein maakt het er gewoon niet beter op.
Domein nieuws-asnbank.nl is bijvoorbeeld vrij en in een weekeinde als de controle administratie van anderen dicht is te registreren en te mis-gebruiken.

Berichtencentrum fucntie
De enige veilige plek om dit soort belangrijke berichten te communiceren is binnen de ingelogde bankomgeving, mits ASN bank daar een berichten centrum heeft.

- wel HSTS
- geen subdomeinen gebruiken
- belangrijke berichten alleen communiceren binnen de ingelogde bankomgeving

Best belangrijk om de puntjes op de i te zetten asnbank.
Want, eerlijk is eerlijk, het verhaal ziet er verder eerlijk en aanlokkelijk uit ; geen deelname in wapenindustrie e.d. Waar andere banken er tot in hun oren inzetten.
https://www.asnbank.nl/algemeen/over-ASN-bank.html

Puntjes op de i svp, want dit was een uitglijder van formaat.
1 optie erbij nog vergeten ASN.

Secure email gebruiken en stimuleren
Als je belangrijke documenten wil laten mailen, dan kan dat op zich best maar gebruik dan een secure email optie.

- biedt het zelf aan
Of
- verwijs klanten naar gratis (of betaalde) email providers die encryptie op email aanbieden en neem daar dan zelf ook een account opdat heel laagdrempelig de gewenste documenten encrypted verzonden kunnen worden.

-> Nederlandse mailprovider met encryptiemogelijkheden binnen gebruikers groep met mailaccounts bij dezelfde provider is bijvoorbeeld Startpage.com.
Startpage.com is ook nog een nederlanbds bedrijf en biedt daarnaast een private zoekmachine aan.

Ga met deze luiden een samenwerking zoeken en je hebt twee vliegen in 1 klap.
De documenten encrypted beveiligd binnen wanneer klanten gebruikmaken van deze mailprovider en ASN ook.
Samenwerking met een dergelijk bedrijf is een hele mooie aanvulling op het portfolio rondom duurzaamheid, doe wel afstand van de google tracking en daarvoor in de plaats iets Piwik achtigs.

-> buitenlandse gratis mailproviders die gratis accounts aanbieden en encryptie op de email zijn o.a. Het Duitse Tutanota en in Zwiserland gevestigde Protonmail.

Beste praktische oplossing binnen handbereik
Last but not least, het allermakkelijkst en allerveiligst is natuurlijk het volgende.
Laat de klant inloggen op de eigenbankomgeving en bouw binnen die omgeving de mogelijkheid in om documenten te kunnen uploaden.
Zo heb je behoorlijk volledige controle op de veiligheid van het proces.

Voor de hand liggende digitale secure opties
Uploaden binnen de beveiligde bankomgeving, of encrypted mailen.

Kost wel wat extra maar daar kan je ook weer de uniciteit (unique selling point) mee bevestigen want andere banken doen dit nog niet, wees er snel bij ASN en maak in 1 klap deze enorme uitglijder goed.
Dat is niet een kwestie van kunnen maar van willen en veel beter dan volharden in een ongelukkige beslissing, dat blijft knagen, overtuigt niet en is zonde van alle positieve gedane moeite die wel overtuigt.
Vasthouden aan fouten overtuigt geen mogelijk nieuwe klanten.

Imago en slimme marketing : take it, or leave IT?
Pak het (positieve) op en doe er je voordeel mee.
Voordat anderen het doen er er ook met je (oude en nieuwe) klanten vandoor gaan.

Daar heb je in ieder geval het wettelijke briefgeheim.
Email heeft en kent geen briefgeheim, en heeft daarmee dus de status van een briefkaart.

Ik heb vaker verkeerd bezorgde post in mijn brievenbus, dan verkeerd bezorgde Email.
Daarnaast briefgeheim is eigenlijk ook een papieren tijger en bied je niet erg veel extra veiligheid.

Bezorgen is het probleem niet.
Gewone mail is net als http onderweg onopgemerkt door derden te lezen en leesbaar op te slaan, en kan vervolgens de kopie perfect worden gekopieerd omdat hij digitaal is, en daarom oneindig maal misbruikt.
Daarom is het dus belangrijk dat men doel en datum over de kopie heen schrijft.
Als dit voor de bank niet goed genoeg is, dan zou ik zeer zeker geen gewone e-mail gebruiken.

Wettelijk moet een huidig gebruikelijke ("naar de stand der techniek") beveiligde communicatie methode worden gebruikt.
Dat is wat mij betreft toezenden via https of per secure mail. Of anders faxen misschien.

Onderweg zal wel meevallen omdat mailservers onderling steeds vaker een beveiligde verbinding opbouwen. Op mijn mailserver zie ik vrijwel zonder uitzondering dat mail via "TLSv1.2" uitgewisseld wordt. Op de mailservers zelf staat het dan wel als platte tekst.

Maar helemaal snappen doe ik het nut niet van het opnieuw sturen. Deze actie van ANS is er om misbruik tegen te gaan. Maar als ik niet ter goeder trouw ben, dan fabriceer ik toch gewoon een nieuwe ID kaart met de oude persoonsgegevens op mijn PC? Ik zorg er vervolgens voor dat er een slechte kopie gemaakt wordt door mijn gefrutsel op een slecht kopieer apparaat nog eens te kopiëren en stuur dat op. Een bank zal niet verwachter dat ze van iedereen een high-resolutie scan binnen krijgen. Wat voor risico loop ik als ik toch al misbruik maak van een valse identiteit?

Over de onveiligheid van e-mail wordt ook in dit vrij recente bericht gesproken:
https://www.channelweb.nl/artikel/techwire/zorg/5944600/5249075/ziekenhuis-kan-patient-niet-meer-veilig-e-mailen.html
Als dat niet kan, dan is het ook geen porum om ID kopieën naar ASN te laten sturen.

Interessanter is denk ik de "P.S." van Jaap-Henk Hoepman in zijn artikel, omdat dit niet alleen ASN klanten raakt.

Toen heel Nederland voor het eerst een ID-kopie moest afstaan aan hun bank, moest ik hoogst persoonlijk naar mijn bank toe. Veiligheidskenmerken kan men immers alleen controleren bij de echte ID. Niet bij kopieën.

Sommige organisaties accepteren geen scans waar zaken op zijn aangepast cq. bijgewerkt. En dat blijkt ook te gelden voor tekst die je er conform het advies van de overheid op plaatst.

Peter

Helemaal juist!

– de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) schrijft voor dat een bank bij de aanvang van de zakelijke relatie (= bij het openen van de rekening) de client identificeert, daarna is dat niet meer nodig;
– identificatie vindt plaats doordat de client het ID toont, daar mag de bank een kopie van maken en bewaren, dus opsturen van kopie-ID is verboden (geldt ook voor alle anderen die onder de Wwft valen.
De ASN bank hoort alle cliënten al geïdentificeerd te hebben en handelt in strijd met de wet door opnieuw een ID te vragen en cliënten te verleiden dit op een onveilige weg te doen.

Uit een mail van de ASN Bank van vandaag: "Twijfel je of deze e-mail van ASN Bank is? Dan is het goed om te weten dat wij in onze e-mails nooit vragen om je bankgegevens, zoals je pincode en de codes van je digipas of digicode. Lees meer over veilig bankieren op onze website." Ahum ...

Ik heb ook zo'n mail van de ASN-bank gekregen. Maar ik ben geen klant bij de ASN. Als die toch van de ASN komt dan zou de bankvergunning van die bank ingetrokken moeten worden. Zeer onbetrouwbare bank. Daar staat de kluisdeur open.