Beheer

Security
Spaarvarken

10 Tips om plunderen van uw rekeningen te voorkomen

© Pixabay
4 september 2015

Banken steken ieder jaar veel geld, tijd en energie in het veilig maken van internetbankieren. Dat is nodig, want de ontwikkelingen en dreigingen nemen snel toe en een proactieve houding is nodig om de problemen voor te zijn. Toch is dit niet voldoende om alle aanvallen af te slaan. De beveiligingsmaatregelen van de bank dekken slechts één kant van de transacties af: de kant van de bank. Hoe kunnen consumenten, bedrijven en banken ervoor zorgen dat het risico op succesvolle ­cyberaanvallen wordt verminderd?

Samenwerken is nodig, omdat een bank de strijd alleen niet kan winnen. Een bank is uitstekend in staat om patronen te herkennen in het verkrijgen van toegang tot rekeningen. Ze monitoren of gebruikers hun rekening willen benaderen met dezelfde software, vanaf bekende IP-adressen en met overeenkomstige transacties, maar het monitoren van het contact van de klant met de bank heeft ook beperkingen. Klanten gebruiken voor internetbankieren hun eigen hard- en software. Een bank kan niet afdwingen dat software wordt geüpdatet of dat bepaalde software wel of niet wordt gebruikt. Evenmin heeft een bank invloed of er illegale software wordt gedownload of muziek en films via dubieuze websites ­worden gedeeld.

Bewijslast

Om die reden werden in 2014 de bankregels aangescherpt en kan in het geval van digitale inbraken ook worden meegewogen of de klant of gebruiker grove nalatigheid kan worden ­verweten. De bewijslast hiervoor ligt echter bij de bank.

Dit zorgt voor een onuitputtelijke bron van discussie bij gebruikers én banken. Wat moet, wat mag en vooral wat zijn de consequenties? Hoewel het aantal digitale inbraken toeneemt, alsook de schade ten gevolge van deze inbraken (23 procent toename van schade door cybercrime), zijn nauwelijks cijfers beschikbaar over digitale inbraken op bankrekeningen.

De wetgeving rond cybercrime neemt sterk toe en vereist steeds meer verantwoordelijkheid van consumenten en het bedrijfsleven. Het is daarom niet vreemd dat juist de gebruiker de zwakste schakel blijkt te zijn bij internetbankieren. Zo werden bijvoorbeeld dit jaar door Phishingmails in Hoogvliet en Amsterdam van 63 rekeninghouders inloggegevens ontfutseld om deze rekeningen te plunderen. In mails, die ogenschijnlijk van hun bank afkomstig waren, werd gebruikers gevraagd op een link te klikken en bankgegevens achter te laten.

Het versturen van nep-e-mails blijkt nog steeds een zeer succesvolle methode om gebruikers te misleiden. Met name als aanvallen vanuit Nederland worden gedaan en het taalgebruik op de lezer is afgestemd. Inspelen op de actualiteit is daarbij ook een veel gebruikt middel, omdat gebruikers een e-mail met een actueel thema geloofwaardiger vinden. Nu ­cybercriminelen steeds gerichter hun slacht­offers uitzoeken en benaderen, is dus ook een gedragsverandering bij gebruikers vereist om dergelijke aanvallen tegen te gaan of zelfs te voorkomen.

De Nederlandse Vereniging van Banken (NVB) probeert die gedragsverandering teweeg te brengen door in een campagne consumenten bewust te maken van de gevaren. De NVB geeft daarbij tips om het risico te minimaliseren. En als deze regels worden nageleefd, kunnen consumenten niet aansprakelijk worden gesteld voor nalatigheid wanneer ze slachtoffer zijn geworden van een cyberaanval.

De vijf regels zijn:

  • Houd beveiligingscodes geheim.
  • Zorg ervoor dat de bankpas nooit door een ander wordt gebruikt.
  • Beveilig apparatuur die wordt gebruikt voor bankzaken goed.
  • Controleer de bankrekening regelmatig.
  • Meld incidenten direct aan de bank en volg aanwijzingen van de bank op.

 

Hierbij moet nadrukkelijk gesteld worden dat deze regels hoofdzakelijk voor consumenten zijn opgesteld. Voor bedrijven gelden nadrukkelijk andere voorwaarden voor betalingsverkeer en beveiliging. Enerzijds omdat de schadebedragen vele malen hoger kunnen zijn, anderzijds omdat bij zakelijk bankverkeer een nog groter verantwoordelijkheidsbesef wordt verondersteld.

De bank heeft in het geval van schade door internetcriminaliteit een set van condities onder welke de bank de mogelijkheid heeft om schade deels of volledig te vergoeden als blijkt dat gebruikers zich aan bovenstaande regels ­hebben gehouden. Een goede beveiliging van apparatuur laat echter veel ruimte voor discussie. Voldoet een systeem met een verouderde virusscanner niet aan de condities? Wat zijn de regels als binnen een bedrijf meerdere mensen verantwoordelijk zijn voor de betaalopdrachten? Voor banken staat het vast dat er een direct verband moet bestaan tussen fraude en de overtreding van de regels. Als een transactie bijvoorbeeld door een virus is gecompromitteerd, dan moet dit direct te herleiden zijn tot een niet geüpdatete virusscanner.

De almaar toenemende regels leveren bij bedrijven vragen op. Steeds meer bedrijven besteden hun onderhoud van computersystemen uit of wachten met security-updates uit angst voor compatibiliteitsproblemen. Hoe kunnen de risico’s worden verkleind? Bestaande beveiligingsmechanismen geven een basisveiligheid, maar de nieuwste aanvalsmethodieken vereisen ook nieuwe verdedigingsmechanismen. Met vertrouwen op virusscanners en firewalls zijn de risico’s te groot.

Voorzorgsmaatregelen

Bewustwording van de mogelijke dreiging is cruciaal in de strijd tegen cyberaanvallen. ­Organisaties moeten classificeren welke data kwetsbaar zijn en een hogere beveiliging moeten hebben. Ook de detectiemogelijkheden moeten flink worden uitgebreid, intern of ­extern. Logmanagement, het verzamelen van logdata en hier op een gebruiksvriendelijke manier onderzoek naar doen, geeft al meer inzicht. Vervolgens moeten bedrijven vaststellen wie wat doet in geval van een calamiteit. Het expliciet maken van verantwoordelijkheden rondom ICT is essentieel. Incidentmanagement is onontbeerlijk. Eenvoudige ­vervolgstappen zijn malwaredetectie, ­vulnerabilitymanagement en een SIEM-oplossing. Hiermee kunnen relaties gelegd worden tussen verschillende logmeldingen, waardoor een waarschuwing kan worden gegeven. Voor deze maatregelen geldt dat zij tijds- en kennisintensief zijn.
Met bewustwording, alertheid en actuele softwareversies zijn al flinke stappen te maken, maar dit kan allemaal teniet worden gedaan als mensen zelf onveilig handelen. Een bedrijf blijft verantwoordelijk als alle maatregelen omzeild worden. Dit kan verstrekkende gevolgen hebben voor onder andere de aansprakelijkheid bij schade met internetbankieren.

Tips

Banken doen er alles aan om hun systemen zo veilig mogelijk te maken, maar ook gebruikers en organisaties moeten hun steentje eraan ­bijdragen. Voor consumenten kunnen de ­eerder genoemde regels van de NVB een­voudig worden vertaald naar tips voor veilig bankieren:

  • Schrijf PIN- en inlogcodes niet op en deel ze zeker niet met derden. Mocht het echt niet anders kunnen, wijzig de codes dan onmiddellijk na een incident. In het geval van een incident is de gebruiker verantwoordelijk, aangezien hij iemand anders toegang heeft gegeven tot de gegevens.
  • Leen een bankpas nooit uit, want het is een persoonsgebonden toegangsmiddel.
  • Update pc, tablet of telefoon regelmatig evenals de geïnstalleerde software.
  • Gebruik geen illegale software en voorkom jailbreaken van tablets of telefoons. De ­extra mogelijkheden die hierbij geboden worden zorgen vaak voor een verslechtering van beveiligingsmechanismen.
  • Zorg ook voor geüpdatete beveiliging tegen malware, virussen en aanvallen.
  • Verifieer regelmatig of betalingen, ook kleine bedragen, daadwerkelijk zijn gedaan. Zorg ervoor dat verdachte zaken altijd bij de bank worden gemeld. Zij monitoren dagelijks netwerkverkeer en verzamelen verdachte mailtjes.

Naast deze consumententips, zijn er ook voor ­organisaties eenvoudige vuistregels te bedenken:

  • Ken het systeem, denk hierbij aan regelmatige vulnerabilitytesten om te kijken hoe kwetsbaar je bent.
  • Monitor het dataverkeer door de logs in een logmanagementsysteem te verzamelen en regelmatig te (laten) analyseren.
  • Een echte aanrader is om een awarenesstraining te (laten) geven om inzicht te verschaffen in de beveiligingsrisico’s en wat mensen kunnen doen om een hack te voorkomen. Dit verhoogt het bewustzijn van gebruikers en zorgt ervoor dat medewerkers en organisaties kennismaken met technieken en methodieken van hackers in de praktijk.
  • Als binnen de organisatie onvoldoende kennis aanwezig is: huur expertise in. Maak daarbij een selectie tot hoever je wilt uitbesteden en wat jezelf blijft doen. Net als de banken kost beveiliging geld, tijd en energie. Maar een slechte beveiliging kan nog veel meer kosten.

Voor de duidelijkheid: een schadevergoeding is geen recht, maar bij aantoonbaar kunnen voldoen aan de gestelde condities is de kans groter dat een bank de geleden schade vergoedt. Daarbij zullen voor zakelijke klanten verschillende criteria gelden, omdat er immers een groot verschil bestaat tussen de beveiliging bij zzp’ers en grootzakelijke gebruikers.

De zwakste schakel bepaalt de sterkte van de keten. Samenwerking tussen bank, consument en organisaties is nodig om het risico van internetbankieren te minimaliseren.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!