Banken en beveiliging gaan niet samen
Banken zijn niet langer slechts financiële instellingen, maar ware internet/IT-bedrijven en dat worden ze in de toekomst alleen maar meer. Het frustreert me dan ook dat zij op het gebied van security achteraan lopen.
Als consument erger ik me eraan dat bankzaken niet veilig zijn. Dit wordt extra bevestigd wanneer ik niet bij mijn internetbankieren kan, omdat de bank onder een DDoS-aanval ligt en deze weer eens niet krijgt afgeslagen. Maar ook als collega-internetbedrijf vind ik het schandalig dat banken het imago zo verslechteren. Het is namelijk heel simpel op te lossen: praat met andere internet/IT-bedrijven. Zij zijn gespecialiseerd en hebben allang beveiligingsmaatregelen uitgevonden en getroffen. Waarom zou je het wiel opnieuw uitvinden?
De media en overheid schenken veel aandacht aan banken die 'slachtoffer' zijn van DDoS-aanvallen. Banken zijn niet alleen slachtoffer, zij hebben hier hun eigen verantwoordelijkheid in en die moeten ze een keer pakken. Momenteel zitten banken nog op een eigen eilandje hun eigen securitymaatregelen te onderzoeken en uit te rollen. Het argument is veelal dat hun IT-infrastructuur te complex is om door buitenstaanders begrepen te worden. Maar ik durf te beweren dat de infrastructuur binnen een datacenter of een middelgrote internetprovider groter en complexer is dan die van een bank. Dus stap van je eiland af en ga in gesprek met deze bedrijven.
Cyberboefjes
In 2013 hebben banken last gehad van DDoS-aanvallen. Dit had ontzettend veel impact op de banken zelf en op hun klanten. De financiële branche heeft toen maatregelen getroffen, waarna het zo’n vijf jaar lang rustig is gebleven. Ik heb het idee dat banken tijdelijk geen doelwit zijn geweest van aanvallen van enige omvang, waardoor de bankenwereld op het gebied van DDoS-protectie in slaap is gesust. Zij hadden waarschijnlijk het idee dat het wel goed zat met die beveiligingsmaatregelen. Maar zo werkt het natuurlijk niet. Het is een continu gevecht met cyberboefjes.
De afgelopen tijd hebben banken weer flink onder vuur gelegen en zijn zij weer even wakker geschud. De maatregelen zijn inmiddels weer getroffen, maar daar ben ik niet van onder de indruk. Security zelf doen als je geen expert bent, kan niet goed gaan. Op dit vlak moeten banken echt meer in gesprek gaan met de internetbranche en specialisten. Natuurlijk hebben zij ook een complexe omgeving, maar door best practices met elkaar te delen kan eenieder leren en er wat van opsteken. Het is belangrijk om zorgen en uitdagingen uit te spreken, partijen met kennis kunnen dan hun ideeën erop loslaten. Er zijn genoeg specialisten in de markt. Denk maar eens aan de Nationale Wasstraat (NaWas) tegen DDoS-aanvallen die de internetproviders gezamenlijk hebben opgezet of de uitrol van DNSSEC naar 2,5 miljoen .nl-domeinnamen die de DNS-providers in enkele jaren hebben gerealiseerd.
Diefstal
Over DNSSEC gesproken: kortgeleden hebben we weer gezien hoe belangrijk deze maatregel kan zijn als onderdeel van een set beveiligingsstandaarden. Tijdens een BGP-hack werden de DNS-servers voor het domein myetherwallet.com door een malafide partij overgenomen.
Bezoekers van deze website konden hierdoor naar een kopie van de website geleid worden. Na inloggen op deze valse website werden de cryptocurrencytegoeden van de bezoekers buitgemaakt. Deze diefstal was te voorkomen geweest door het BGP-protocol beter te beveiligen, maar ook het gebruik van DNSSEC had de dieven geen kans gegeven. Het is zo spijtig dat ook onze grote Nederlandse banken deze eenvoudige en zich in de praktijk bewezen stabiele veiligheidsmaatregel niet genomen hebben.
Imago
Kortom, banken moeten de hulp vanuit de internetbranche accepteren. Door samen te werken hoeft het wiel niet opnieuw uitgevonden te worden en verbetert de kwaliteit van het internet. Het imago van het internet wordt niet verder geschaad en het vertrouwen in banken, internet en de branche neemt toe.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee