Duurzaam internetbankieren en de mens in informatiebeveiliging

Door Rukapul op zondag 26 september 2010 12:28 - Reacties (13)
Categorie: -, Views: 6.396

Er is al veel geschreven over de veiligheid en beveiliging van online bankdiensten, maar de ""Voorwaarden ASN Online Bankieren" van de ASN Bank zijn toch wel een stukje waard. Wie zou immers niet verwachten dat een duurzame bank ook een duurzame relatie met haar klanten nastreeft?

Zou een verplichting tot wekelijkse controle van saldi, transacties, digipas en digicode hieronder vallen?
http://kosteronline.net/pics/asnbank.png

Usable security is een beweging in informatiebeveiligingsland waarbij geprobeerd wordt de mens als integraal deel van het systeem te beschouwen en daarbij rekening te houden met de menselijke mogelijkheden en beperkingen in plaats van als perfecte instructie-opvolgende entiteit zoals regelmatig onder techneuten en juristen voorkomt. Interessant leesvoer hier.


Achtien pagina's voorwaarden
Het eerste dat opvalt is dat ASN naast de 6 pagina's algemene bankvoorwaarden nog 12 pagina's nodig heeft voor online bankieren waarvan een flink deel betrekking heeft op aansprakelijkheid en veiligheid. Hiermee spant het de kroon onder de banken.

De algemene bankvoorwaarden zijn gelijk aan dat van andere banken en in overeenstemming met de consumentenbond opgesteld:
Artikel 21: Bewaar- en geheimhoudingsplicht
1. De cliŽnt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliŽnt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliŽnt houdt zich aan de door de bank gegeven beveiligingsvoorschriften.
2. Als de cliŽnt weet of redelijkerwijze kan vermoeden dat door of namens de bank aan hem ter beschikking gestelde middelen in handen van een onbevoegde zijn geraakt of daarmee misbruik is of kan worden gemaakt of dat een onbevoegde zijn pin- en/of toegangscode(s) kent, moet hij daarvan terstond mededeling doen aan de bank.
Redelijk toch? Dit is echter pas het begin...

Voorwaarden online bankieren
Bij ASN online bankieren heeft de klant veel verplichtingen om op bepaalde wijze te handelen. Om dat te kunnen plaatsen vanuit gebruikers- en bruikbaarheidsperspectief heb ik enkele verplichtingen geselecteerd en opgedeeld in passieve, reactieve en actieve verplichtingen.

Passief
ASN begint met enkele gedragingen die de kant moet laten. Niet zo vreemd en de meeste mensen kunnen hiermee omgaan al vormt het probleem van phishing natuurlijk wel een contra-indicator over de limitaties hiervan:
De Klant mag Digicode en Digipas onder geen voorwaarde aan een ander overdragen of ter beschikking stellen.
Reactief
Naast passief wordt er bepaald actief gedrag verwacht in bepaalde situaties. Hierbij wordt het soms al moeilijk om aan te voldoen:
de e-mail of brief waarmee hij de toegangsnaam ontvangt, onmiddellijk na opening en lezing vernietigt
Het merendeel van de bankklanten zal een E-mail niet duurzaam kunnen vernietigen. Het past niet in hoe veel mensen omgaan met E-mail (inbox als archief) en dat wissen veelal als enig gevolg heeft dat het naar de prullenbak wordt verplaatst.
Het Beveiligingsmiddel geeft de Klant toegang tot ASN Online Bankieren. De Klant is verplicht steeds te controleren of hij zich daadwerkelijk in deze (beveiligde) omgeving bevindt.
In het kader van usable security is redelijk wat onderzoek naar SSL, etc. gedaan met als uitkomst dat mensen bovenstaande eigenlijk niet goed kunnen. Natuurlijk kan men een slotje als indicator van een beveiligde verbinding herkennen, maar daarbij kan men makkelijk gefopt worden.
De Klant moet de Digipas altijd veilig bewaren en gebruiken. De Klant bewaart en gebruikt de Digipas alleen veilig als de Klant: [...] de Digipas buiten het zicht van anderen opbergt wanneer hij deze niet gebruikt; en de Digipas zodanig opbergt dat anderen er niet ongemerkt bij kunnen [...]
Eenieder met enig inzicht in het gemiddelde huishouden weet dat bovenstaande niet realistisch is. Digipassen en telefoons liggen overal en nergens en er is geen kluisje per gezinslid bij wijze van spreken.

Actief
Tenslotte moet de ASN klant actief en uit zichzelf regelmatig wat handelingen uitvoeren:
De Klant is verplicht om de juiste werking en beveiliging van zijn apparatuur, programmatuur en aansluitingen regelmatig te controleren en geheel up-todate te houden.
De Klant dient alle instructies van de Bank over ASN Online Bankieren strikt op te volgen. [...] De Klant is ook verplicht regelmatig de informatie te raadplegen die de Bank via deze communicatiemiddelen ter beschikking stelt over het gebruik, de Beveiligingsmiddelen en de beveiliging van ASN Online Bankieren.
Hierna wordt het pas echt een uitdaging voor de duurzame mens:
De Bank stelt informatie over het verloop van de Rekening beschikbaar via ASN Online Bankieren. [...] Hij is verplicht om de saldi en saldomutaties periodiek, maar minstens ťťn keer per week, te controleren.
De Klant moet de veiligheid van de Digicode en het gebruik ervan regelmatig controleren door: [...] minimaal ťťnmaal per week te controleren of zijn eigen Digicode nog werkt
De Klant moet de veiligheid van de Digipas en het gebruik ervan regelmatig controleren door [...] minimaal ťťnmaal per week te controleren of hij zijn eigen Digipas nog heeft
Behalve dat er genoeg situaties zijn waarbij men dit niet wekelijks kan uitvoeren is ook nog eens uit de literatuur bekend dat mensen er niet op zijn ingesteld om handelingen te verrichten die niet onderdeel uitmaken van het primaire proces in dit geval het online betalen. Aangezien veiligheid vanuit het perspectief van de klant altijd secundair is is het goed gebruik om het in het primaire (betalings)proces te integreren. Wekelijkse controles verplicht stellen is het paard achter de wagen spannen en niet meer dan het makkelijk afschuiven van aansprakelijkheid.

Een andere aanpak uit het hoge noorden
Het kan ook anders. Friesland bank heeft bijvoorbeeld naast de algemene bankvoorwaarden, maar anderhalve pagina extra voorwaarden nodig voor het internetbankieren waarbij men bovendien volstaat met:
De rekeninghouder zal alle door de bank verstrekte gebruiksvoorschriften, zoals onder andere uiteengezet in de informatiebrochure en op de website, naleven en zorgvuldig omgaan met alle door de bank verstrekte hulpmiddelen.
Rekeninghouder dient er tevens zelf voor te zorgen dat deze apparatuur, software en verbinding veilig zijn
De rekeninghouder dient zorgvuldig om te gaan met en is verantwoordelijk voor de hulpmiddelen. De rekeninghouder zal de hulpmiddelen uitsluitend gebruiken volgens de door de bank aan de rekeninghouder bekend gemaakte gebruiksvoorschriften en aanwijzingen.
De rekeninghouder zal met de meeste zorgvuldigheid voor de hulpmiddelen zorgdragen en regelmatig met behulp van de meest recente versies van anti-virusprogramma’s en andere programma’s de personal computers, die gebruikt worden voor internetbankieren, scannen op computervirussen en andere schadelijke programma’s en passende maatregelen treffen.
Een verschil dat direct in het oog springt is dat deze voorwaarden niet of nauwelijks expliciete eisen stellen waar je op voorhand als homo sapiens eigenlijk al niet aan kunt voldoen. Uiteraard is dit slechts papier en kan de uitvoering afwijken.

Een toekomst met duurzame systemen en relaties
Ik hoop dat techneuten en juristen op een dag de mens als uitganspunt zullen nemen en niet een of ander irrealistisch ideaalbeeld ervan. Pas dan kunnen systemen per saldo veiliger worden, verantwoordelijkheden eerlijk verdeeld worden en de relatie tussen klant en aanbieder echt duurzaam zijn :)

http://usablesecurity.com/2005/12/25/bizarro.jpg

Volgende: Zakelijke persoonlijke vragen 11-'10 Zakelijke persoonlijke vragen
Volgende: MasterCard SecureCode: veilig voor wie? 01-'10 MasterCard SecureCode: veilig voor wie?

Reacties


Door Tweakers user Garyu, zondag 26 september 2010 13:38

Mooi inderdaad. Wordt je account gehacked (phishing of whatever), krijg je geen geld terug omdat Windows Update niet op "automatisch" stond, en je dus niet alles aan beveiliging gedaan hebt wat er mogelijk is...

En dat je minstens ťťn keer per week je saldo MOET bekijken is echt geniaal. Waarom stuurde mijn bank mij vroeger dan maar eens per twee weken een giro-afschrift?

Door Tweakers user Sgreehder, zondag 26 september 2010 15:06

Als in je ontwerp de gebruiker deel uitmaakt van je systeem, dan moet je eisen stellen aan die gebruiker, toch? De keuze om dit te doen is, tja, degelijk en ondersteund door jaren aan ervaring. En had jammer genoeg al jaren geleden naar de prullenbak moeten worden verwezen.

Door Tweakers user Rukapul, zondag 26 september 2010 15:26

Sgreehder schreef op zondag 26 september 2010 @ 15:06:
Als in je ontwerp de gebruiker deel uitmaakt van je systeem, dan moet je eisen stellen aan die gebruiker, toch? De keuze om dit te doen is, tja, degelijk en ondersteund door jaren aan ervaring. En had jammer genoeg al jaren geleden naar de prullenbak moeten worden verwezen.
In beginsel mogen er ook eisen gesteld worden aan gebruikers zolang deze passend zijn bij de mogelijkheden en beperkingen van die gebruikers. Zaken waarvan bekend is dat mensen er structureel geen invulling aan (kunnen) geven is een goede contra-indicator van passend. Toch is dat laatste wat veelal gebeurt.

Door Tweakers user 318025, zondag 26 september 2010 15:35

Sowieso aan geraden om geregeld je bank account te controleren, toen ik in China zat zag ik dat SNS bank plots een automatische incasso uitgevoerd had en 500§ van me rekening haalde, mooi gestorneerd.

Door Tweakers user gang-ster, zondag 26 september 2010 22:04

@SeekerNL: daar heb je 56 dagen de tijd voor.

W.b.t. de voorwaarden van banken. Ja, die zijn redelijk slecht vanuit het oogpunt van klant en als deze goed zouden worden uitgelegd, zou niemand meer een rekening hebben.

Door Tweakers user MAZZA, zondag 26 september 2010 22:27

Ik vind het eigenlijk allemaal wel meevallen. Het zijn in mijn ogen logisch verklaarbare voorwaarden.

Door Tweakers user gang-ster, zondag 26 september 2010 22:30

MAZZA schreef op zondag 26 september 2010 @ 22:27:
Ik vind het eigenlijk allemaal wel meevallen. Het zijn in mijn ogen logisch verklaarbare voorwaarden.
Elke week je rekening controleren. Denk je nu echt dat mensen niets beters te doen hebben? Zeker als je meerdere rekeningen hebt.

Door Tweakers user 318025, zondag 26 september 2010 23:22

gang-ster schreef op zondag 26 september 2010 @ 22:30:
[...]

Elke week je rekening controleren. Denk je nu echt dat mensen niets beters te doen hebben? Zeker als je meerdere rekeningen hebt.
Ik controleer mijn rekening 5x per dag ofzo soms.

Door Tweakers user Silent7, maandag 27 september 2010 00:55

"nee skimmen doen we in uw situatie geen onderzoek naar daar u de afgelopen 5 weken 2 maal een week niet uw saldo bekeken heeft en u daarmee onze algemene voorwaarden heeft geschonden."

Door Tweakers user -RetroX-, maandag 27 september 2010 08:41

De grondslag van dergelijke voorwaarden is duidelijk: de meeste risico's worden veroorzaakt door de gebruiker.

Logisch dat je dit als bedrijf het risico hierin wilt afdekken. Echter: zo'n pak aan voorwaarden laat ook zien dat een dergelijk bedrijf elk mogelijk excuus zal gebruiken om aansprakelijkheid af te schuiven.

Helaas is het nog steeds zo dat het aanvinken of een handtekening zetten voldoende is om aan te geven dat de voorwaarden gelezen en begrepen zijn. Ze zouden (als de intentie echt goed bedoeld is van de ASN) een soort van toets met random vragen uit de algemene voorwaarden. Maar ja.... potentiele klanten die dan afhaken omdat ze bekend raken met de voorwaarden kan je niet aan verdienen.... en ja.... een bank met idealen moet nu eenmaal verdienen aan consumenten.... (ehhhh, huh?)

Door Tweakers user gang-ster, maandag 27 september 2010 09:33

@SeekerNL: Waarom?

Door Tweakers user Afvalzak, maandag 27 september 2010 15:07

Kijken of die een loterij heeft gewonnen ?:P

Door Tweakers user MAZZA, maandag 27 september 2010 16:54

gang-ster schreef op zondag 26 september 2010 @ 22:30:
[...]

Elke week je rekening controleren. Denk je nu echt dat mensen niets beters te doen hebben? Zeker als je meerdere rekeningen hebt.
Denk je ook dat Nederland een groot risico loopt op een atoomaanval? Toch staat dit in de voorwaarden genoemd van mening verzekering die je afsluit.

Dat heet indekken van risico's :)

Reageren is niet meer mogelijk