Duurzaam internetbankieren en de mens in informatiebeveiliging

Door Rukapul op zondag 26 september 2010 12:28 - Reacties (13)
Categorie: -, Views: 6.411

Er is al veel geschreven over de veiligheid en beveiliging van online bankdiensten, maar de ""Voorwaarden ASN Online Bankieren" van de ASN Bank zijn toch wel een stukje waard. Wie zou immers niet verwachten dat een duurzame bank ook een duurzame relatie met haar klanten nastreeft?

Zou een verplichting tot wekelijkse controle van saldi, transacties, digipas en digicode hieronder vallen?
http://kosteronline.net/pics/asnbank.png

Usable security is een beweging in informatiebeveiligingsland waarbij geprobeerd wordt de mens als integraal deel van het systeem te beschouwen en daarbij rekening te houden met de menselijke mogelijkheden en beperkingen in plaats van als perfecte instructie-opvolgende entiteit zoals regelmatig onder techneuten en juristen voorkomt. Interessant leesvoer hier.


Achtien pagina's voorwaarden
Het eerste dat opvalt is dat ASN naast de 6 pagina's algemene bankvoorwaarden nog 12 pagina's nodig heeft voor online bankieren waarvan een flink deel betrekking heeft op aansprakelijkheid en veiligheid. Hiermee spant het de kroon onder de banken.

De algemene bankvoorwaarden zijn gelijk aan dat van andere banken en in overeenstemming met de consumentenbond opgesteld:
Artikel 21: Bewaar- en geheimhoudingsplicht
1. De cliŽnt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliŽnt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliŽnt houdt zich aan de door de bank gegeven beveiligingsvoorschriften.
2. Als de cliŽnt weet of redelijkerwijze kan vermoeden dat door of namens de bank aan hem ter beschikking gestelde middelen in handen van een onbevoegde zijn geraakt of daarmee misbruik is of kan worden gemaakt of dat een onbevoegde zijn pin- en/of toegangscode(s) kent, moet hij daarvan terstond mededeling doen aan de bank.
Redelijk toch? Dit is echter pas het begin...

Voorwaarden online bankieren
Bij ASN online bankieren heeft de klant veel verplichtingen om op bepaalde wijze te handelen. Om dat te kunnen plaatsen vanuit gebruikers- en bruikbaarheidsperspectief heb ik enkele verplichtingen geselecteerd en opgedeeld in passieve, reactieve en actieve verplichtingen.

Passief
ASN begint met enkele gedragingen die de kant moet laten. Niet zo vreemd en de meeste mensen kunnen hiermee omgaan al vormt het probleem van phishing natuurlijk wel een contra-indicator over de limitaties hiervan:
De Klant mag Digicode en Digipas onder geen voorwaarde aan een ander overdragen of ter beschikking stellen.
Reactief
Naast passief wordt er bepaald actief gedrag verwacht in bepaalde situaties. Hierbij wordt het soms al moeilijk om aan te voldoen:
de e-mail of brief waarmee hij de toegangsnaam ontvangt, onmiddellijk na opening en lezing vernietigt
Het merendeel van de bankklanten zal een E-mail niet duurzaam kunnen vernietigen. Het past niet in hoe veel mensen omgaan met E-mail (inbox als archief) en dat wissen veelal als enig gevolg heeft dat het naar de prullenbak wordt verplaatst.
Het Beveiligingsmiddel geeft de Klant toegang tot ASN Online Bankieren. De Klant is verplicht steeds te controleren of hij zich daadwerkelijk in deze (beveiligde) omgeving bevindt.
In het kader van usable security is redelijk wat onderzoek naar SSL, etc. gedaan met als uitkomst dat mensen bovenstaande eigenlijk niet goed kunnen. Natuurlijk kan men een slotje als indicator van een beveiligde verbinding herkennen, maar daarbij kan men makkelijk gefopt worden.
De Klant moet de Digipas altijd veilig bewaren en gebruiken. De Klant bewaart en gebruikt de Digipas alleen veilig als de Klant: [...] de Digipas buiten het zicht van anderen opbergt wanneer hij deze niet gebruikt; en de Digipas zodanig opbergt dat anderen er niet ongemerkt bij kunnen [...]
Eenieder met enig inzicht in het gemiddelde huishouden weet dat bovenstaande niet realistisch is. Digipassen en telefoons liggen overal en nergens en er is geen kluisje per gezinslid bij wijze van spreken.

Actief
Tenslotte moet de ASN klant actief en uit zichzelf regelmatig wat handelingen uitvoeren:
De Klant is verplicht om de juiste werking en beveiliging van zijn apparatuur, programmatuur en aansluitingen regelmatig te controleren en geheel up-todate te houden.
De Klant dient alle instructies van de Bank over ASN Online Bankieren strikt op te volgen. [...] De Klant is ook verplicht regelmatig de informatie te raadplegen die de Bank via deze communicatiemiddelen ter beschikking stelt over het gebruik, de Beveiligingsmiddelen en de beveiliging van ASN Online Bankieren.
Hierna wordt het pas echt een uitdaging voor de duurzame mens:
De Bank stelt informatie over het verloop van de Rekening beschikbaar via ASN Online Bankieren. [...] Hij is verplicht om de saldi en saldomutaties periodiek, maar minstens ťťn keer per week, te controleren.
De Klant moet de veiligheid van de Digicode en het gebruik ervan regelmatig controleren door: [...] minimaal ťťnmaal per week te controleren of zijn eigen Digicode nog werkt
De Klant moet de veiligheid van de Digipas en het gebruik ervan regelmatig controleren door [...] minimaal ťťnmaal per week te controleren of hij zijn eigen Digipas nog heeft
Behalve dat er genoeg situaties zijn waarbij men dit niet wekelijks kan uitvoeren is ook nog eens uit de literatuur bekend dat mensen er niet op zijn ingesteld om handelingen te verrichten die niet onderdeel uitmaken van het primaire proces in dit geval het online betalen. Aangezien veiligheid vanuit het perspectief van de klant altijd secundair is is het goed gebruik om het in het primaire (betalings)proces te integreren. Wekelijkse controles verplicht stellen is het paard achter de wagen spannen en niet meer dan het makkelijk afschuiven van aansprakelijkheid.

Een andere aanpak uit het hoge noorden
Het kan ook anders. Friesland bank heeft bijvoorbeeld naast de algemene bankvoorwaarden, maar anderhalve pagina extra voorwaarden nodig voor het internetbankieren waarbij men bovendien volstaat met:
De rekeninghouder zal alle door de bank verstrekte gebruiksvoorschriften, zoals onder andere uiteengezet in de informatiebrochure en op de website, naleven en zorgvuldig omgaan met alle door de bank verstrekte hulpmiddelen.
Rekeninghouder dient er tevens zelf voor te zorgen dat deze apparatuur, software en verbinding veilig zijn
De rekeninghouder dient zorgvuldig om te gaan met en is verantwoordelijk voor de hulpmiddelen. De rekeninghouder zal de hulpmiddelen uitsluitend gebruiken volgens de door de bank aan de rekeninghouder bekend gemaakte gebruiksvoorschriften en aanwijzingen.
De rekeninghouder zal met de meeste zorgvuldigheid voor de hulpmiddelen zorgdragen en regelmatig met behulp van de meest recente versies van anti-virusprogramma’s en andere programma’s de personal computers, die gebruikt worden voor internetbankieren, scannen op computervirussen en andere schadelijke programma’s en passende maatregelen treffen.
Een verschil dat direct in het oog springt is dat deze voorwaarden niet of nauwelijks expliciete eisen stellen waar je op voorhand als homo sapiens eigenlijk al niet aan kunt voldoen. Uiteraard is dit slechts papier en kan de uitvoering afwijken.

Een toekomst met duurzame systemen en relaties
Ik hoop dat techneuten en juristen op een dag de mens als uitganspunt zullen nemen en niet een of ander irrealistisch ideaalbeeld ervan. Pas dan kunnen systemen per saldo veiliger worden, verantwoordelijkheden eerlijk verdeeld worden en de relatie tussen klant en aanbieder echt duurzaam zijn :)

http://usablesecurity.com/2005/12/25/bizarro.jpg