Wie bepaalt?

Om te beginnen kan er worden getwijfeld aan de instantie die bepaalt of er sprake is van 'grove nalatigheid'. Dat is namelijk dezelfde partij die de regels voor die nalatigheid opstelt. Namelijk de bank. Die doet na elk fraudegeval zelf onderzoek en beoordeelt dan of er sprake is van slordigheid, grove nalatigheid of zelfs opzet bij de klant. Dit vertelt de woordvoerder van de Nederlandse Vereniging van Banken (NVB) aan Webwereld.

Natuurlijk heeft de eventueel nalatig bevonden bankklant de mogelijkheid om tegen zijn of haar 'veroordeling' in beroep te gaan. Waar? Bij die bank zelf. Dus de regelgever is ook controleur, rechter en beroepshof. Wel zo efficiënt. Maar of dit nou goed werkt?

Antivirus?

Naast de bedenkingen over wíe er bepaalt, is er natuurlijk twijfel over wát er wordt bepaald. Op welke gronden kan een bank de conclusie trekken dat een klant verwijtbaar slordig is geweest? Misschien als hij of zij geen antivirus heeft gebruikt, of geen uptodate securitysoftware. Daar hameren de banken al jaren op.

Het zonder security surfen op internet, laat staan bedrijven van online-bankzaken, is natuurlijk vragen om problemen. Maar waar wordt de grens getrokken wat nalatigheid betreft? Bij een pakket dat niet effectief scant? Dat kan een los betaald pakket zijn maar ook de bescherming die standaard zit ingebouwd in Windows 8.

Ineffectieve antivirus betreft in de praktijk niet een enkele 'rotte appel', die consistent slecht presteert. De realiteit is dat securitypakketten veel haasje over doen in malwaretests en dat ze vaak achterlopen in de ratrace van cybercrime. Zie bijvoorbeeld de recente besmetting bij NRC Handelsblad en NRC Next. De op die veelbezochte sites geplaatste malware werd herkend door slechts 4 van de 44 virusscanners op VirusTotal.

Aan de effectiviteit van antivirus wordt al geruime tijd getwijfeld. Deze week is er nog olie op dit vuurtje gegooid met verse kritiek, onderbouwd door concrete metingen in de praktijk van de antivirusleveranciers. Of moet de grens voor nalatigheid worden getrokken bij een pakket dat naderhand zelf een beveiligingsrisico blijkt te zijn?

'Oude' Windows of Mac OS X?

Is het gebruik van een ouder, mogelijk meer kwetsbaar, besturingssysteem een geval van nalatigheid? Of het gebruik van een besturingssysteem dat niet binnen een week na het uitkomen van updates is gepatcht? Dan breken er gouden tijden aan voor leveranciers Microsoft en Apple.

Eerstgenoemde wil gebruikers (consumenten maar ook bedrijven) maar al te graag losweken van Windows XP, en nu eigenlijk ook van Windows 7. Tussentijds heeft Vista nog supportgevaar gelopen, wat op de valreep is afgewend. Ondertussen voert leverancier Apple al jaren een strak beleid waarbij het de eervorige versie van zijn Mac OS X laat vallen wat updates betreft, ook voor securitygaten.

Terwijl er voor Microsoft nog vele XP- en enkele Vista-gebruikers zijn. En voor Apple nog genoeg gebruikers van het oudere Snow Leopard (Mac OS X versie 10.6). Bijna eenderde van alle Mac-gebruikers zit nog op die release uit 2009. Nog eens net-niet eenderde zit op opvolger Lion (10.7) uit 2011, en ruim een kwart gebruikt het courante Mountain Lion (10.8).

Inmiddels koestert Microsoft volgens insiders plannen om ook jaarlijks een nieuwe Windows-release uit te brengen. Mét daarbij ook zachte dwang voor app-developers om met hun software alleen aan te haken op de allernieuwste Windows-versie. Daarmee staan oudere releases niet direct in de kou wat patches betreft, maar mogelijk ontberen ze wel nieuwe extra beveiliging. Dat is nu al het geval wat securityfuncties van Internet Explorer betreft, die Microsoft niet voor alle ondersteunde Windows-versies aanbiedt.

Windows überhaupt?

Los van de discussie over de onveiligheid van Windows doordat het nu eenmaal zo veelgebruikt is, staat het feit dat Windows veelbelaagd is. Kant-en-klare kraakkits zijn op de digitale zwarte markten voor een habbekrats te koop. Dit geldt ook voor Mac OS X, maar het aanbod is daar flink minder.

Waarschijnlijk niet zozeer vanwege bij gebrek aan gaten, maar vanwege gebruik aan gebruikers. Lees: doelwitten voor digitale bankrovers. Dus is afstappen van Windows misschien wel aan te raden. Voor internetbankieren dan. Waarvoor dan misschien maar een aparte virtuele machine dienst moet doen. Dat kan best met Windows zijn, wat dan verder niet voor regulier surfen wordt gebruikt.

Hoewel ook daar malware kan doordringen. Dus in plaats daarvan maar een speciaal, uitgekleed en dichtgetimmerd, 'e-banking OS'? Bijvoorbeeld een Windows waarvan de browser alleen naar bepaalde banksites kan gaan. Of gewoon een doelgerichte Linux-distributie, eventueel met Windows-uiterlijk voor de gewone gebruiker. Maar wie maakt, distribueert en garandeert zoiets? Plus wie zorgt voor goedkeuring wat de criteria van de banken betreft?

Wachtwoordwijsheid?

Los van de gebruikte besturingssystemen en browsers staat nog de eigenlijke sleutel tot het internetbankieren: de log-in. Gebruikersnamen en wachtwoorden dienen natuurlijk wel veilig te zijn. Over de definitie van 'veilig' bestaat nogal wat discussie en onduidelijkheid, in het verleden ook bij banken zelf.

Maar wat veilig is, is voor gewone gebruikers lang niet altijd doenbaar. Óf ze gaan toch voor onveilige inlogs, óf ze schrijven de cruciale combinatie ergens op. Bijkomende complicatie is nog het gebruik van dezelfde log-ins voor meerdere diensten tegelijk gebruiken. Dit heeft KPN en klanten al de BabyDump-affaire opgeleverd. Maar dat is slechts een enkel voorbeeld. Hergebruik van wachtwoorden tiert welig, ook van kraakbare wachtwoorden.

De Nederlandse overheid reikt de helpende hand. Het raadt in zijn nieuwste campagne bijvoorbeeld aan om van een wachtwoord als 'peter123' af te stappen. Goed advies. Alleen luidt de volledige raad van de (downloadbare) abri-poster om dat onveilige wachtwoord te veranderen in 'P€T€R1two3'. Goed genoeg?

Klik voor groot

Niet volgens security-experts. En ook niet volgens de betreffende overheidscampagne zelf! Het gedetailleerde advies begint namelijk met: “Gebruik nooit voor de hand liggende woorden of reeksen. Dus niet uw naam ..". Aangevuld met meer tips, die in de praktijk nog altijd hard nodig zijn. Is negeren van deze adviezen te zien als grove nalatigheid?

Het voor een 'enquete' verklappen (en netjes spellen) van je wachtwoord is vast nalatig: Via: DigiBewust.nl