tot het misgaat
Wie denkt dat de banken digitale forten zijn, vergist zich, zo bleek de af
gelopen week. Zelf houden ze hun lippen stijf op elkaar. „ING heeft zich
van zijn slechtste kant laten zien", stelt Brenno de Winter.
8 VERDIEPING
CYBERCRIME
Hoeveel back-ups
we precies
hebben, daar
doen wij geen
mededelingen over
Balanceren
door Chris van Alem
illustratie Mark Reijntjens
Op hoeveel harde schijven
is mijn banksaldo digitaal
opgeslagen? Waar vind ik
die plekken? En zitten er
zoveel sloten op de deur
dat een dief nooit bij mijn
geld kan komen?
Voor de hand liggende vragen na alle tumult
rond de banken vorige week. Maar probeer er
maar eens een antwoord op te krijgen. „N;'et",
zegt de ING, de bank die vorige week woens
dag enkele uren lang omgetoverd leek in een
compleet casino met op hol geslagen banksal
di en waar digitale deugnieten vrijdag en za
terdag het betalingsverkeer geruime tijd ontre
gelden.
„Daar geven wij geen antwoord op. Het gaat
om gegevens van klanten. Dat is gevoelige in
formatie en wij zijn zeer terughoudend in de
manier waarop we daarmee omgaan. We wil
len niet te veel openheid betrachten. Er zijn al
tijd mensen die daarmee kwaad in de zin heb
ben", aldus woordvoerder Jeroen Baardemans.
„Ik weet niet wat we daarover precies naar bui
ten willen brengen", aarzelt Margo van Wij-
gerden van de Rabobank. „Hoeveel back-ups
we precies hebben en waar, daar doen wij
geen mededelingen over", zegt Brigitte See-
gers van ABN Amro.
Op de websites van de banken is er niets over
te vinden. Wel tips hoe de klant veilig moet
bankieren, maar over hoe veilig het geld van
de klant bij de bank is: geen letter. Hooguit
sussende woorden als 'een team van experts
houdt zich dagelijks bezig met de veiligheid
van de systemen' (ING) tot dooddoeners als
'Bij de Rabobank staat u als klant voorop'.
„Het is niet erg transparant", beaamt Erik
Poll, universitair hoofddocent computerveilig
heid aan de Radboud Universiteit in Nijme
gen. „Wij kennen de buitenkant van internet-
bankieren een beetje. Maar hoe het er bij de
bank intern aan toe gaat, daar hebben wij wei
nig zicht op."
Dat de bank geen ondoordringbaar fort is, is
duidelijk. Vorig jaar lanceerde softwaremaker
McAfee een bericht over een wereldwijde cy-
beraanval op banken met malware als Zeus en
SpyEye. Daarmee wisten de digitale bankro
vers 35,6 miljoen euro te stelen van vijfdui
zend zakelijke rekeninghouders bij ING en Ra
bobank. Beide banken zeiden zich 'niet in het
rapport van McAfee te herkennen' en zwegen
verder als het graf.
In mei 2011 werd duidelijk dat ABN Amro en
Rabobank het slachtoffer waren geworden
van fraude met online optiehandel. Een Neder
landse bende kocht via de internetsites van de
ze banken op grote schaal opties die in snel
treinvaart werden doorverkocht, voordat de
bank de kosten voor aanschaf van de opties
kon innen. Van de 45 miljoen euro die hier
door verdween, werd het grootste gedeelte bij
buitenlandse banken teruggevonden.
Eric Poll was vorig jaar augustus 'verbijsterd'
toen hij met zijn studenten ontdekte dat de
e-dentijier van ABN Amro (waarmee online be
talingen worden beveiligd) zo lek was als een
mandje. „Dat ze dat zelf niet gevonden heb
ben bij de bank", verbaast hem hogelijk. Vol
gens Poll is de e-dentifier geleverd door een
Zweeds bedrijf. „Ik heb de indruk dat banken
bij producten die ze inkopen denken: als er
iets fout gaat, is het de schuld van de leveran
cier." ABN nodigde Poll en studenten uit voor
een test van de verbeterde e-dentifier. „Dat heb-
Brigitte Seegers, ABN Amro.
ben we niet gedaan, want we moesten teke
nen voor geheimhouding van het onderzoeks
resultaat en dat wilden we niet."
Van de digitale blokkade waar ING en andere
banken vrijdagavond en zaterdag mee te kam
pen hadden is Poll niet onder de indruk. „Dat
incident woensdagavond met de banksaldi,
dat vond ik schokkender. Dan vraag je je toch
af hoe ING de zaken geregeld heeft en of ze
het daar intern wel goed voor elkaar hebben?"
ING kondigde vorige week al direct een groot
schalige evaluatie van het voorval aan. „Maar
ik denk niet dat ze met de uitslag daarvan
naar buiten komen, want dat levert slechte pu
bliciteit op", zegt Poll.
„ING heeft zich van zijn slechtste kant laten
zien. Men heeft geen enkele opening van za
ken gegeven. ING kan de integriteit van zijn
systemen niet meer garanderen. Totdat ze mij
kunnen bewijzen dat hun systeem betrouw
baar is, heb ik geen enkele behoefte om zaken
te doen met ING", zegt Brenno de Winter, on
derzoeksjournalist gespecialiseerd in compu
terbeveiliging. „Als zij mij er niet van kunnen
overtuigen dat mijn geld veilig is in hun bank,
kan ik mijn risico's niet meer inschatten."
Volgens De Winter zijn de computersyste
men van ING 'per definitie slecht beveiligd'
en ook Poll plaatst vraagtekens: „Dat systeem
is misschien dertig, veertig jaar oud en bestaat
uit aan elkaar geknoopte systemen. Daarom
komen ze we er misschien nooit achter wat er
vorige week woensdag is gebeurd."
De Nederlandsche Bank kan ook geen ant
woord geven op de vraag hoe ING en andere
banken hun computergegevens hebben bevei
ligd. „Of er nu drie of tien sloten op de deur
zitten, dat weten wij niet. Wij zeggen tegen
de banken: laat maar zien dat je de maatrege
len hebt genomen voor beheerste bedrijfsvoe
ring, zoals de Wet Financieel Toezicht voor
schrijft", zegt woordvoerder Remko Vellenga.
„Daar staat niet in hoeveel back-ups ze moe
ten hebben van hun bestanden. De banken
moeten zelf aangeven waarom ze vinden dat
ze hun bedrijfsprocessen adequaat beheer
sen."
