Cyberaanvallen ING inleiding faillissement online dienstverlening

Leestijd: 3 minuten

header blogartikel_gastblogger

Ruim een week geleden schudde Nederland op zijn grondvesten. Er was iets misgegaan bij  de verwerking van een bestand waardoor de klanten van de ING verkeerde saldo informatie kregen. Maar daarna begonnen de problemen pas echt. Er zijn tenminste vier cyberaanvallen uitgevoerd op de ING, maar het lijkt alsof we ons om het laatste minder zorgen maken. Wij zijn vooral boos omdat de bank haar digitale zaakjes niet op orde heeft.

Hoewel de aanvallen zich nu toespitsen op de ING zijn ook de betalingsdienst iDeal en andere banken getroffen door een of meerdere DDoS aanvallen waarbij er zoveel verkeer gegenereerd wordt dat de servers het aantal aanvragen niet meer aankunnen en daardoor stilgelegd worden. Het is dus geen echte inbraak. Dus waar maken we ons druk over?

10-4

Voor ons als consumenten is zo’n DDoS aanval alleen maar lastig. We kunnen niet altijd inloggen, en onze overboekingen moeten we maar even uitstellen. Voor de detailhandel is het meer dan lastig. Zo stelde de branchevereniging Thuiswinkel.org afgelopen week dat de online winkels door de cyberaanvallen op de ING tientallen miljoenen euro’s schade lijden. Voormalig commandant der strijdkrachten Dick Berlijn voorspelt dat we in de toekomst meer van dit type aanvallen kunnen verwachten en morgen volgt er een top tussen de ministers Opstelten van Justitie en Dijsselbloem van Financiën.

Oppervlakkig bekeken zijn de aanvallen alleen maar lastig, maar als we dieper kijken naar de oorzaken dient de vraag zich aan wat wij als consument belangrijker vinden: Betrouwbare real time saldo informatie of een betrouwbare portemonnee? De cyberaanvallen van vorige week tonen aan dat de IT infrastructuur van banken zeer kwetsbaar is.

Deels is dit het directe gevolg van de financiële crisis waarbij in 2008 en 2009 veel projecten bij banken zijn stilgelegd. Nog steeds wordt er bij projecten vooral naar het rendement gekeken, en niet naar de veiligheid omdat dit een kostenpost lijkt te zijn. In het Business Continuity Management ligt de nadruk vooral nog op de interne beschikbaarheid van systemen terwijl de focus juist bij externe bedreigingen moet liggen. Vanwege de bezuinigingen worden steeds meer diensten online aangeboden terwijl de infrastructuur van de banken hier niet klaar voor is. Tal van bedrijf kritische applicaties bij de banken draaien op ‘legacy systemen’. Oude mainframes met minder capaciteit dat onze nieuwste smartphones vormen de ruggengraat van onze online economie, waarbij programma’s geschreven in archaïsche programmeertalen het betalingsverkeer regelen. Deze systemen en programmeertalen zijn niet berekend op de huidige toepassingen. De financiële sector is daarmee een makkelijk doelwit voor cyberaanvallen. Niet alleen in Nederland, maar wereldwijd zien we de laatste maanden aanvallen op banken. Zo werden onlangs nog de Koreaanse banken lamgelegd en deze maand werd bekend dat Amerikaanse banken in 2012 maar liefst 249 uur onbereikbaar waren door DDoS aanvallen. Ondanks het feit dat er niet daadwerkelijk ‘íngebroken’ is bij de banken loopt de schade in de miljarden. Ook deze maand werd bekend dat hackers ruim 200 miljoen euro buitgemaakt hebben bij aanvallen op Russische banken.

Moeten wij als consument in plaats van meer online diensten en digitaal gemak niet meer gaan vragen om veilige dienstverlening? Moeten wij eisen dat de banksector de miljardenwinsten investeert om de IT infrastructuur up to date te brengen? Het lijkt vechten tegen de bierkaai. Er worden al tonnen geïnvesteerd in zwaardere beveiligingsmethoden. Zonder veel succes overigens, want een half jaar later zit dezelfde rekencapaciteit in een laptop van 500 Euro en kan iedere puber ook deze beveiliging weer kraken.

De strijd op het internet lijkt een eindeloze wapenwedloop te worden die wij gaan verliezen. Het echte probleem zit veel dieper. Het zit in de aderen van het internet zelf. Net als bij de banken draait het internet zelf op systemen die in de jaren 70 ontworpen zijn en de uitwisseling van gegevens wordt gedaan door protocollen uit de jaren 70. In het ontwerp van het internet gaat het om de vrije uitwisseling van informatie tussen een klein groepje mensen die elkaar kennen en vertrouwen. Er was geen noodzaak om na te denken over beveiliging en het identificeren van gebruikers.

Nu het internet door miljarden mensen wereldwijd gebruikt wordt en wij steeds meer ons leven online organiseren lopen we tegen de grenzen van het vrije internet aan. Langzamerhand moeten we de conclusie trekken dat het internet niet veilig genoeg is om onze financiële transacties af te handelen, dat het onvoldoende mogelijkheden heeft om ons intellectueel eigendom te beschermen en wij ons digitale leven er niet zeker zijn.

Noot:

Bovenstaand artikel is geschreven door Johan Vermij, freelance projectmanager. Het artikel verscheen eerder op zijn blog Auruncus.com

0 antwoorden
  1. arjan.stet@gmail.com'
    Arjan zegt:

    Duidelijk is dat dit soort aanvallen in de toekomst behoorlijk gaat toenemen. Zeker bij instanties waar iets te halen valt. Feit is ook dat die legacy systemen waar je het over hebt hier niet tegen bestand zijn. Toch hoeft de beveiliging niet volledig te rusten op deze systemen, maar kunnen er beveiligingen worden aangebracht aan de voorkant waarbij aanvallen het legacy mainframe systeem niet hoeven raken. Ik verwacht daarom ook niet dat we deze strijd gaan verliezen, daarmee verwacht ik dus ook niet dat we deze mogelijkheid in de toekomst volledig moeten gaan afschermen. Duidelijk is wel dat er flink moet worden geïnvesteerd in beveiliging. Uiteindelijk zullen we hooguit iets op onze vrijheid moeten gaan inleveren.

    Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.