Banken akkoord over beveiliging bij internetbankieren

[midas]

De discussie is hier vaker gevoerd maar nu is er in ieder geval één kogel door de kerk. Alle banken in Nederland hanteren uniforme regels hoe bij internetfraude tot vergoeding over te gaan:

http://tweakers.net/nieuws/92780/nederlandse-banken-installeer-geen-illegale-software.html

Maar of we hier blij mee moeten zijn?

[Vistaus]

Maar hoe kan ik een virusscanner op mijn tablet installeren als er geen beschikbaar is voor de mijne?

[midas]

Ja...en nu maar 'voor de vorm' een virusscanner installeren op mijn linux-bakkie??

[Vistaus]

Het OS op mijn tablet is ook gebaseerd op Linux. Maar inderdaad, voor desktop hetzelfde. En dan wat? Elke dag dat ding draaien wat voornamelijk Windows-virussen kent? Want Linux-desktop-virussen zijn er nauwelijks dus...

[midas]

Ja en wat te denken van Chromebookjes bijvoorbeeld. Die worden steeds populairder en is ook geen anti-virus software voor. Je mag blijkbaar wel met een brak modem en slecht beveiligde wifi bankzaken doen want daar lees ik dan niets over. Wat voor (*kuch*) zouden die eisen opgesteld hebben?

[jvecht]

En dan wat betreft de uitvoerbaarheid:

Veel huishoudens hebben Windows Pc's. En wij Linux fans hebben zelf een Linux pc. En anderen in het gezin wellicht een iPad, een Androïd tablet en een stel smartphones.

Hoe gaan ze dat dan nagaan? Huiszoeking? Of houden ze soms alle inlog-pogingen bij, MET het soort apparaat wat inlogt? En hoe lang dan?

Dat doen ze al, dat weten we. Dat merk je bij de persverslagen rond verschillende opsporingsacties.

Dat is uiteraard prima. Dan denk ik aan dat drama rond die twee vermiste broertjes. Maar stel je nou voor dat de bedoelingen van onze overheid een hele nare draai krijgen? Dan steekt onze nek in een digitale strop! Maar daaraan ontkomen? Internet opgeven?

Aan de andere kant is de openheid van een Internet een waarborg tegen rare streken. Want dat ligt dan wel meteen op straat. Snowden was zonder Internet nooit zover gekomen, wel?

met vriendelijke groeten,

Just Vecht

[Pjotr]

Niks aan de hand. De voorwaarden stellen geen virusscanner verplicht, maar slechts een "goede beveiliging":
http://www.nvb.nl/nieuws/2013/2365/regels-voor-veilig-internetbankieren-bij-alle-banken-gelijk.html?cookie=set

3.  Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.

In de uitgebreidere pdf:
http://www.nvb.nl/media/document/001026_uniforme-veiligheidsregels.pdf

3. Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.
Denk hierbij aan het volgende:

- Zorg dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of
smartphone, die u voor het regelen van uw bankzaken gebruikt, is voorzien van actuele
(beveiligings)updates. Geïnstalleerde software is bijvoorbeeld het besturingssysteem en beveiligingsprogramma’s, zoals virusscanner en firewall;
- Installeer geen illegale software;
- Beveilig de toegang tot de apparatuur die u gebruikt voor het regelen van uw bankzaken
met een toegangscode.
- Zorg er daarnaast voor dat door de bank verstrekte toepassingen op de apparatuur die u
gebruikt voor het regelen van uw bankzaken niet door onbevoegden kunnen worden
gebruikt;
- Log altijd uit als u klaar bent met het regelen van uw bankzaken.

Het loont altijd de moeite, om in dit soort gevallen rechtstreeks de bron te raadplegen.... 

[midas]

OK 

Maar het is wel een juridisch statement die de banken nu gezamenlijk opstellen. Gelet op zaken die bijvoorbeeld in programma's als Opgelicht voorbij komen doen banken steeds moeilijker bij het uitbetalen in geval van internetfraude. De gebruiker moet aantonen dat er sprake is van fraude en de gebruiker moet aantonen dat hij/zij nergens nalatig is geweest.

Zoals een keer eerder gezegd kan alles wat maar aan het internet hangt op één of andere manier gekraakt worden. Maar hoe kan ik mijn zorgvuldig handelen aantonen wanneer ik slachtoffer ben van fraude en ik draai Debian, CentOS, Ubuntu of één van die andere 400?

[Pjotr]

Zoals een keer eerder gezegd kan alles wat maar aan het internet hangt op één of andere manier gekraakt worden. Maar hoe kan ik mijn zorgvuldig handelen aantonen wanneer ik slachtoffer ben van fraude en ik draai Debian, CentOS, Ubuntu of één van die andere 400?

Niets is geheel veilig, maar die besturingssystemen zijn (mits geheel bijgewerkt) *aantoonbaar* vele malen veiliger dan een geheel bijgewerkte Windows met een geheel bijgewerkte antivirus. Je zit dus goed. 

[jvecht]

Niets is geheel veilig, maar die besturingssystemen zijn (mits geheel bijgewerkt) *aantoonbaar* vele malen veiliger dan een geheel bijgewerkte Windows met een geheel bijgewerkte antivirus. Je zit dus goed. 

Ja, Pjotr, dat zeg je en wij weten dat allemaal. Maar de huidige bureaucratie kennende zeggen "ze": geen antivirus! Dus niet goed. Er is maar één reden voor deze behoorlijke vage regels. Ze klinken wel mooi en goedbedoeld. Maar die banken willen gewoon geld en daar gaat het om. En dat gebeurt vast niet altijd netjes. De wereld barst toch van misstanden. De bankwereld is zeker geen heilige.

Eerst zien dan geloven.

met vriendelijke groeten,

Just Vecht

[Pjotr]

Niets is geheel veilig, maar die besturingssystemen zijn (mits geheel bijgewerkt) *aantoonbaar* vele malen veiliger dan een geheel bijgewerkte Windows met een geheel bijgewerkte antivirus. Je zit dus goed. 

Ja, Pjotr, dat zeg je en wij weten dat allemaal. Maar de huidige bureaucratie kennende zeggen "ze": geen antivirus! Dus niet goed. Er is maar één reden voor deze behoorlijke vage regels. Ze klinken wel mooi en goedbedoeld. Maar die banken willen gewoon geld en daar gaat het om. En dat gebeurt vast niet altijd netjes. De wereld barst toch van misstanden. De bankwereld is zeker geen heilige.

Eerst zien dan geloven.

met vriendelijke groeten,

Just Vecht

Met alle respect, maar dat lijkt me een tikje overdreven....
De nieuwe regels bieden alle ruimte voor het niet-gebruiken van antivirus. Dat is een feit. En daar houd ik mij aan. Binnen de regels.

Voor een eventuele discussie met een bank, ben ik niet bang. Bankmedewerkers zijn (op enkele beruchte uitzonderingen na) immers geen schurken, maar gewoon fatsoenlijke mensen die op een eerlijke manier hun brood verdienen. En dus voor rede vatbaar. Zo niet, dan hebben we altijd nog de rechter.

Maar ik verwacht niet, dat er ooit een rechter aan te pas zal hoeven te komen. Ook een bank heeft geen zin in een bij voorbaat verloren juridisch gevecht: rechters zijn ook niet gek....

[Joris Donders]

Een punt van discussie kan echter wél zijn om aan te tonen dat *jouw* linux op dat moment beantwoord aan courante veiligheid op je computer; ik zie daar veel voer voor welles-nietes in geval van problemen.

Met een Windows kennen ze de zaken veel beter dan met een Linux-computer; stel maar eens dat je je firewall niet actief had gezet = mogelijkheid tot discussie aangaande veiligheid (een zeer rekbaar begrip) en jouw pech dat je met een internetfraude te maken had/hebt.
Bovendien kan altijd boven water komen dat er wel degelijk antivirussoftware is voor een Linux (ClamAV) , ik zou toch niet meteen juichen en roepen dat we per definitie veiliger zijn met een Linux (Ubuntu) systeem ten aanzien van aantijgingen over *veiligheid* (nogmaals een zeer rekbaar begrip).

Natuurlijk diegenen die vanuit een Live-modus werken, wat dan eh ...... ?

[asphyxia]

De kanttekening die bij me opkomt, is dat er iets in zit van omgekeerde bewijslast.
(ik heb even moeten grijnzen om de bezorgdheid over backdoors op het systeem. Laat ik daarover maar verder zwijgen  )

Vwb de firewall: die staat bv. bij Ubuntu standard uit. Vele andere Linux distro's hebben die standaard aan staan. Ik neig qua voorkeur naar het laatste.

Wellicht interessant om te weten: grote financiële instellingen zoals de New York Stock Exchange - Euronext draaien op Red Hat Enterprise Linux: http://www.informationweek.com/software/operating-systems/new-york-stock-exchange-runs-trades-on-red-hat-linux/d/d-id/1067867?

[testcees]

Het zal niet gebeuren maar als ik bij een incidentmelding over internetbankieren aangeef op mijn computer/laptop/smartphone&tablet Linux te gebruiken en overtuigd ben dat ik daar (zonder virusscanner en zonder ingestelde firewall) veilig mee kan internetbankieren verwacht ik niet per ommegaande een 100% schadevergoeding.
Als ik via Windows ga internetbankieren wordt ik mogelijk eerder 'slachtoffer' maar kan het eenvoudig(er) zijn om aan te tonen dat de computer een “goede beveiliging” heeft (volgens deze 'duidelijke' regels van de banken).

De virusscanner ClamAV (ClamTK) heb ik maar zie in dit topic de toegevoegde waarde niet omdat:

• het geen real-time scanner is en ik de scanner eigenlijk nooit handmatig start.
• er geen gevaarlijke virussen zijn voor Linux.
• mijn versie uit het Ubuntu softwarecentrum (13.04) (ook na een update) aangeeft een verouderde GUI te gebruiken (dus niet aan de update-regel van de bank voldoet):

Uploaded with ImageShack.us

Voor een eventuele discussie met een bank, ben ik niet bang.

De andere regels begrijp ik goed, houd je beveiligingscodes geheim, zorg voor je bankpas, check je rekening en meld ongeregeldheden. Maar een discussie met een bank over 'de beveiliging van internetbankieren' ga ik persoonlijk liever niet aan. Ik kan verwijzen naar uitspraken op dit forum of websites dat “Linux veilig is” en een “virusscanner niet nodig is” (dat weet toch iedereen?) en hoop dan maar dat dit voldoende is voor een echte discussie (om mijn geld terug te krijgen).

Het update-punt was duidelijker geweest zonder de zin met de virusscanner als voorbeeld.

[dellkubuntu]

Leuk voor de slachtoffers,zijn ze niet alleen hun geld kwijt maar krijgen ze ook te maken met een starre bank.Ik kijk misschien teveel naar dat soort programma's op tv,maar van deze ontwikkeling word ik niet blij.

[markba]

Pjotr heeft gelijk: er staat nergens dat een anti-virus pakket verplicht is, er is zelfs geen aanbeveling daartoe. Het lijkt me dan ook dat er geen enkele discussie zou kunnen ontstaan als je dat dus niet hebt (zo ongeveer alle Linux-gebruikers).

Omgekeerd, omdat er nergens toegespitst wordt naar OS, geldt dit dus ook voor Windows! Dat zou dan betekenen dat als je zelfs onder Windows geen anti-virus pakket zou draaien, dit geen reden zou zijn om je een tegemoetkoming in mogelijke schade te ontzeggen. Dat wordt dus interessant.

[niekn]

er staat ook dat ALLES up-to-date moet zijn, wat op Windows een onbegonnen zaak is omdat je elk programma daar met de hand moet updaten, en in het geval van microsoft office moet je voor elke upgrade betalen!
ow wat ben ik blij met APT!! 

[testcees]

Het artikel bevat nu een update:

Update, 12.40: Genuanceerd dat de bewoordingen van de NVB niet direct het gebruik van beveiligingssoftware voor apparaten voor internetbankieren als eis stellen, maar dat dit indirect het geval is.

Duidelijk zo?

Vwb de firewall: die staat bv. bij Ubuntu standard uit. Vele andere Linux distro's hebben die standaard aan staan. Ik neig qua voorkeur naar het laatste.

Alleen voor inkomend verkeer dan? Sommige Windows firewalls blokkeren ook onbekend uitgaand verkeer. Welke firewall-instellingen moet ik gebruiken (volgens de banken)? Voor de meeste zekerheid de meest strenge en daarmee ook de meest lastige?

Wellicht interessant om te weten: grote financiële instellingen zoals de New York Stock Exchange - Euronext draaien op Red Hat Enterprise Linux: http://www.informationweek.com/software/operating-systems/new-york-stock-exchange-runs-trades-on-red-hat-linux/d/d-id/1067867?

Heel interessant maar gaat niet over computers bij eindgebruikers. Mijn computer met Linux is niet vanzelf even veilig als deze servers die door professionele beheerders worden geconfigureerd en beheerd.

[markba]

Het update-punt was duidelijker geweest zonder de zin met de virusscanner als voorbeeld.

Klopt. Er staat, heel verwarrend 'bijvoorbeeld' bij. Ik lees het zo: als je al een anti-virus programma gebruikt, zorg er dan voor dan deze bijgewerkt is. Dat laatste lijkt me logisch.

In de toelichting staat dat software op apparaten zoals computers, tablets en smartphones, die voor bankzaken gebruikt worden, moet worden voorzien van de laatste beveiligingsupdates. De NVB doelt hiermee niet alleen op het OS, maar ook op beveiligingssoftware als virusscanner en firewall. Daarmee lijkt de NVB het gebruik van beveiligingssoftware voor apparaten als computers en mobiele apparaten indirect ook als voorwaarde te stellen.
http://tweakers.net/nieuws/92780/nederlandse-banken-installeer-geen-illegale-software.html

Er staat dus *niet* dat anti-virus verplicht is en dus kan het nooit als eis gesteld worden.

In dit comment staat ongeveer wat ik hier boven ook zeg:
http://tweakers.net/nieuws/92780/nederlandse-banken-installeer-geen-illegale-software.html?showReaction=6578236#r_6578236

[Vistaus]

Dus dan kan ik mijn tablet wel weggooien want die heeft geen actuele updates omdat die er niet zijn. Laatste update van het systeem zelf (minus de app store) was van begin 2012, nieuwere updates zijn er niet.

[Ron]

die heeft geen actuele updates omdat die er niet zijn

Je moet het relatief en in breder verband zien.
Een update voor een hunebed kan best 100 jaar oud zijn, maar toch up-to-date.

[erik1984]

Moet je nu ook verplicht de laatste firmware op je router zetten? Dat is immers ook een apparaat dat je als consument (indirect) gebruikt om mee te internetbankieren. Ook de firmware van je computer moet eigenlijk op de laatste versie staan. En als je Windows gebruikt volstaat Security Essentials / Defender dan wel? Je kan als  consument immers best zelf wat onderzoek doen en dan lezen dat deze scanner niet goed uit de tests komt. Moet je je computer inleveren bij de bank zodat ze kunnen zien of jij wel de juiste maatregelen hebt getroffen?

Vind het vooral een heel erg vaag verhaal. Het lijkt erop dat ze niet echt nagedacht hebben over de praktische implicaties van deze regels. Ze zijn nogal voor meerdere interpretaties vatbaar.

[testcees]

Dus dan kan ik mijn tablet wel weggooien want die heeft geen actuele updates omdat die er niet zijn. Laatste update van het systeem zelf (minus de app store) was van begin 2012, nieuwere updates zijn er niet.

Veilig internetbankieren wordt niet gegarandeerd. Als (bij criminelen) bekende veiligheidsproblemen niet meer worden opgelost... kunnen deze worden misbruikt.
Vergelijkbaar met een computer met Windows XP waarvoor binnenkort ook geen updates meer zijn.

die heeft geen actuele updates omdat die er niet zijn

Je moet het relatief en in breder verband zien.
Een update voor een hunebed kan best 100 jaar oud zijn, maar toch up-to-date.

Dan kan je ook nog een jaartje veilig internetbankieren met Windows XP zonder updates na april 2014? XP is 'relatief' ook erg oud.

[Vistaus]

die heeft geen actuele updates omdat die er niet zijn

Je moet het relatief en in breder verband zien.
Een update voor een hunebed kan best 100 jaar oud zijn, maar toch up-to-date.

Ik moet zeggen: hij is leuk gevonden! Maar een hunebed is toch iets heel anders. Die staan er nu voor de sier en mijn tablet ligt er niet voor de sier...

[Ron]

Maar een hunebed is toch iets heel anders. Die staan er nu voor de sier en mijn tablet ligt er niet voor de sier...

Die opmerking was ook bedoeld om aan te geven, dat de argumentatie van de banken niet klopt.
Mogelijk zal de definitieve omschrijving, die we allemaal op papier thuis horen te krijgen, er anders uitzien.
Pas dan weten we waar we aan toe zijn.