Utrecht, 22 juni 2005 – Comsec Security Consulting, internationale specialist in beveiligingsconsultancy, presenteert een internationaal onderzoek naar de veiligheid van internet bankieren. Uit het onderzoek blijkt dat banken deze service nog onvoldoende beveiligen. Aangezien het gebruik van de dienst enorm is gestegen, zijn ook de risico’s van identiteitsfraude door onder andere phishing enorm toegenomen.
Het onderzoek heeft zich gericht op de vraag of er een correlatie bestaat tussen iets oudere beveiligingsconcepten en de hedendaagse risico’s. Daarvoor heeft Comsec gekeken welke eisen banken wereldwijd stellen aan de identificatie van hun klanten bij het internet bankieren en hoe makkelijk het voor buitenstaanders is om deze beveiliging te omzeilen. Onder de ruim dertig banken die zijn onderzocht waren onder andere de Nederlandse Rabobank, ABN Amro, SNS Bank, ING, de Postbank en de Belgische Dexia Bank. Daarnaast zijn diverse andere Europese, Amerikaanse en Aziatische banken bekeken.
Allereerst stelt het onderzoek dat bankcliënten de e-Banking service van hun bank vertrouwen. Dat terwijl het rapport concludeert dat het makkelijker is geworden om identiteitsfraude te plegen. Banken zouden hiertegen maatregelen moeten nemen. Niet alleen om geen geld te verliezen, maar ook ter voorkoming van reputatieschade. Comsec ziet wel al een verbetering in de beveiliging, want banken gebruiken steeds vaker meer geavanceerde identificatiemethoden.
Maar het verbeteren van de beveiligingsinfrastructuur is niet genoeg. Uit het onderzoek blijkt namelijk ook dat 53 procent van de banken de identificatie informatie, die de klant nodig heeft om in te loggen, maar over één kanaal verstuurt in één pakketje. 42 procent van de aan het onderzoek deelnemende banken gebruikt voor het versturen meerdere kanalen (waaronder telefoon, e-mail, post etc.). De overgebleven 8 procent verstuurt de informatie wel over één kanaal, maar doet dit in verschillende pakketjes. “Banken die hun online beveiliging goed voor elkaar hebben maar niet dezelfde investering doen in de logistieke procedures brengen hun hele beveiligingsinfrastructuur in gevaar”, aldus Henk van der Heijden, Managing Director van Comsec Benelux.
Het gebruik van identificatiemethoden voor de e-Banking dienst verschilt verder per bank. Het meest populair als identificatiemethode is de TAN-procedure. De cliënt voert zijn bankpas in in een kaartlezer en moet vervolgens zijn pincode of bankrekeningnummer intoetsen. Met een code kan hij dan gebruik maken van de dienst. Maar niet alle banken stellen even hoge eisen aan de identificatie. Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit. Uit een onderzoek van Gartner van vorig jaar bleek dat al meer dan 1,4 miljoen mensen hier slachtoffer van geworden zijn. Bovendien groeien ook phishing-aanvallen met 50% per maand.
Banken zouden daarom volgens de onderzoekers meer tijd moeten investeren in de technische mogelijkheden om te kunnen verifiëren of degene die inlogt ook werkelijk de rekeninghouder is. Hierbij valt te denken aan een digitale handtekening of biometrische informatie. Als een klant namelijk eenmaal ingelogd is op zijn account hoeft hij zich bij 67 procent van de onderzochte banken niet opnieuw te identificeren zolang hij gebruik maakt van de dienst. Bij 33 procent moet een cliënt zich wel heridentificeren bij het doen van transacties.
Bij drie van de tien banken, die geen gebruik maken van de TAN-procedure of smartcards, hoeven gebruikers bovendien niet eens hun initiële password te wijzigen. Daardoor zijn deze gebruikers een nog makkelijkere prooi voor phishing. Voor het gebruik en het tijdig veranderen zouden banken volgens Comsec duidelijke procedures op moeten stellen.
Het onderzoek is op te vragen via comsec@whizpr.nl
--------------------------
Over Comsec Consulting
Comsec Consulting is in 1986 door CEO Nissim Bar-El opgericht en inmiddels wereldwijd actief op het gebied van risk assessments, penetratietesten, beveiligingsplanning en -design, ontwikkeling van beveiligingsbeleid en procedures en beveiligingsonderwijs en –training. Naast het hoofdkantoor in Tel Aviv, zijn er kantoren in Tokio, Parijs, Warschau en Utrecht. In het Utrechtse kantoor is directeur Henk van der Heijden verantwoordelijk voor de Benelux en de oprichting van het Europese hoofdkantoor.
Comsec Consulting heeft klanten in diverse sectoren en werkt onder meer voor diverse beursgenoteerde ondernemingen in Nederland, Europa en Azië. Meer informatie over Comsec is te vinden op www.comsecglobal.com.
Voor meer informatie:
Comsec Consulting
Henk van der Heijden
Tel. +31 (0)30 850 0214
Henk(at)comsecglobal.com
Whizpr
Erik van de Nadort / Kim de Vries
Tel. +31 (0)317 410 483
comsec(at)whizpr.nl