Gebruikerservaring versus informatiebeveiliging

Zoals wel bekend is het in de wereld van informatiebeveiliging belangrijk goede afwegingen te maken tussen de beveiliging en de gebruikerservaring. Recent is er in het publieke domein een nieuw voorbeeld naar voren gekomen; de zaak ING vs. AFAS Personal. Vandaag heeft AFAS Personal van de rechter te horen gekregen dat zij de koppeling met ING moeten stopzetten. Maar wat is hier dan de reden van?

De situatie

De situatie is simpel uit te leggen; AFAS Personal heeft nieuwe features uitgerold waarin de gebruiker automatisch zijn banktransacties uit Internetbankieren naar AFAS Personal kan overzetten. Een heel gebruiksvriendelijke oplossing van de vaak ver verstopte features om transacties te downloaden bij de bank.

Op zich klinkt bovenstaande niet gevaarlijk, maar schijn bedriegt. Om de koppeling te maken vraagt AFAS Personal de klant om de inlogcodes van de bank via een apparaatje wat jou ter beschikking is gesteld. Met deze codes kan de eigenaar ervan inloggen in jouw Internetbankieren omgeving én transacties klaarzetten en mogelijk verzenden.

De beschikbare gegevens

Dat laatste is hetgeen waar ik mij persoonlijk aan stoor. Waarom stoor ik me aan deze opzet? Nou simpel, je geeft een derde partij waarvan je een gratis dienst afneemt (het grootste deel van de klanten van AFAS Personal) toegang tot ál jouw bankgegevens. Voor de koppeling hebben ze enkel de betalingsbestanden nodig, maar door het afgeven van de codes kunnen zij bij alle gegevens die via jouw internetbankieren omgeving beschikbaar zijn. Dat zijn bijvoorbeeld;

  • Jouw persoonsgegevens (naam, adres, woonplaats)
  • Andere rekeninggegevens die je helemaal niet wilt beheren in een tool als AFAS Personal
  • Beleggingsgegevens

en ga zo nog maar even door. AFAS Personal geeft in deze zaak aan dat zij vinden dat gebruikerservaring voorop staat en dat banken (gechargeerd gesteld) niet meewerken aan de ontwikkeling van API’s om de financiële gegevens van klanten te ontsluiten.

Gevaren

Aan het verstrekken van de logingegevens van je bank zijn wel degelijk risico’s verbonden. En niet gering ook.

Aansprakelijkheid

Banken hebben per 1 januari dit jaar nieuwe veiligheidsregels geïntroduceerd waaraan de klant zich dient te houden wil deze recht houden op een vergoeding in het geval deze slachtoffer wordt van cybercrime. Bij het ingeven van de inlogcodes op de website van AFAS Personal ben je al in overtreding op het eerste punt.

Maar stel nu, op een of andere manier heeft iemand het verkeer tussen jou en AFAS Personal afgeluisterd en de inlogcodes achterhaald en misbruikt. Wie is in dit geval nu aansprakelijk? Kun je als klant een beroep doen op de bank? Moet je je wenden tot AFAS Personal of ben je simpelweg zelf verantwoordelijk omdat je (symbolisch gezien) de sleutel op de deur hebt laten zitten.

Het doelwit

De toegang tot de Internetbankieren omgeving van klanten is een erg waardevol gegeven. Een koppeling op deze manier werkt cybercriminaliteit gericht op AFAS Personal in de hand. Zij verwerken immers de toegangscodes van vele duizenden, vaak onwetende, klanten. Voor een crimineel is de rekensom simpel, val ik die enkele klant aan, of val ik één entiteit (in dit geval AFAS Personal) aan om vervolgens toegang te krijgen tot potentieel duizenden klanten.

Vertrouwen is goed, controle is beter

In Nederland zijn we best goed van vertrouwen, we kennen een bedrijf, doen er al jaren zaken mee, waarom zouden we ze ook niet vertrouwen. Echter, weet jij precies wat AFAS Personal doet met de ingegeven (login)gegevens? Weten wij zeker dat zij enkel en alleen de transactiegegevens downloaden van de rekeningen waarvan jij dat aangeeft? Natuurlijk heeft AFAS Personal een audit laten uitvoeren door een (gerenommeerde) derde partij. De uitkomst van deze audit is echter nergens gepubliceerd (op zich maar goed ook; er staan immers ook kwetsbaarheden en verbeterpunten in). EDIT: overigens wel gedeeld met de banken. Doordat de publicatie echter achterwege blijft heeft de klant ook geen idee wat de status ervan is. Het enige dat we kunnen zeggen is dat enkel ING een kort geding heeft aangespannen en de andere banken de koppeling vooralsnog gedogen.

Conclusie

Het statement van AFAS Personal ‘Procederen wint van innoveren‘ vind ik persoonlijk voorbarig, de oplossingsrichting die gekozen is, is denk ik wel de enige die momenteel beschikbaar is. Het is echter de vraag of het credo ‘het doel heiligt de middelen’ wel toegepast zou moeten worden in een dergelijke omgeving.

Tips

Vraag jezelf bij het aangaan van een automatische koppeling elke keer weer af, welke gegevens geef ik nu aan die dienst prijs. Vind ik dat waard voor de extra handelingen die ertegenover staan?

In het geval van de bankkoppeling zoals AFAS Personal nu heeft ontwikkeld, vind ik het in ieder geval niet waard gezien de hierboven beschreven risico’s.