Het nieuws dat de ING gehackt zou zijn verspreidde zich afgelopen week redelijk snel over het internet. Wie nu eigenlijk de achtergronden bij dit verhaal doorgespit had, áls dat al gebeurd was, was achteraf niet echt duidelijk, maar de berichtgeving was op zijn minst niet erg volledig te noemen. Het lijkt er op dat het oorspronkelijke bericht dat via het ANP de wereld in werd gestuurd toch wat broodnodige details miste. Waar het persbureau stellig meldde dat de ING was gehackt, dacht die laatste daar toch heel anders over. De bank wist niet hoe snel ze met de handen in de lucht moest zwaaien. Dat ze toch echt niet gehackt waren en dat er toch echt niets te zien was. Het zou wenselijk zijn dat ING anders zou reageren, maar dat ze nu het nieuws vooral snel tegen wilden spreken is op zich niet zo verwonderlijk.
Geen hack, maar…
Een bedrijf, zeker een bank, bevindt zich bij een beschuldiging van een hack in een kwetsbare positie. Het zou toch “niet moeten kunnen dat”, en dus kán men bijna niet anders dan duidelijk maken dat het ook echt allemaal niet zo erg is. Nu was het ook “niet zo erg”. Het lijkt er in ieder geval op het eerste gezicht op dat de kwestie draait om het verzamelen van gegevens via de zogenaamde naam-nummer controle. Deze controle is voor ING een noodzaak door de samenstelling van de rekeningnummers, en biedt tevens een handige service voor gebruikers. Door gewoonweg nummers te proberen kun je dus echter ook snel de bijbehorende naam een woonplaats van rekeninghouders vinden waar je verder niets mee te maken hebt. Dat lijkt op zich misschien niet zo’n probleem, en het is inderdaad geen geavanceerde ‘hack’, maar elk beetje meer informatie over een persoon biedt extra aanknopingspunten voor een nieuwe aanval. Zeker wanneer het informatie over bankrekeningen betreft is het dus zaak zo zorgvuldig mogelijk om te gaan met elk beetje informatie dat je naar buiten brengt.
Dat de ING vast zit aan deze methodiek is vooralsnog duidelijk, maar het had de bank gesierd als de reactie een tikje minder “niets aan de hand” en iets meer “pas op” was geweest. Dagelijks wordt de mailbox van mensen overspoeld met spam waarin je wordt opgeroepen toch even je gegevens te bevestigen via “deze link”. Je kunt je voorstellen dat dat ineens wel erg geloofwaardig wordt als iemand je met jouw eigen naam – precies zoals deze bij de bank bekend is – aanspreekt en daarbij het juiste rekeningnummer vermeldt. De bank denkt misschien “je moet altijd opletten”, maar juist na dit nieuws had goed geweest als de ING een extra waarschuwingsbrief had rond gestuurd, zoals ook ICT-beveiliging twitteraar Floor Terra al stelde.
Angst
‘De hacker’ heeft een bepaalde mystieke waarde gekregen. Het ‘hacken’ is altijd eng, magisch en per definitie “niet de bedoeling”, iedereen die er iets mee te maken heeft krijgt zo langzamerhand het imago van iemand die op zijn minst dingen “met computers” doet. Het ironische is dat de eindgebruiker eigenlijk niet echt weet wat er nu allemaal al met zijn of haar gegevens mogelijk is, maar als er ergens een hacker tussen zit dan is het in ieder geval ineens erg. Deze hele mystiek houdt organisaties als ING in een wurggreep. Toegeven dat er nu eenmaal dingen verkeerd kunnen gaan of dat keuzes uit het verleden nog steeds consequenties hebben, dat ligt namelijk niet zo lekker. Het is tijd voor een omslag, waarin we kunnen waarderen dat een organisatie zegt “sorry, maar je moet wel hier en hier op letten” in plaats van dat ze het allemaal weer terug in de black box probeert te stoppen. Gebeurt dat niet, dan is het een kwestie van tijd voordat het ergens op grote schaal heel erg fout gaat, of wie weet is dat al aan het gebeuren.
