De laatste maanden hebben beveiligingsbedrijf SecureLabs en ik in stilte gewerkt aan een groot probleem rond internetbankieren. Samen met directeur Ronald Kingma (die inderdaad ooit mijn webserver hackte) was voor ons duidelijk dat het manipuleren van financiƫle transacties realistisch was. Het zou een kwestie van tijd zijn, voordat criminelen dit zouden ontdekken en dan zouden zij ook snappen dat je eenvoudig enig volume zou kunnen halen. Het pijnlijke is dat een gebruiker dat niet zal doorhebben omdat in de aanval ook het rekeningoverzicht transacties laat zien alsof ze wel goed zijn uitgevoerd.
Daarom is contact gezocht met het National Cyber Security Center (NCSC), een onderdeel van het bureau van de Nationaal Coƶrdinator Terrorismebestrijding en Veiligheid en de vertegenwoordiger van alle banken.
De banken zagen het probleem ook en samen is nagedacht over stappen om de risico’s uit te bannen of te minimaliseren. Er is voortvarend gewerkt. Inmiddels kan de aanval gedetecteerd worden en in bijna alle webbrowsers zelfs worden voorkomen. Dat kan dankzij een nieuwe beveiligingsstandaard HSTS. De webbrowsers Safari, Mozilla en Chrome ondersteunen het protocol en maken daardoor internetbankieren veiliger.
Microsoft ondersteunt het protocol nog niet. Dat wil het bedrijf pas in de volgende versie van Internet Explorer regelen en wanneer die komt kan het bedrijf niet zeggen. Wie zich wil beveiligen kan dus bij het internetbankieren beter eventjes een andere browser gebruiken.
Wat stoort is de manier waarop het bedrijf kijkt naar de problematiek. Het bedrijf zegt nu dat veiligheid ‘een belangrijk onderwerp is’ en dat het werkt aan verbeteren aan veiligheidsstandaarden. Dat doet iedereen, maar dat maakt je nog geen leider.
Na veel kritiek op het bedrijf beloofde Bill Gates in januari 2002 in een belangrijke intern memo juist wel leiderschap te tonen. ‘Trustworthy Computing’ noemde hij dat en de onderneming probeerde echt voorop te lopen op veel gebieden.
Maar nu verschuilt het bedrijf zich achter een kip-ei-redenering. Terwijl de andere marktpartijen de nieuwe standaard ondersteunen, stelt het bedrijf dat 1 procent van alle websites de nieuwe standaard ondersteunen. Dat is een kip-ei-redenering en een nogal afwachtende houding.
Leiderschap tonen rond beveiliging betekent ook een drijvende kracht zijn achter die zaken die ons veiliger maken en juist organisaties entameren om ondersteuning voor beveiligingsprotocollen te bieden. Mozilla, Google en Apple doen dat op dit punt wel, maar Microsoft niet. Zeker in een tijd van spionage is goede versleuteling ook nog eens enorm belangrijk.
Daarnaast kan ik niets met het statement dat 1 procent van de sites het protocol ondersteunt. Het maakt nogal wie dat zijn. Inmiddels zijn dat namelijk Nederlandse banken (binnenkort alle), maar ook organisaties zoals Google, PayPal, WikiLeaks, LastPass, Airbnb, Twitter. Microsoft zelf blijkt daarnaast ook niet al te best te scoren in het beveiligingscertificaat dat het bedrijf zelf gebruikt.
Het bedrijf is de leidende positie in de markt al een tijd kwijt. De verantwoordelijkheid bij die rol, waar Gates het in zijn memo over had, is daarmee ook verdwenen. Voor de gebruikers is veilig internetbankieren bij Microsoft helaas een sluitstuk van de begroting.
