In 2011, toen Nederland op het punt stond om afscheid te nemen van de strippenkaart, hackte Brenno de Winter de OV-chipkaart. Het opmerkelijke aan deze hack was de eenvoud ervan, en het feit dat de (toen nog) onderzoeksjournalist er strafrechtelijk voor werd vervolgd. Hem hing een gevangenisstraf van zes jaar boven het hoofd.
Drie jaar eerder hadden Duitse hackers de chip, die nog veel meer
toepassingen kent, gekraakt door hem fysiek te ontleden. In datzelfde jaar
promoveerde een informaticus in Nijmegen op het klonen van de OV-dagkaart. Brenno
kon zijn kaart steeds weer opnieuw van saldo voorzien. Dat kostte hem een
investering van slechts drie tientjes, terwijl Translink Systems (het bedrijf
achter de OV-chipkaart) beweerde dat de chip hooguit in het laboratorium kon
worden gehackt en TNO stelde dat je daarvoor voor zesduizend euro aan
apparatuur nodig zou hebben.
Onlangs gaf Brenno een presentatie onder de vlag van de Masterclass IT
Security van Nyenrode Business Universiteit. In die
presentatie zei hij iets dat bij mij is blijven hangen. Tijdens het verhoor
naar aanleiding van drie weken gratis reizen met zijn gehackte kaart had hij
tegen zijn ondervragers gezegd: “Ik ben geen zwartrijder, maar een bankrover.
Want Translink is geen vervoersbedrijf maar neemt geld aan en verdeelt dat
onder de vervoersbedrijven.” Dat vond zijn advocaat niet leuk, maar
uiteindelijk gaf het journalistieke belang de doorslag en seponeerde het OM de
zaak.
De boodschap van ‘Brenno de bankrover’ was: als je denkt dat je een vervoersbedrijf
bent, dan beveilig je jezelf ook alsof je een vervoersbedrijf bent. En niet
alsof je een bank bent. Iedereen voelt op z’n klompen aan dat een bank hogere
eisen aan informatiebeveiliging stelt dan een andersoortig bedrijf. Doordat
Translink zichzelf zag als een kaartjesverkoper, keken ze onvoldoende naar de
beveiligingsaspecten van hun kaartjes. Ze hadden kunnen weten dat de chip die
daar op zat niet meer veilig was. Voor sommige toepassingen voldeed die chip
misschien nog wel, maar de combinatie van het zeer grote aantal gebruikers en
de financiële waarde van zo’n kaart maakt de kans, dat iemand ermee gaat
knoeien, toch wel erg groot.
Als Translink zich een bank had gevoeld, dan zouden ze veel meer hebben
gekeken naar financieel gemotiveerde dreigingen, en zouden ze de kwaliteit van
de kaart beter onder de loep hebben genomen. Als je dan tijdens zo’n onderzoek
erachter komt dat de chip al door verschillende partijen gefileerd is, dan krab
je je eens achter de oren en kijkt of er misschien een robuustere chip op de
markt is.
Het verhaal zette mij aan het denken: zouden er nog meer bedrijven zijn,
die ‘eigenlijk’ een bank zijn? Ja, concludeerde ik al snel. Neem nou bol.com.
Dat bedrijf knip ik even in tweeën: het ene deel heeft een groot magazijn van
waaruit het producten naar klanten stuurt. Het andere deel fungeert als
bemiddelaar tussen de klant en andere winkels, net als Amazon en AliExpress. En
dat deel van bol.com is dus eigenlijk een bank. Ze nemen jouw geld aan en
sluizen dat door naar de winkel waar je iets besteld hebt. Stuur je iets
retour, dan vloeit het geld de andere kant op. Maar met de goederenstroom
bemoeien ze zich niet.
Wat moet je doen als je plots beseft dat je een soort bank bent? Je zult
om te beginnen willen weten bij wie het financiële risico ligt. Het is
weliswaar jouw geld niet, maar de beide partijen waar jij tussen zit vertrouwen
er wel op dat je de transactie in goede banen leidt. Een buitenstaander,
bijvoorbeeld een hacker, mag dat proces niet kunnen verstoren. En als dat wel
gebeurt, dan gaan de partijen aan weerskanten van de transactie naar jou kijken
– beiden willen dat het betaalde geld op de juiste bestemming landt, en
desnoods moet dat uit jouw portemonnee komen. Dat werkt ook zo bij echte
banken, bijvoorbeeld als aan het licht komt dat iemand boodschappen heeft
gedaan met jouw gekloonde creditcard. Bij bol.com trapte onlangs een medewerker
in een krakkemikkig nepmailtje waarmee ‘Brabantia’ een nieuw rekeningnummer
doorgaf. Er verdween vervolgens 750.000 euro naar deze Spaanse (!)
bankrekening. Dit zou niet zijn gebeurd als bol.com zijn processen als een bank
had ingericht.
Zoals altijd gaat het ook hier niet om maximale beveiliging, maar om
optimale beveiliging: niet teveel, niet te weinig. Bepaal hoeveel risico je
wilt nemen en stem daar je beveiligingsmaatregelen op af. En als jouw bedrijf
sterk op een bank lijkt, dan moet je daar eens extra kritisch naar kijken.
En in de grote boze buitenwereld …
- helpt een risk appetite statement je ook niet veel verder.
- hebben de grootbanken afspraken gemaakt over de vergoeding van de schade door bankspoofing.
- worden tankstations opgelicht door zogenaamde doorrijders.
- moet je in bepaalde gevallen ook de aanwezigheid van zonnepanelen als dreiging beschouwen.
- vindt de Amerikaanse justitie de bestrijding van ransomware net zo urgent als de bestrijding van terrorisme.
- levert phishing aardig wat geld op, maar als ze je pakken, dan is de straf ook niet mals.
- hebben Russische hackers het voorzien op de westerse vleesindustrie.
- weet een crimineel nu welke pizza jij lekker vindt, en waar je woont.
- is een supply chain attack moeilijk te bestrijden.
- mochtenthuiswerkende Amerikaanse soldaten heel even geen IoT-devices om zich heen hebben.
- heb je straks een Europese digitale identiteit.
- mogen ook politiemensen zakelijke gegevens niet voor privédoeleinden gebruiken.
Geen opmerkingen:
Een reactie posten