Onderzoek

TLS ondergeschoven kindje in de banksector

tls

Geen enkele bank heeft beveiliging website optimaal ingericht. Dit blijkt uit onderzoek van datacenter BIT naar het gebruik van TLS in het bankwezen.

Ruim de helft (52%) van de banken in Nederland heeft de configuratie van TLS niet of niet volledig op orde. TLS (Transport Layer Security), voorheen SSL, is het beveiligingsprotocol dat de communicatie tussen websites en gebruikers beveiligt. Bij communicatie op internet is dit protocol te herkennen aan het gebruik van HTTPS (HyperText Transfer Protocol Secure). Van een deel van de organisaties biedt de website wel HTTPS aan, maar is dit niet volledig geconfigureerd. Dit blijkt uit onderzoek van datacenter BIT naar het gebruik van beveiligingsstandaarden door verschillende websites. Voor dit onderzoek controleerde het datacenter 23 websites van banken in Nederland.

Websites bankwezen niet optimaal beveiligd
Naast dat ruim de helft van de banken TLS niet volledig juist geconfigureerd heeft, gebruikt ruim driekwart (78%) van hen geen DNSSEC, waarmee doorverwijzingen naar frauduleuze websites kunnen worden voorkomen. Daarnaast maakt ruim een derde (35%) van de banken gebruik van Google Analytics, wat Google in staat stelt gedetailleerde profielen op te bouwen van bezoekers van de websites. Dit gaat ten koste van de privacy van websitebezoekers en is voor bezoekers niet eenvoudig uit te schakelen. Eén van de banken maakt zelfs niet eens melding van het gebruik van cookies, ondanks het gebruik van Google Analytics.

Alex Bik, CTO bij BIT: “Alhoewel er geen aanleiding is om de noodklok te luiden vind ik het onbegrijpelijk dat uitgerekend banken de beveiliging van hun websites niet voor de volle honderd procent op orde hebben. Er is geen excuus om TLS niet volledig te hebben ingericht; de ontbrekende maatregelen zijn bijzonder eenvoudig te implementeren. Het gebruik van Google Analytics vind ik schokkend. De betreffende banken verkopen in feite de privacy van hun klanten in ruil voor marketingstatistieken, zonder daar duidelijk melding van te maken.”

Ryan Dodd, de oprichter en CEO van Cyberhedge, een bedrijf dat de aandeelhouderswaarde voor financiële instellingen vaststelt op basis van hun cyberrisico’s, wijst er eveneens op dat het voor banken relatief eenvoudig is om deze problemen op te lossen. “Het onderzoek van BIT geeft onvoldoende context om te bepalen of de netwerken van banken wel of niet beveiligd zijn of risico’s lopen doordat ze al dan niet TLS inzetten. Ik ben het echter eens met de conclusie dat de oplossingen die deze vraagstukken kunnen oplossen niet nieuw of zelfs duur zijn. Dat blijkt ook uit ons eigen onderzoek bij meer dan 5.000 bedrijven. Voor de beoordeling dat een bedrijf door cyberrisico’s geld verliest, is de leidende factor niet de staat van de technologie, maar hoe een bedrijf deze technologie inzet.”

Het onderzoek van Cyberhedge toont aan dat, als het gaat om het detecteren van bestaande problemen in de netwerkbeveiliging, personeelsmanagement en -processen aanzienlijk belangrijkere factoren zijn voor het voorspellen en voorkomen van beveiligingsinbreuk en waardeverlies dan de techniek die men gebruikt. “Het is vooral van belang hoe men netwerktechnologie zoals TLS beheert”, zegt Dodd. “Correct geconfigureerde technologie is doeltreffender dan superieure technologie.”

Naar boven