Cyberveiligheid
Cyberbeveiliging Belgische banken zo lek als een zeef
De cyberveiligheid van Belgische banken laat heel wat te wensen over. Met name ING en Record Bank zetten de deur wijd open voor hackers. Dat blijkt uit een analyse die hacker-met-goede-bedoelingen Yeri Tiete uitvoerde bij zestien banken in ons land.
Hackers richten hun pijlen graag op banken. Afgelopen weekend raakte nog maar bekend dat ze maandenlang tientallen miljoenen euro's wegsluisden van meer dan honderd banken in de VS, Japan, Rusland en Nederland. De hackers hadden 'malware' geïnstalleerd, waarmee ze in de computers van de geldinstellingen konden kijken die werden gebruikt voor internationaal betalingsverkeer. Het resulteerde in een van de grootste bankovervallen ooit, waarbij 265 miljoen euro, maar mogelijk zelfs drie keer zoveel, buit gemaakt werd.
Hoe goed is uw bank beveiligd?
A+ Triodos Bank, Rabobank
A- BNP Paribas Fortis, Bpost, Belfius
B Argenta, Axa, Beobank, KBC, CPH, Keytrade Bank, Crelan
C Hello! Bank, Bank van Breda
F ING, Record Bank
Malafide hacker
Ook in België laat de cyberbeveiliging van banken heel wat te wensen over. Dat blijkt uit een analyse die bonafide hacker en ex-Googlewerknemer Yeri Tiete uitvoerde bij zestien Belgische banken. De Antwerpenaar deed onderzoek naar één onderdeel van de cyberveiligheid van banken: de deur die de instelling openzet voor de consument. Daarbij bleek dat grootbanken ING, Bpost en BNP Paribas Fortis de slechtste score haalden. Nadat Tiete zijn bevindingen kenbaar maakte op zijn site, pasten BNP Paribas Fortis en Bpost hun software aan. ING ondernam voorlopig niets, en is samen met Record Bank de slechtst beveiligde bank.
Hackers die deze veiligheidslekken op het spoor komen, kunnen daar op een ingrijpende manier misbruik van maken, legt Tiete uit. "In theorie kunnen ze geld van je rekening halen of klantengegevens bekijken. Een aanvaller kan een sessie overnemen en alles onder jouw naam doen. Al kan hij dankzij de digipass vermoedelijk maar beperkte schade aanrichten. Hij kan de data die jij doorstuurt aanpassen voor ze bij de server van de bank terechtkomen. Zo kan hij bijvoorbeeld het rekeningnummer dat je ingaf aanpassen. En hij kan ook meekijken hoeveel geld je hebt, naar wie je geld stuurt enz. Een verregaande inbreuk op de privacy, dus."
Bij ING viel communicatieverantwoordelijke Vanessa Zwaelens uit de lucht. "Ik was hier niet van op de hoogte. Maar veiligheid van klantengegevens is voor ons een topprioriteit. Mocht de analyse van Yeri Tiete kloppen, dan passen we ons systeem meteen aan."
Bij Record Bank was niemand bereikbaar voor commentaar.
ING reageert: "Veiligheid niet in het gedrang"
"De veiligheid van de online betaaltransacties is niet in het gedrang gekomen." Dat zegt ING België in een reactie. Tegen het middaguur had ING, na een aantal ingrepen, zijn status opgewaardeerd naar A-, een score die na de webservertest SSLLabs wordt toegekend door het Californische beveiligingsbedrijf Qualys.
"ING is zich ten volle bewust van het belang van de veiligheid rond bankieren en het vertrouwelijk behandelen van de gegevens van haar cliënten", zo meldt de bank maandag.
"We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen", klinkt het nog.
