Internetbanken - Beveiliging - Raad voor particulieren - Commissie voor het Bank-, financie- en assurantiewezen (CBFA) - Aanbevelingen voor de banken
elektronische bankhandeling
kredietinstelling
internetsite
internet
computercriminaliteit
gegevensbescherming
Financial Services and Markets Authority
computerpiraterij
7/12/2009 | Verzending vraag (Einde van de antwoordtermijn: 8/1/2010) |
3/2/2010 | Antwoord |
Herindiening van : schriftelijke vraag 4-4588
Gebeurtenissen waarover onlangs in de pers werd geschreven, hebben de ongerustheid van de gebruikers van de internetsites van de Belgische banken nog doen toenemen, hoewel de spaartegoeden van hun klanten geen ongewenste aderlatingen hebben ondergaan.
Zo heeft een Roemeense computerpiraat gegevens bemachtigd die door klanten van ING en Dexia worden gebruikt om bepaalde delen van de internetsites van die banken te bezoeken.
Het gaat weliswaar niet om gevoelige gegevens, maar toch heeft hij op die manier de kwetsbaarheid van de beveiligingssystemen van die twee instellingen kunnen aantonen.
De beveiliging wordt in België thans beheerd via het gebruik van een identificatiecode en toegangs- en transactiewachtwoorden.
Het systeem van de codes die door een Digipass worden verstrekt waarborgt de bankoperaties wel voldoende, maar dat neemt niet weg dat de vermenigvuldiging van het aantal gevallen van hackers die erin slagen toegang te krijgen tot de gebruikersgegevens aantoont dat men op zijn hoede moet blijven. Dat geldt vooral voor de computers van particulieren die thuis bankoperaties verrichten.
Ik heb volgende vragen :
1. Bij de particulieren blijken er enorm veel zwakke plekken te zijn in de beveiliging. Op welke manier kunt u hen geruststellen?
2. Heeft de Commissie voor het Bank, Financie- en Assurantiewezen (CBFA), die ter zake bevoegd is, controle-initiatieven genomen?
3. Welke aanbevelingen geeft ze de banken voor de beveiliging van financiële transacties op het internet?
De beveiliging van het financieel internetverkeer hangt af van zowel de veiligheid van de door de financiële instellingen gebruikte Internetinfrastructuren en aangeboden Internetdiensten, als van de beveiliging van de computers van de cliënten.
1) Gelet op het grote belang van de door de financiële instellingen aangeboden e-banking- en e-finance-diensten en de noodzaak om het vertrouwen van het publiek in deze diensten te vrijwaren, neemt de controle op de beveiliging van de financiële Internetdiensten een vaste plaats in binnen het prudentieel toezicht van de Commissie voor het Bank-, financie- en assurantiewezen (CBFA).
De prudentiële acties van de CBFA op dit vlak omvatten niet alleen richtlijnen voor de financiële instellingen inzake de van hun verwachte beveiligingsmaatregelen, maar ook on site controles bij individuele instellingen.
In de circulaire CBFA_2009_17 van 7 april 2009 betreffende "financiële diensten via het Internet", wordt uitgebreid aandacht besteed aan de door de financiële instellingen te treffen beveiligingsmaatregelen tegen de Internetrisico's. Enkele sleutelelementen hierin zijn de aanwending van :
sterke authentificatiemethodes die aangepast zijn aan de aard en de risico’s van de aangeboden Internetdiensten en die toelaten de identiteit van aangemelde gebruikers met een zeer hoge graad van zekerheid te verifiëren ;
gepaste beveiligings- en/of monitoring-oplossingen om frauduleuze verrichtingen te verhinderen of te detecteren vóór ze worden uitgevoerd ;
sterke en algemeen erkende “encryptie”-technieken om de confidentialiteit van de informatie en verrichtingen tussen de cliëntencomputer en de financiële instelling te vrijwaren.
De CBFA voert regelmatig controles uit bij de financiële instellingen betreffende de beveiliging van de door hun aangeboden Internetdiensten. De hierbij vastgestelde algemene aandachtspunten worden periodiek met de sector afgestemd. Door de fraudes van de laatste jaren zijn deze prudentiële controle-acties en het bijbehorende sectoroverleg nog uitgebreid.
2) In het licht van de beveiligingsinspanningen van de financiële instellingen om de Internetrisico's zoveel mogelijk te beperken en het toezicht hierop door de CBFA, vormt de veiligheid van de cliëntencomputers heden veruit de zwakste schakel in de beveiligingsketting. Daarom worden de financiële instellingen in de circulaire "financiële diensten via het Internet" van 7 april 2009 onder meer gevraagd :
om bij de keuze van hun beveiligingsoplossingen rekening te houden met de Internetbeveiligingsrisico’s langs de cliëntenzijde en de mogelijkheid van de cliënten om deze risico’s in te schatten en af te dekken ;
de cliënten adequaat en tijdig te informeren over en/of te sensibiliseren voor nieuwe evoluties en aandachtspunten inzake het veilig gebruik van de aangeboden Internetoplossingen.
Daarnaast is het noodzakelijk om alle Internetgebruikers te sensibiliseren voor de risico's van het Intertnetgebruik en de door de Internetgebruikers te treffen voorzorgs- en beschermingsmaatregelen. De recente oprichting van een nationaal Computer Emergency Response Team (CERT) door de Belgische regering is ter zake bijzonder nuttig en belangrijk. Het CERT heeft onder andere als taak de Belgische bedrijven en burgers te sensibiliseren voor de verschillende Internetrisico's en de door hun te treffen voorzorgsmaatregelen.