Position Paper rondetafelgesprek Online Betalingsverkeer - 30 mei 2013 Kernboodschap van de Nederlandse Vereniging van Banken - Het betalingsverkeer is onderdeel van de vitale infrastructuur van ons land en vormt de kern van de bancaire dienstverlening. De Nederlandse banken investeren daarom sinds jaar en dag veel geld en menskracht om cybercrime te bestrijden en het betalingsverkeer veilig, betrouwbaar en beschikbaar te houden. - Banken werken intensief en goed samen om cybercrime te bestrijden en nemen deel in veel samenwerkingsverbanden met de overheid en private partijen rond cybercrime en – security. - Niet alleen banken, maar ook de overheid en andere organisaties en bedrijven hebben vaker te maken met dergelijke vormen criminaliteit. - Helaas is het onmogelijk voor organisaties om zich volledig tegen DDoS aanvallen en andere vormen van cybercriminaliteit te wapenen, hoeveel inspanningen en middelen er ook in beveiliging gestoken worden. Het blijft een wedloop met cybercriminelen, die telkens nieuwe technieken hanteren met als doel de organisaties die zij aanvallen te verrassen. Recente DDoS aanvallen - De Nederlandse banken zijn zich terdege bewust van het ongemak door de verstoringen door de recente DDoS aanvallen. Deze DDoS aanvallen hebben geleid tot veel maatschappelijke onrust en onduidelijkheid. - De DDoS-aanvallen leverden groot ongemak - waarbij het internetbankieren van sommige banken enkele malen onbereikbaar was voor de klanten, maar de veiligheid van internet-, mobielbankieren en iDEAL is niet in het geding geweest. - Het ging om een tijdelijke verstoringen van de dienstverlening en niet om een hack van de banksystemen, waarbij gegevens of geld van klanten zijn ontvreemd. - Banken hebben sindsdien nog meer maatregelen genomen om de weerbaarheid tegen DDoS aanvallen te vergroten, ze sneller af te weren en de hersteltijd te verkorten. Banken werken hierbij intensief samen. - Cyberaanvallen vormen een maatschappelijk probleem en vragen daarom om een gezamenlijke aanpak. Niet alleen banken maar ook Internet Service Providers en telecombedrijven en de overheid hebben ieder hun eigen verantwoordelijkheid om de gehele keten veilig te houden. - Partijen moeten ook goed samenwerken. Op dit moment gebeurt dat al in verschillende samenwerkingsverbanden tussen overheid en private sector. De overall regie kan volgens de NVB nog verder worden verbeterd. De NVB pleit daarom voor één publiek-privaat samenwerkingsorgaan om cybercrime effectiever aan te pakken en cybersecurity verder te verbeteren. Fraude Internetbankieren - De door de banken genomen technische maatregelen en communicatiecampagnes hebben succes: de fraude met internetbankieren in de tweede helft van 2012 is met 60% gedaald ten opzichte van de eerste helft van 2012. - Toch worden jaarlijks nog steeds de rekeningen van duizenden consumenten aangevallen. In 2012 is in Nederland hierdoor voor bijna 35 miljoen euro in handen van criminelen gekomen. Deze situatie is maatschappelijk gezien zeer ongewenst, mede omdat criminelen dit geld weer investeren in andere criminele activiteiten. - Banken hebben vaak aanknopingspunten om de daders op te sporen bij fraude (skimming en phishing). Banken doen daar diepgaand onderzoek naar en leveren de resultaten panklaar aan bij politie. Helaas blijkt er vervolgens onvoldoende capaciteit bij de politie en het Openbaar Ministerie (OM) te zijn om deze zaken ook daadwerkelijk op te pakken. - Om werkelijk een vuist te maken tegen criminelen die banken en hun klanten aanvallen, moet de capaciteit van de politie en het OM voor deze zaken omhoog. -
Gustav Mahlerplein 29-35 • 1082 MS Amsterdam • +31(0)20 55 02 888
24 mei 2013
www.nvb.nl
1 van 5
Nederland is koploper op het gebied van online bankieren Nederland heeft een sterk ontwikkeld, veilig, betrouwbaar en kostenefficiënt elektronisch betalingsverkeer. De beschikbaarheid is zeer hoog. Nederland heeft ook een zeer hoge penetratiegraad van het gebruik van online bankieren. Online bankieren bestaat in Nederland vooral uit internet- en mobielbankieren en het doen van betalingen via iDEAL en Paypal. Elektronisch betalingsverkeer is een breder begrip; hier vallen bijvoorbeeld ook toonbankbetalingen met de pinpas en geld opnemen bij geldautomaten onder. Ongeveer 93% van de overboekingen gaat inmiddels via het Internet. Naar schatting doet 99% van de bedrijven haar betalingen digitaal. En vier op de vijf Nederlanders tussen de 16 en 75 jaar doen hun privé-bankzaken via het Internet. Per jaar vinden ongeveer 3 miljard transacties plaats via het internetbankieren, met een totale waarde van 3.200 miljard euro. In 2012 vonden er in Nederland 2,5 miljard pintransacties plaats met een totale waarde van ruim 84 miljard euro. De Nederlandse banken zijn zich terdege bewust van het ongemak door de verstoringen In de weken na 4 april jl. vonden DDoS-aanvallen op meerdere banken plaats. Deze aanvallen varieerden in intensiteit en duur, en hebben ertoe geleid dat het internet- en/ of mobiel bankieren van sommige banken enkele malen onbereikbaar was. Door de genomen aanvullende maatregelen om de weerbaarheid tegen dergelijke aanvallen te verhogen en de hersteltijd te verkorten, was de onbereikbaarheid van de getroffen websites van korte duur, variërend van enkele minuten tot maximaal een half uur. Hierdoor zijn consumenten kortstondig niet in staat geweest om overboekingen en iDEAL betalingen uit te voeren en daardoor zijn helaas webwinkels geraakt. De banken zijn zich terdege bewust van het feit dat het betalingsverkeer een van de vitale infrastructuren is en daarmee een essentiële rol in de samenleving vervult. Banken investeren zeer veel menskracht en capaciteit om de ‘up time’ van online bankieren zo hoog mogelijk te houden. Voor webwinkels, maar ook voor consumenten, is het van belang om zo snel mogelijk te weten dat er sprake is van een tijdelijke verstoring van betalingsmogelijkheid met bijvoorbeeld iDEAL. Door de toegenomen afhankelijkheid van het elektronisch betalingsverkeer van onze informatiesamenleving is het noodzakelijk dat banken steeds sneller communiceren over verstoringen. De noodzaak voor snelle communicatie hebben de DDoS-aanvallen in april jl. bewezen, ook al was de oorzaak van de storing nog niet volledig bekend. Banken hanteren een zeer hoog niveau van veiligheidsmaatregelen om de gevolgen van cyberaanvallen te minimaliseren De Nederlandse banken hanteren een zeer hoog niveau van veiligheidsmaatregelen. Binnen banken werken vele IT security-experts dag en nacht om het betalingsverkeer zo veilig en soepel mogelijk te laten verlopen. Om de inspanningen van banken tegen cybercrime toe te lichten, dient er onderscheid te worden gemaakt in: 1. cybercrime die zich richt op het negatief beïnvloeden van de beschikbaarheid van het online betalingsverkeer, en 2. cybercrime die zich richt op het plegen van fraude met internetbankieren en – of betaalpassen. Ad 1) Cybercrime gericht om beschikbaarheid van online betalingsverkeer te verstoren Een DDoS-aanval is erop gericht om de beschikbaarheid van een internetsite negatief te beïnvloeden. De DDoS-aanvallen op de banken waren uitdrukkelijk geen hack. Het leverde weliswaar groot ongemak voor de klanten op, maar de veiligheid van internetbankieren, mobiel bankieren en iDEAL zijn niet in het geding geweest. Er is op geen enkele wijze sprake geweest van inbreuk op banksystemen of klantgegevens.
Gustav Mahlerplein 29-35 • 1082 MS Amsterdam • +31(0)20 55 02 888
24 mei 2013
www.nvb.nl
2 van 5
Banken worden regelmatig getroffen door DDoS-aanvallen en zijn in de meeste gevallen goed in staat om dit soort aanvallen succesvol af te slaan, wat ervoor zorgt dat klanten hier geen hinder van ondervinden. Het is zaak om de weerbaarheid tegen en het herstelvermogen na ‘geslaagde’ DDoS-aanvallen te versterken. Belangrijke maatregelen zijn het vergroten van de capaciteit in het verwerken van dataverkeer in combinatie met het plaatsen van filters, die de ongewenste data afkomstig van de DDoS-aanval scheiden van het bonafide dataverkeer, waardoor de websites niet ‘verstopt raken’. De ingezette en aanvullende acties die de banken hebben genomen, voorzien in het treffen van de benodigde extra maatregelen om de beschikbaarheid van hun websites en de continuïteit van dienstverlening te borgen. Ad 2) Cybercrime gericht op fraude via internetbankieren en/of betaalpassen Bij fraude via internetbankieren worden jaarlijks de rekeningen van duizenden consumenten aangevallen; in 2012 is hierdoor voor bijna 35 miljoen euro in de handen van criminelen terecht gekomen. Deze situatie is maatschappelijk gezien zeer ongewenst, mede omdat criminelen dit geld weer investeren in andere criminele activiteiten. Fraude met internetbankieren vindt met name via het ‘hengelen’ naar vertrouwelijke gegevens (phishing) plaats, en via malware, waarbij criminelen speciale software schrijven om computers van klanten te infiltreren. De banken voeren sinds een aantal jaar communicatiecampagnes om consumenten ervan te bewust te maken dat een bank nooit per e-mail of telefoon om deze gegevens vraagt. Deze communicatiecampagnes worden gevoerd door de individuele banken, maar ook collectief door de banken, via de NVB (o.a. de phishing TV commercial en de website veiligbankieren.nl). Als particulieren het slachtoffer zijn van fraude vergoedt de bank in de regel de schade. De door de banken genomen technische maatregelen en communicatiecampagnes hebben succes: de fraude met internetbankieren in de tweede helft van 2012 is met 60% gedaald ten opzichte van de eerste 1 helft van 2012. Wedloop Het blijft een wedloop met cybercriminelen. Cybercriminelen zullen telkens nieuwe technieken hanteren met als doel een organisatie of individueel slachtoffer te verrassen. De ontwikkelingen in de technologie volgen elkaar steeds sneller op en dwingen tot snelle aanpassingen van de systemen en het reactievermogen. Het is zaak om de aanval in een zo vroeg mogelijk stadium te ontdekken om zo snel mogelijk eventuele additionele maatregelen te nemen. Banken werken op dit punt intensief samen, leren van elkaar en delen informatie hierover zodat het leerproces van de banken wordt versneld. De getroffen banken hebben aangifte gedaan naar aanleiding van de DDoS-aanvallen van april jl. Het onderzoek is reeds opgestart en wordt uitgevoerd door het team High Tech Crime van de politie onder gezag van het landelijk parket. Voor wat betreft de DDoS-aanvallen hebben banken vooralsnog geen zicht op de daders.
1
http://www.nvb.nl/nieuws/2013/1812/scherpe-daling-fraude-internetbankieren.html
Gustav Mahlerplein 29-35 • 1082 MS Amsterdam • +31(0)20 55 02 888
24 mei 2013
www.nvb.nl
3 van 5
Alternatieve betaalmogelijkheden bij tijdelijke onbeschikbaarheid van online betalingsverkeer Als een betaalmethode vanwege een verstoring tijdelijk niet beschikbaar is, geldt dat er en/of meerdere alternatieve betaalproducten en/of meerdere alternatieve kanalen beschikbaar zijn, die geheel of gedeeltelijk soelaas kunnen bieden. Internetwinkeliers bieden vaak meerdere betaalmiddelen aan, die voor elkaar als back-up dienen. In het kader van de in april jl. opgetreden iDEAL-verstoring kan de webwinkelier bijvoorbeeld ook creditcardbetalingen, PayPal betalingen, eenmalige machtigingen en acceptgiro’s accepteren, of de klant vragen vooruit te betalen via een gewone overboeking via internetbankieren. In geval van een onverwachte storing zullen banken zo spoedig mogelijk de consumenten en bedrijven moeten informeren. Vooral voor webwinkels is het van belang dat zij zo snel op de hoogte worden gesteld dat een alternatieve betaalmogelijkheid kan worden aangeboden. Zo zijn er webwinkels die ook acceptgiro’s of eenmalige machtigingen aanbieden. Het Maatschappelijk Overleg Betalingsverkeer (MOB) onderzoekt, naar aanleiding van de DDoS–aanvallen van begin april, welke alternatieve betaalmethodes er zijn bij (onverwachte) storingen in het betalingsverkeer. Hieruit moet duidelijk worden of er nog alternatieven ontbreken en hoe die eventueel ondervangen kunnen worden om zo de robuustheid van het betalingsverkeer nog verder te versterken. Cybercrime is een maatschappelijk probleem en vraagt om een gecoördineerde gezamenlijke aanpak van de gehele keten Cybercrime is een concrete dreiging en een wereldwijd probleem dat op grote schaal plaatsvindt. DDoS-aanvallen zijn geen nieuw fenomeen en doen zich voor bij overheden, organisaties en bedrijven. De NVB vindt dat de bescherming van de vitale infrastructuren, die een essentiële rol vervullen in onze samenleving (waaronder het betalingsverkeer) een verantwoordelijkheid is van alle partijen in de keten. Het berichtenverkeer via internet tussen banken en hun klanten verloopt langs meerdere schakels, die allemaal hun eigen verantwoordelijkheid hebben om de keten veilig en betrouwbaar te houden. De veiligheid van cyberspace is in toenemende mate een publiek belang geworden. Een groot gedeelte van de digitale wereld is in private handen; vitale infrastructuren, websites, software, servers en databestanden worden veelal gerund, gehost en beheerd door de private sector. Dit roept vragen op over de (toekomstige) verdeling van verantwoordelijkheden op het gebied van cyber security tussen overheid, private partijen en burgers. Wat doet de overheid en wat doen bedrijven zelf - en moet de overheid dat reguleren? Hoe kunnen we synergie creëren uit publiek-private samenwerking? Een hogere mate van coördinatie Banken werken onderling intensief samen en nemen deel in veel samenwerkingsverbanden met de overheid en private partijen rond cybercrime en – security, waaronder de Cyber Security Raad, het Nationale Cyber Security Centrum (NCSC), Electronic Crime Task Force (ECTF), het Landelijk Skimming Point (LSP), en Tripartite Crisismanagement Orgaan (TCO). Hoewel al deze initiatieven nuttig zijn, is een hogere mate van coördinatie wenselijk, om cybercrime effectiever aan te kunnen pakken en cybersecurity verder te verbeteren. In de nationale aanpak voor het voorkomen en opsporen van cybercrime zijn volgens de NVB nog stappen voorwaarts mogelijk. Op nationaal niveau zou een analyse kunnen worden gemaakt welke partijen in de keten van een vitale internetdienst welke verantwoordelijkheid hebben, bij zowel preventie als
Gustav Mahlerplein 29-35 • 1082 MS Amsterdam • +31(0)20 55 02 888
24 mei 2013
www.nvb.nl
4 van 5
vervolging. Zo maken ISPs, banken en individuele bedrijven en consumenten alle onderdeel uit van de ‘internetbankierketen’. Wat de banken graag zouden zien, is een sterkere regierol vanuit één publiek-privaat samenwerkingsorgaan om ervoor te zorgen dat de ketenverantwoordelijkheid voor alle partijen duidelijk is geformuleerd en niet te versnipperd is. Het voorkomen van cybercrime en de bestrijding daarvan vraagt immers om een integrale ketenregie. De overheid kan ervoor zorgen dat de wetgeving wordt verbeterd, zodat deze ketenverantwoordelijkheid geen hiaten vertoont. Het Nederlandse beleid rond cybersecurity is vastgelegd in de Nationale Cyber Security 2 Strategie . Daarin staan strategische thema’s als publiek-private samenwerking, een balans tussen security versus een open internet en versterking van de bestaande samenwerking tussen partijen binnen het cyberdomein centraal. De NVB pleit ervoor dat bij de dit jaar geplande herziening van deze cyberstrategie de ketenverantwoordelijkheid binnen het cyberdomein van vitale internetdiensten nadrukkelijk wordt meegenomen. Vervolging cybercrime verbeteren Banken hebben vaak aanknopingspunten om de daders op te sporen bij fraude (skimming en phishing), zoals bijvoorbeeld de geldstroom en de inzet van geldezels. De afdelingen veiligheidszaken van de betrokken banken doen daar diepgaand onderzoek naar en leveren de resultaten vaak panklaar aan bij politie. Helaas blijkt er vervolgens onvoldoende capaciteit bij de politie en het Openbaar Ministerie (OM) te zijn om deze zaken ook daadwerkelijk op te kunnen pakken. Banken werken goed samen in publiek private samenwerkingsverbanden zoals het Electronic Crimes Task Force (ECTF). Dit samenwerkingsverband tussen banken, politie en OM, heeft tot doel om de informatiepositie van alle partijen te versterken en de kwaliteit van opsporing en vervolging en interventies te verhogen bij fraude. De ECTF heeft echter zelf geen executieve bevoegdheden en is afhankelijk van de diverse politie-eenheden om bancaire fraude aan te pakken. Uit de praktijk blijkt dat bancaire fraude daar moet wedijveren met allerlei andere criminaliteitsvormen en dan vaak het onderspit delft. De banken zijn voorstander dat er binnen de Nederlandse politie – op alle niveaus – capaciteit beschikbaar komt om bancaire fraude aan te pakken. Verder is het zaak dat de samenwerking op Europees niveau, bijvoorbeeld via Europol, wordt geïntensiveerd. 3
Het onlangs gepubliceerde Nationale Dreigingsbeeld 2012 stelt ten aanzien van internetbankieren dat de bancaire onderwerpen (phishing, malware, misbruik van internetbankieren) voor de politie geen concrete dreiging zijn. Geciteerde tekst: “Hoewel de verwachte toename van schade met internetbankieren verontrustend is en de schade jaarlijks tientallen miljoenen bedraagt, worden de gevolgen voor de banken als relatief beperkt ingeschat. Daarom is fraude met betaalmiddelen geen concrete dreiging voor de komende vier jaar.”. Ook het ECTF loopt tegen dit capaciteits-/prioriteringsprobleem aan en krijgt daardoor veel zaken niet opgepakt. Om werkelijk een vuist te maken tegen criminelen die banken en hun klanten aanvallen, zal de capaciteit van de politie en het OM voor deze zaken omhoog moeten. Het OM heeft aangegeven de aanpak, opsporing en vervolging van cybercrime, waaronder DDoS-aanvallen, te intensiveren door het uitbreiden van haar capaciteit en kennis. Zo zal de Team High Tech Crime (THTC) worden uitgebreid in menskracht, zodat de grote onderzoeken, waaronder die met betrekking tot de DDoS-aanvallen op de banken van april 2013, verder kunnen worden opgepakt. Gustav Mahlerplein 29-35 • 1082 MS Amsterdam • +31(0)20 55 02 888
24 mei 2013
www.nvb.nl
5 van 5
