“De
duivel komt als een engel van software.”
- Sam Rain
- Sam Rain
Automatisering in de ‘industrie’ kent zijn
hoogtepunten en diepe dalen; banken zijn daarin geen uitzondering. Het
zoveelste persbericht doet me niet schrikken: ik durf te wedden dat de 3
bekende banken er de dupe van zijn – ABN AMRO, ING en de Rabobank. Cybercrime
kent veel vormen, maar de échte cybercrimineel kent zijn doelwitten door en
door en de banken lopen altijd achter.
Banken investeren enorm in beveiliging, dus
zij zijn eigenlijk niet te verwijten. De bedrijven die verantwoordelijk zijn
voor de oplossingen echter wel. Wegens afspraken betreft ‘geheimhouding’, kan
ik er weinig persoonlijk over vertellen – echter zijn de problemen zo typisch
terug te vinden in menig oplossing, dat er zelfs voor ‘outsiders’ weinig te
gissen overblijft.
Elke bank verwerkt transfers; dit gebeurd niet
alleen in grote hoeveelheden, maar ook met de nodige complexiteit. Daarnaast
werken banken samen met andere banken, die elk afzonderlijk weer eigen regels
heeft – ondanks (achterhaalde) ‘centrale’ standaarden (SWIFT, SEPA, etc.). Om
de boel nog eens moeilijker te maken, zijn er nationale en internationale
regels en de bijhorende markten die het hart vormen van de economie.
Complexiteit betekent mogelijkheden: de
huidige transactieobjecten binnen de banken zijn vele malen geavanceerder dan
die uit 1980. Er zijn veel meer ‘software’ robots, die het werk uit handen
nemen en transacties volgen; het is voor mensen bijna onhaalbaar (laat staan financieel
levensvatbaar) om te doen wat software nu ‘zelf’ regelt.
Software die op een bepaalde manier ontworpen
is, gedraagt zich zo. Zo heeft ieder ontwerp zijn ‘handtekening’ – waar je één
fout vindt, daar vind je meerderen. En fouten – daar weet een hacker wel
rekening mee; hetgeen waardoor software raar gaat gedragen, geeft hoop.
Industriële software is dusdanig complex dat
deze wel moét ‘gebouwd’ worden in componenten. Zo kunnen delen aan één kant
vervangen worden, terwijl juist de componenten elders een doorweg geven. Eén
typisch component is die aan de gebruikers kant: inloggen, berichtgeving of
speciale functies. De ‘apparaten’ maken bepaalde methoden onpraktisch, maar
zeker niet onhaalbaar. Zo werden er vanaf een simpele ‘dienstverlening’ via een
Internetbankieren rekening gegevens opgehaald, die gebruikt werden voor gebruik
in ‘phishing’ e-mails. Tja, je eigen naam én rekeningnummer maken ‘dat’ mailtje
wel heel betrouwbaar voor het eerste oog.
Ook aan de andere kant gaat geregeld iets mis;
hackers met kennis van industriële software weten al te goed waar de
zwaktepunten zitten. Opdrachtnemers doen liever alsof hun neus bloed op het
gebied van veiligheid; net zoals de ‘bouw’ al vaak de reputatie geniet van
malafide praktijken met ‘uurtje-factuurtje’, is de IT- ICT branche niets
minder.
Het fabeltje dat software ‘altijd’ onveilig
is, gaat dan weer op. Dan wordt het tijd voor een ‘nieuwe’ versie, gepland voor
het volgende jaar. En de banken? Die zijn hulpeloos: want die kunnen niet
zomaar opstappen of de stekker eruit trekken. De spin die gegijzeld wordt in
zijn eigen web, door een vlieg die beweerd dat het zo hoort.
En dat vanwege een paar regels broncode...
En dat vanwege een paar regels broncode...
©SamRain
Banken
Banken
Geen opmerkingen:
Een reactie posten