Wordt iedereen gehackt behalve de bank?
Is er een doofpot, of word echt iedereen gehackt behalve de banken?
Na er jaren mee gedreigd te hebben, trekt ABN AMRO nu echt de stekker uit de e.dentifier, de kaartlezer voor je pinpas waarmee je betalingen kon doen. Wil je niet met je telefoon inloggen, dan moet je voor tien euro een nieuwe USB security key kopen. Ik zou nu niet graag op hun helpdesk werken en de hele dag aan boze klanten uitleggen waarom dit nu weer nodig is. Maar ik begrijp het wel.
Tegen het volgende bedrijf dat al mijn privé-data lekt en daarna beweert dat het overmacht was, ga ik namelijk zeggen: „Echt? En de banken dan?” Telkens als een bedrijf data lekt, verschuilt het zich achter de dooddoener dat „honderd procent veiligheid niet bestaat.” Hoe kan het dan dat we nooit horen dat een bank gehackt is?
Ideaal doelwit
Ik weet wel dat veel mensen opgelicht zijn door nep-bankmedewerkers en vervalste Tikkies, maar dan is de bank zelf niet gekraakt. Ook weet ik dat de overheid adviseert om zeventig euro per volwassene in huis te bewaren, maar dat is voor het geval je niet kunt pinnen. Ik heb het over het moderne equivalent van de overvallen van Jesse James, in het Wilde Westen.
Voor criminelen moet een bank een ideaal doelwit zijn. Je hoeft maar een paar nullen toe te voegen aan je saldo en je kunt je vakantie omboeken van Peter Gillis’ Blauwe Meer naar een onderwaterhotel op de Malediven. Bovendien kun je veel meer persoonlijke informatie buitmaken wanneer je iemands bankafschriften steelt dan zijn Basic-Fitabonnement.
Is er soms een doofpot?
Vorig jaar zijn ruim 37.000 datalekken gemeld. Tel daarbij op wat verzwegen is. Jan en alleman lijkt wel gehackt: KLM, Adidas, Google, Dior en Chanel, Odido, ChipSoft, Gemeente Epe, Basic-Fit, Rituals, Booking.com, Canvas… Statistisch gezien is het onmogelijk dat onze bankrekeningen nog niet geplunderd zijn. Of is er soms sprake van een doofpot?
Verbazingwekkend genoeg hoeven banken hun klanten niet altijd in te lichten over cyberincidenten. Zij melden het alleen aan ‘stille’ toezichthouders, zoals de Europese Centrale Bank en de Autoriteit Financiële Markten. Alles om paniek en een bankrun te voorkomen. Ze hebben natuurlijk wel een voordeel. Als er geld gestolen wordt, kunnen ze het stilletjes weer aanvullen zonder dat je het merkt. Apple kan dat niet. Die kan niet zeggen: „Heel vervelend dat jouw vakantiefoto’s uit de iCloud zijn gestolen, hier heb je die van de familie De Vries. Die hebben ook twee kinderen.”
Ontwrichting
Maar waarom zouden hackers meewerken om het stil te houden? Als ik lid was van ShinyHunters, zou ik dreigen met maatschappelijke ontwrichting. Het is ook niet zo dat een bank een paar weken ongemerkt offline kan gaan, of de backup van gisteren kan terugzetten als de bedragen niet meer kloppen.
Of geloof jij dat daar stiekem losgeld voor wordt betaald? En dat dat de werkelijke eden is dat minister Van Weel tegen een verbod op het betalen van losgeld bij een ransomware-aanval is?
Volgens mij zijn banken gewoon erg veilig. En dus moet de rest dat ook kunnen. Als Eindhovens Dagblad-meedenker heb ik een tip: Stop met het excuus dat je er echt niks aan kon doen. Als data het nieuwe goud is, zijn jullie vanaf nu allemaal banken. Gedraag je ernaar.


