Digitaal bankieren, contactloos betalen, een Tikkie sturen: bankieren en betalen gebeurt steeds meer digitaal. Maar zijn daar geen risico’s aan verbonden? En hoe kunnen banken hun diensten zo veilig mogelijk aanbieden? Dat onderzoekt hoogleraar Digital Security Eric Verheul, gesponsord door Betaalvereniging Nederland.

Als je kijkt naar de snelheid waarmee banken hun diensten online aanbieden, lijkt het een kwestie van tijd eer de laatste bankkantoren verdwijnen. Heel wat banken bieden hun diensten tegenwoordig zelfs alleen via het internet aan.

‘In die transitie zitten veel uitdagingen’, zegt Eric Verheul. Hij bekleedt de leerstoel Financial Information Security aan de Radboud Universiteit, die dit jaar haar eerste lustrum viert. Een dag per week werkt hij op de universiteit, op andere dagen is hij zelfstandig ondernemer.

‘Aan de universiteit kan ik vrijer en rustiger nadenken’

‘Het houdt elkaar in evenwicht’, zegt Verheul in zijn kamer op de tweede verdieping van het Mercatorgebouw. ‘In de commerciële wereld moet alles snel gaan. Aan de universiteit kan ik vrijer en rustiger nadenken.’

Zo’n vier keer per jaar zit Verheul samen met de Nederlandse banken en met Marco Doeland, hoofd van de risk management group van de Betaalvereniging, die namens de leden toeziet op de veiligheid van het betalingsverkeer. ‘Iedere keer dat een klant van een bank geconfronteerd wordt met fraude, is er één te veel’, zegt Doeland. ‘Daarom zetten we in op digitale veiligheid.’

Veiligheidslek

Nog voor het interview begint, wil Verheul een misverstand uit de wereld helpen. Dat de leerstoel gefinancierd wordt door banken, wil niet zeggen dat ze niet onafhankelijk is. ‘Ik ben in dienst van de universiteit’, zegt hij. ‘Mensen denken soms dat ik pro banken ben, maar dat klopt niet. Als ik het niet met hen eens ben, dan zeg ik dat.’

Marco Doeland: ‘Soms schuurt het, maar dat houdt ons scherp. Bij de Betaalvereniging vinden we academische vrijheid erg belangrijk.’

Vanuit de leerstoel doceert Verheul het vak security in organisations. Ook begeleidt hij studenten die onderzoek doen naar de cybersecurity van banken. ‘Als wij op een veiligheidslek stuiten in digitaal bankieren of in een andere toepassing, dan seinen we dit door aan de banken’, zegt Verheul.

Zoeken jullie actief naar kwetsbaarheden in de online financiële wereld?

EV: ‘Af en toe vragen we aan studenten om een app voor mobiel bankieren of een andere digitale toepassing te testen. Als die niet veilig is, dan leggen we dat neer bij de banken – we willen niet dat daar misbruik van wordt gemaakt. Dat weerhoudt ons niet om daar ook een wetenschappelijk artikel over te publiceren.’

Is dat een vorm van hacken?

EV: ‘Of je dat nu testen of hacken noemt: we kijken vooral of er zwakheden zijn in het systeem. Onderzoek naar contactloos betalen stopt niet bij wetenschappelijke literatuur. Wat gebeurt er aan de achterkant van zo’n digitale bankkaart? Hoe reageert zo’n kaart? Wat zou er gebeuren als ik zo’n kaart anders aanspreek?’

Waar zijn jullie zoal op gestuit?

Marco Doeland (MD): ‘Eén van de studenten maakte zijn proefschrift over de e.dentifier, een apparaatje waarmee je financiële transacties kunt bevestigen. Daarin zat een zwakte die tot misbruik had kunnen leiden. Die informatie hebben we doorgegeven aan de bank in kwestie. Zo worden ze alleen maar veiliger.’

‘Nederlandse banken delen hun veiligheidsissues met elkaar en dat is uniek. Een incident dat hen raakt kan binnen enkele maanden ook een andere bank treffen, of omgekeerd. Als autofabrikant Tesla een nieuw model promoot, dan geven ze het ook aan de hacking community met de boodschap: laat ons weten waar de zwakheden zitten. Dat is de moderne wereld.’

Jullie zijn hele dagen bezig met digitale veiligheid. Worden jullie nooit paranoia?

MD: ‘Als ik ten tijde van de magneetstrip mijn betaalpas door een reader moest halen, checkte ik altijd even of er geen extra reader in het apparaat zat. En mijn laptop heeft een veiligheidsscherm (waardoor het beeld enkel zichtbaar is voor wie recht voor de computer zit, red.). Mijn familie zegt wel eens dat ik ben doorgedraaid, maar dat is beroepsmisvorming (lacht).’

‘Als ik op een computer aan het browsen ben, voel ik me naakt’

EV: ‘Als ik op een computer aan het browsen ben, voel ik me naakt. Als je per ongeluk op een verkeerd linkje klikt, kan je heel gemakkelijk geïnfecteerd worden. Daarom browse ik nooit rechtstreeks op internet, maar vanuit een virtuele machine in mijn computer.’

MD: ‘Over digitale veiligheid bestaan nog veel misverstanden. Veel mensen die online bankieren vinden hun vaste computer die via de stekker met internet is verbonden de veiligste manier om te surfen. De telefoon zou niet veilig zijn. In de praktijk is het net omgekeerd.’