De volgende stap in mobile banking
De eerste stap in mobile banking is met succes gezet. De eindgebruikers hebben vrij snel de weg gevonden naar transacties met relatief lage bedragen. Het klantenvertrouwen is hoog.
Maar de volgende stap in mobile banking – het uitvoeren van transacties met hoge bedragen door welgestelde klanten – verloopt niet zonder slag of stoot.
Dit is iets dat de meeste bankiers die wij ontmoeten – en dan vooral de hoofden van de afdelingen corporate treasury, wealth management, en betalingen – graag zouden zien veranderen. In alle gesprekken hierover keert hetzelfde thema terug: mobiele toestellen mogen niet enkel een handig extra kanaaltje voor de eindgebruikers zijn. Mobiliteit moet een bedrijfsvoordeel zijn voor onze zakelijke en bemiddelde klanten en een bron van inkomsten voor ons.
Het is best begrijpelijk dat bankiers en hun klanten tot nu toe hun bedenkingen hadden bij de beveiliging van mobiele toestellen. Dezelfde bankier die zijn klanten overtuigde om mobiele stortingen te verrichten zal minder gretig zijn als het zakelijke transacties voor miljoenen euro’s betreft. Dezelfde klant die het veiligheidsrisico aanvaardt om zijn elektriciteitsfactuur te betalen, zal zich minder comfortabel voelen bij een mobiele aandelenverhandeling voor pakweg een miljoen euro.
Wat kunnen banken er dan aan doen om van mobiele toestellen een betrouwbaar kanaal te maken voor grote transacties? Ze moeten zowel de perceptie rond beveiliging als de beveiliging zelf verbeteren van zulke hoogwaardige transacties. Ten eerste is er de problematiek rond toegang. Ten tweede is er de problematiek rond inzicht. Laat me dit even illustreren door een vergelijking met de beveiliging van een gebouw.
Als je bij een gebouw komt waarin gouden staven liggen opgestapeld en je merkt dat de poort van het domein én de voordeur wagenwijd open staan, kan je ervan uitgaan dat de toegang niet echt de nodige aandacht heeft gekregen. Als je een combinatie van wachtwoord en stemherkenning nodig had voor de poort en gezichtsherkenning voor de deur, kan je dan weer veilig stellen dat de toegang netjes werd geregeld. Maar wat gebeurt er als jemobi binnen bent? Zie je deuren met daarop geschreven: ‚Toegang verboden’? Zie je werknemers met zwaar beladen karretjes met de markering ‚Enkel voor bevoegde medewerkers’ steeds dezelfde ruimte binnen- en buitengaan? Dan heb je al een vrij goed idee van waar de goudstaven zich bevinden, toch? Dan merk je dat men niet goed heeft nagedacht over het inzicht. Je weet perfect waar je moet gaan zoeken als je wilt inbreken.
Helaas werken vele van de huidige beveiligingstoestellen net zo. Ze slagen er vrij goed in om onbevoegde gebruikers buiten te houden. Maar – zoals eerder aangetoond door Snowden, de G20 Summit, en andere beruchte hacks van het voorbije jaar – moet een 100% gegarandeerde toegangscontrole nog worden uitgevonden. Hackers slagen er vaak in om „mee te surfen” met legitieme gebruikers. Eenmaal binnen, is het zaak om hun inzicht zo beperkt mogelijk te houden. „Je kan niet hacken wat je niet kan zien”, is onze leuze. Om terug te keren naar ons gebouw met de goudstaven: als een indringer samen met jou door de poort en voordeur was geraakt, maarde indringer heeft geen inzicht van waar de goudstaven zich bevinden – omdat er nergens opvallende activiteit, gemarkeerde deuren, opvallende pancartes of volgeladen kaartjes te zien zijn – zou de hacker geen flauw benul hebben van wat hij precies moet belagen.
Hiervoor bestaat al de nodige technologie. We kunnen de ‚endpoints’ zodanig verhullen dat de hackers helemaal niets kunnen „zien”. Als zulke technologie, in combinatie met verschillende lagen van toegangsbeveiliging, op groet schaal wordt toegepast, staat niets nog in de weg van mobiele transacties met grote bedragen.
De laatste component die we nodig hebben om vertrouwen in mobiele transacties te bereiken, is de beveiliging van de toestellen zelf. Mobile Device Management (MDM) platforms kunnen zorgen voor het vereiste framework (processen, policy’s en tools) om financiële toepassingen op mobiele toestellen mogelijk te maken. Met MDM kan je bijvoorbeeld beperkingen configureren voor gebruik van het toestel, de content en voor het mobiel surfen, en tegelijk ook continu nagaan of de mobiele toestellen nog aan alle beveiligingseisen voldoen.
Zo kan MDM er ook voor zorgen dat bedrijfskritieke of financiële toepassingen, en de bijhorende gegevens, automatisch worden verwijderd van een mobiel toestel als dit toestel niet meer voldoet aan de mobile policy. Als een toestel dus zou verloren geraken of gestolen worden of het is onrechtmatig gebruikt, dan kan dit met MDM van op afstand worden vergrendeld of volledig gewist. De meeste MDM-toepassingen kunnen ook – indien nodig – de toegang ontzeggen en content verwijderen als de gebruiker van het toestel een bepaalde geografische perimeter verlaat (dit noemen we ‘geo-fencing’).
Conclusie: het aanbieden van financiële en bedrijfskritieke toepassingen aan mobiele gebruikers beperkt zich niet tot het ontwikkelen en verdelen van deze toepassingen voor verschillende platforms (iOS, Android, …). Er komt een holistisch proces bij kijken, om zeker te zijn dat elke component van de mobiele waardeketen (toestel, gegevens, certificaten, …) voldoende beveiligd is; elk onderdeel kan het ‚single point of failure’ zijn waarlangs de beveiliging van mobiele toepassingen wordt aangetast en waardoor het vertrouwen van de eindgebruiker in mobiele diensten gevaarlijk op de helling wordt gezet.