Orco is laks met veilig internet bankieren


Orcobank neemt online-beveiliging niet serieus. Vannacht, klokslag drie uur, schrok ik wakker van een whatsapp-ping van een IT-specialist die deze boude uitspraak deed, terwijl de soep nog in mijn ogen zat. 

Internet bankieren bij Orco, zo vervolgde hij, is niet goed beveiligd. 'Andere slimme mensen zouden mee kunnen kijken wanneer je geld naar je moeder overmaakt.' En hij doelde niet op het IQ van de moeder in dit geval.

Wie met Google Chrome op internet struint krijgt van Google een waarschuwing dat de online bankingsite van Orco niet veilig is. In een ietwat dramatische oneliner zegt de browser zelfs dat  cybercriminelen mogelijk je gegevens proberen 
te stelen, zoals wachtwoorden, berichten of creditcardgegevens.


En dat komt omdat Orco een niet-vertrouwd certificaat gebruikt van Symantec. Die was in het verleden wel goed en vertrouwd, maar het beveiligingsbedrijf heeft er een potje van gemaakt en daarop hebben Google en Mozilla de certificaten ingetrokken.

Symantec wijst er weliswaar op dat er in totaal 33 verkeerd uitgegeven testcertificaten zijn en dat er daardoor in werkelijkheid geen schade is ontstaan, maar Google en de andere browsers zeggen dat de problemen met de uitgifte van Symantec systemisch zijn en dat ze bij uitbreiding niet langer kunnen vertrouwen op de certificaten die Symantec had uitgegeven. 

Dat is inmiddels opgelost. Google en Symantec hebben kantoor in dezelfde straat en bereikten in de zomer van 2017 een overeenkomst dat Symantec de uitgifte van certificaten zou uitbesteden en dat die opnieuw zouden worden opgebouwd. We praten over een operatie van bijna een miljard dollar.

Maar dan moet de klant, ook Orco, wel de nieuwe certificaten aanvragen en installeren. Volgens mijn verontruste IT-er is dat tot op heden niet gebeurd. Erger: het lijkt er volgens hem op dat Orco het probleem niet aan wíl pakken. Terwijl er toch een duidelijke lijn is gecommuniceerd over de nieuwe certificaten van Symantec: 



De verontruste IT-er neemt contact op met Customer Support van Orco voor tekst en uitleg. En die krijgt hij! De betreffende helpdesk medewerker zegt dat de bank op de hoogte is van de problemen en dat klanten maar Microsoft Internet Explorer moeten gebruiken. 

En o ja, 'al onze systemen zijn safe en te vertrouwen!'

Dus niet. Bovendien is een andere browser een schijnoplossing. Niet iedereen gebruikt Internet Explorer en alle browsers gaan de onveilige certificaten van Symantec sowieso overboord gooien. Je bezoekers een andere browser te adviseren is niet echt een zinvolle optie.

'Maar wat vooral erg is', appt de onrustige IT-er door: 'het installeren van een nieuw certificaat is een klusje van een half uur. Niet meer. Wat is het probleem van Orco?'

Die vraag krijg ik helaas niet beantwoord. Direct bij het ochtendgloren en na mijn ochtendbordje soep, neem ik contact op 
met Orco's Customer service. Er breekt paniek uit in de tent. Ik word van het ene kastje naar de andere muur gestuurd en moet zelfs een half uur in de telefonische wachtrij om ten lange leste maar met de directie door te worden verbonden. 

Mijn suggestie om liever met een deskundige de zaak te overleggen word in de wind geslagen. Terwijl elke journalist weet dat directies zelden weten wat er op de werkvloer gebeurd en al helemaal niet als het over IT gaat. 

Gelukkig was de directie niet beschikbaar. In meeting heet dat. Wat denk je? Een bestuursbesluit voorbereiden om een nieuws beveiligingscertificaat te kopen? 

Moet je wel opschieten, het is om 12 uur lunchpauze, dan ligt de 24-uurseconomie stil op Curaçao. Gelukkig geldt dat niet voor internet . Hier is jullie oplossing: https://www.digicert.com/replace-your-symantec-ssl-tls-certificates/

0-0-0-0-0-0

Wat is een beveiligingscertificaat?

Websites die persoonlijke informatie opvragen van Web-gebruikers moeten altijd een website certificaat installeren. Dit certificaat toont dat de informatie van een gebruiker veilig wordt opgeslagen in het systeem van de site en niet voor andere doeleinden wordt gebruikt. 

Een website certificaat is een vorm van identificatie voor de site. Deze certificaten worden gebruikt om te controleren of de website legitiem is en kan bestanden versleutelen, als een vorm van authenticatie . Zij moeten afkomstig zijn uit certificeringsinstanties , de organisaties die verantwoordelijk zijn voor de afgifte en intrekking van certificaten . 

Beveiliging Certificaten 

Een manier om te controleren of een website een beveiligingscertificaat heeft geïnstalleerd, is door te kijken in de URL-adresbalk van de browser. 


Websites met URL's die beginnen met " https " in plaats van " http " zijn gecodeerd en zijn verplicht om een ​​beveiligingscertificaat hebben. Sommige webbrowsers tonen ook of een site is gecodeerd .