Ingrid Van Daele
Ingrid Van Daele Ingrid Van Daele is redacteur bij Knack

Kan het nu wel of kan het nu niet: veilig betalen via internet? Tientallen onderzoekers en bedrijven buigen zich al jaren over het probleem. De veiligheid krijgt vorm, maar ook de hackers hebben hun lesjes geleerd.

Het gaat bergaf met de e-commerce. Wat tot een van de pijlers van de nieuwe economie moest uitgroeien, zit in het slop. Vorige week nog kopten de kranten dat Proxis, het grootste Belgische e-commercebedrijf, te koop staat. Eerder ging al een aantal andere cybershops op de fles.

Experts hebben verschillende verklaringen voor die koerswijziging. Een daarvan is – naast het gebrek aan rendabiliteit – de bedenkelijke veiligheid van het betaalverkeer. De cijfers zeggen genoeg: het ene procent van de internetbetalingen dat met een kredietkaart wordt uitgevoerd, is goed voor vijftig procent van de fraude met kredietkaarten. En dat hoeft niet te verbazen. Kredietkaartgegevens worden zomaar via internet doorgestuurd. Ze zijn dan wel vaak versleuteld en wie ze onderschept, kan er normaal gezien niets mee aanvangen. Het gevaar schuilt veeleer in een volgend stadium. Wanneer de kaartgegevens eenmaal bij de handelaar zijn aangekomen, komen ze vaak op een weinig beveiligde server terecht. Inbrekers komen er aan hun trekken: als ze de toegang tot de server geforceerd hebben, hebben ze alle gegevens voor zich.

Beveiligingssystemen zoals bijvoorbeeld Multisecure EPS van Ubizen concentreren zich daarom op de veiligheid van de server. De betaling, of liever de goedkeuring ervoor, verloopt extern, via een ‘clearing maatschappij’ en een sterk beveiligde server. De handelaar die het systeem ondersteunt, krijgt de gegevens van de klant niet te zien, hij krijgt een bevestiging van de betaling, en – belangrijker nog – het geld komt op zijn rekening terecht. Veilig betaald? Relatief gezien wel, maar hoeveel e-shops hebben die beveiliging niet?

Terwijl niemand zijn kaartgegevens nog durft in te toetsen om een koopje via het net te doen, vertrouwen steeds meer cliënten van banken hun rechtstreekse rekeningnummers aan internet toe. Ze doen aan webbankieren. Ook daar zijn de strengste beveiligingsnormen vereist, meer nog dan bij e-commerce. Je komt er immers in contact met een deel van de databank van de financiële instelling. Ubizen werkt daarom (met het systeem Multisecure ETS) met een infrastructuur met twee firewalls. Alle informatie wordt uniek geïdentificeerd. En dat werkt in twee richtingen. De informatie wordt nauwgezet gecontroleerd om toegang te krijgen. Maar als je die eenmaal hebt, wordt alles ook onweerlegbaar geïdentificeerd. Wie bijvoorbeeld een maand geleden on line Realsoftware-aandelen had gekocht en er dezelfde dag spijt van kreeg, kon niet doen alsof zijn neus bloedde en zeggen dat hij de order nooit had geplaatst. De weg die hij heeft afgelegd, is traceerbaar: elke stap die hij gezet heeft, kan bewezen worden. Zo onbetrouwbaar is internet dus ook weer niet.

De werking van webbankieren kan intern dubbel beveiligd worden. Maar ook de toegang kan aan een dubbel bewakingssysteem worden onderworpen. Keyware Technologies werkt bijvoorbeeld aan toepassingen voor biometrische beveiliging: toegang wordt verleend na identificatie van je iris of van je stem. En Proton World, Visa, Eurocard/Mastercard en Bancontact/Mister Cash kondigden eind vorig jaar de komst aan van hun smart card-systeem: Banxafe. Geheime gegevens, zoals de naam en het kaartnummer van de klant, worden niet via internet verstuurd. Ze worden lokaal, op een kaartlezer die met de pc in verbinding staat (CZAM/PC), geïdentificeerd. De kaartlezer vergelijkt de digitale handtekening van de kaart met die op de pc. Stemmen de codes overeen, dan wordt het signaal doorgegeven dat de transactie kan plaatsvinden. Veilig? Misschien, maar het systeem is nog steeds niet actief. Wanneer het eenmaal gelanceerd is, zul je er – alweer alleen bij de aangesloten handelaars – ook mee kunnen inkopen. Vandaag kan dat al met de Protonkaart en voor een maximaal bedrag van 5000 frank. En vermits Banxafe compatibel is met de SET-normen (Secure Electronic Transaction) zal het ook internationaal kunnen worden ingezet. Betalen met Visa, Eurocard/Mastercard via het Banxafe-systeem wordt binnenkort mogelijk. Eenzelfde bewerking met een debetkaart kan echter niet: voor deze betalingen werden nooit internationale overeenkomsten aangegaan.

Veilig betalen moet dus ooit kunnen, al worden de beveiligingssystemen wellicht nooit helemaal waterdicht. Zover zijn we echter nog niet. Als vandaag een systeem al bestaat, dan werkt het nog niet. Als het werkt, is de winkel die het ondersteunde vorige maand net op de fles gegaan.

Ingrid Van Daele

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content