Ruim de helft (52%) van de banken in Nederland heeft de configuratie van TLS niet of niet volledig op orde. TLS (Transport Layer Security), voorheen SSL, is het beveiligingsprotocol dat de communicatie tussen websites en gebruikers beveiligt. Op internet is dit te herkennen aan HTTPS (HyperText Transfer Protocol Secure).
Dat blijkt uit onderzoek van het Edese datacenter BIT. Een deel van de organisaties biedt wel HTTPS, maar is dit niet volledig geconfigureerd. Voor dit onderzoek controleerde het datacenter 23 websites van banken in Nederland.
Niet optimaal
Naast dat ruim de helft TLS niet volledig juist geconfigureerd heeft, gebruikt ruim driekwart (78%) geen DNSSEC. Daarmee kunnen doorverwijzingen naar frauduleuze websites worden voorkomen. Daarnaast maakt ruim een derde (35%) van de banken gebruik van Google Analytics. Dit stelt Google in staat gedetailleerde profielen op te bouwen van bezoekers van de websites. Dit gaat ten koste van de privacy van websitebezoekers en is voor bezoekers niet eenvoudig uit te schakelen. Een van de banken maakt zelfs niet eens melding van het gebruik van cookies, ondanks het gebruik van Google Analytics.
Alex Bik, CTO bij BIT: “Alhoewel er geen aanleiding is om de noodklok te luiden vind ik het onbegrijpelijk dat uitgerekend banken de beveiliging van hun websites niet voor de volle honderd procent op orde hebben. Er is geen excuus om TLS niet volledig te hebben ingericht; de ontbrekende maatregelen zijn bijzonder eenvoudig te implementeren. Het gebruik van Google Analytics vind ik schokkend. De betreffende banken verkopen in feite de privacy van hun klanten in ruil voor marketingstatistieken, zonder daar duidelijk melding van te maken.”
