31 juli 2024

Opinie bunq cyberaanvallen: Heeft bunq steken laten vallen?

Klanten van de bunq bank zijn tot tonnen aan spaargeld verloren! Wie is verantwoordelijk: de bank of de gebruikers?

Klanten van de bunq bank zijn tot tonnen aan spaargeld verloren door phishing e-mails, SMS’jes en telefoontjes. Hierbij hebben cybercriminelen de bunq huisstijl feilloos nagemaakt en vragen ze om op een link te klikken waardoor ze toegang krijgen tot de bankrekening van gebruikers of overtuigen ze hen aan de telefoon om hun geld om veiligheidsredenen over te boeken naar een andere rekening. In eerste instantie was de reactie van bunq dat ze altijd expliciet aangeven dat ze nooit zulke e-mails zullen verzenden of hun gebruikers bellen om ergens om te vragen – en dat hun gebruikers zelf verantwoordelijk zijn voor het verlies van hun geld.

Maar kan de bank dit zo stellen? Als wij de situatie ontleden zien we toch wel degelijk een stuk van de oorzaak en verantwoordelijkheid voor deze cyberaanvallen bij bunq zelf. Hoe dat precies zit lees je in dit artikel.

Wat weten we over de bunq cyberaanvallen?

In 7 maanden tijd is er €1,6 miljoen buit gemaakt bij 28 slachtoffers. Hoewel we als buitenstaander natuurlijk lastig kunnen bepalen of dit een groot aantal slachtoffers is (dat hangt immers proportioneel af van het aantal transacties), gaat het wel om enorm grote bedragen per slachtoffer. Het gaat gemiddeld om €60.000 verlies per persoon – en dat is voor iedereen een groot bedrag. Bovendien zijn er de afgelopen weken nog een hoop slachtoffers die zich hebben gemeld en wordt het totale verlies daarmee een miljoen hoger ingeschat.

Had bunq bank de cyberaanvallen kunnen voorkomen?

De hoeveelheid geld die in korte tijd bij deze slachtoffers werd weggesluisd had zeker alarmerend moeten zijn voor bunq bank. De meeste mensen maken immers niet vaak zulke bedragen over – en een goede threat detection & response zou deze dan ook als potentiële verdachte activiteit moeten oppikken met een optie om de transactie te bevriezen of blokkeren. Uit de praktijk blijkt dat bunq’s cybersecurity niet op een adequaat niveau was ingeregeld om dit effectief te doen.

Klassiek voorbeeld van het spanningsveld tussen veiligheid & gebruiksgemak

En dat is ergens niet verrassend, want bunq heeft bij uitstek ingezet op zo gebruiksvriendelijk mogelijk bankieren. Je kunt bijvoorbeeld binnen een paar klikken een rekening openen en hebt daarvoor nooit naar een fysieke bank toe gehoeven. Maar deze gebruiksvriendelijkheid betekent ook dat je binnen een paar tellen je bestedingslimiet kunt verhogen en gigantische bedragen kunt overmaken naar een onbekende rekening zonder dat daar enige tijdsvertraging in optreedt.

Bij de meeste banken moet je bijvoorbeeld een paar uur wachten voordat een verhoogde bestedingslimiet actief is. Dat geeft de gebruiker tijd om na te denken of hij de geplande transactie nog wil uitvoeren – en het geeft de bank tijd om een potentieel verdachte transactie op te pakken.

Het is natuurlijk aan iedere bank zelf om te bepalen hoeveel drempels ze hun gebruikers opleggen tijdens het bankieren. Maar wat we hier zien is dat bunq in eerste instantie gebruiksgemak boven de veiligheid van het geld van hun gebruikers zette.

Verantwoordelijkheid van banken

Banken hebben een zorgplicht voor de maatschappij, maar ze mogen zelf bepalen hoe ze hier invulling aan geven om daaraan te voldoen. Dat laat ruimte over om bijvoorbeeld gebruiksgemak van betalingen als een van de focuspunten te nemen. Echter verschaffen banken niet enkel een betalingsdienstverlening; ze waarborgen ook het spaargeld van hun klanten en daarmee een stuk bestaanszekerheid. Wij vinden daarom dat ze in hun afwegingen veiligheid altijd hoger in het vaandel moeten zetten dan gebruiksgemak.

En daarbij hoort ook dat dit soort organisaties eigenaarschap tonen voor cyberaanvallen. In eerste instantie was er een schrijnend gebrek aan empathie voor hun slachtoffers (“volstrekt ongepast”, volgens demissionair minister Van Weyenberg van Financiën) en ontbrak het aan regie over de situatie. En zelfs als hun gebruikers nalatig of onkundig zijn geweest, dragen ze als organisatie met zorgplicht voor de maatschappij nog steeds een bepaalde verantwoordelijkheid voor zulke situaties. Ze kunnen immers veiligheidsmaatregelen treffen die als extra beveiligingslaag optreden bovenop het handelen van hun eigen gebruikers.

Heeft bunq inmiddels de cybersecurity aangescherpt?

Hoewel we natuurlijk niet het volledige spectrum van bunq’s cybersecurity kennen, zien we dat de bank inmiddels een aantal extra veiligheidsmaatregelen voor hun gebruikers heeft toegevoegd. Zo sturen ze bijvoorbeeld een e-mail om te waarschuwen dat een dagelijkse bestedingslimiet is gewijzigd. Bovendien krijgen gebruikers bij het verhogen van hun daglimiet boven de €5.000 een waarschuwing waarin ze aangeven dat bunq medewerkers nooit om zoiets aan de telefoon zouden vragen.

Deze laatste melding is extra belangrijk aangezien ze nu een pilot draaien waarin ze via beveiligde chat afspraken maken om met de slachtoffers te bellen. Hoewel bunq in al hun communicatie blijft herhalen dat ze nooit direct zullen bellen, biedt het opzetten van een telefoonlijn cybercriminelen een extra kans om zich tóch voor te doen als bunq medewerker aan de telefoon.

Daarnaast heeft bunq nu uitgestelde betalingen, waardoor geld overgemaakt door gebruikers eerst 24 uur op een beveiligde tussenrekening blijft staan. Ook krijgen gebruikers extra waarschuwingsmeldingen als een naam niet overeenkomt met het IBAN-nummer en zijn er veiligheidsmaatregelen die je bankrekening bevriezen bij verdachte activiteit of als deze bediend wordt via gedownloade software.

Herstel van de cybersecurtity incidenten

Tot slot is bunq ook - met terugwerkende kracht - overgegaan tot het vaststellen van coulancevergoedingen. Hierbij nemen ze een ruimhartige insteek om gestolen bedragen (deels) te vergoeden en kijken ze of ze het geld eventueel kunnen terughalen bij andere banken. 

Dus, hoewel bunq in eerste instantie naar onze mening nalatig is geweest met een aantal cybersecuritymaatregelen en hun incident response (inclusief de slachtoffer- en mediacommunicatie na de incidenten) zien we nu gelukkig wel dat bunq de juiste stappen zet om de veiligheid van hun klanten en het geld dat ze bij de bank bewaren beter te beschermen.

Meer weten over de laatste stand van cybersecurity verantwoordelijkheden voor organisaties? Download dan ons gratis whitepaper over de NIS2 wetgeving.


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!