Herman Peeters, department manager Credit Risk van LaSer Nederland BV
Peeters heeft plezier in zijn werk. "Geen enkel onderzoek naar het vermoeden van fraude is hetzelfde. Dat maakt mijn werkzaamheden dynamisch en interessant", vertelt hij. Nu heeft de creditcardbranche met verschillende fraudes te maken. "Identiteitsfraude bijvoorbeeld van creditcardaanvragers met vervalste persoonsbewijzen of met persoonsgegevens van gestolen documenten", vertelt Peeters, "Uiteraard is het bij de aanvragen via internet nog lastiger om de identiteit te verifiëren. De kaart en de pincode worden wel apart per post verstuurd, maar het opgegeven adres kan een kraakwoning zijn of de post kan uit brievenbussen worden gehengeld. En dan zijn er nog de katvangers. Iemand krijgt dan bijvoorbeeld een bedrag betaald als hij zijn identiteit of postadres afstaat.
"Post met de creditcard-gegevens kan uit brievenbussen worden gehengeld"
Onze klanten hebben helaas ook te maken met internetfraude zoals phishing", vervolgt Peeters. "Dat zijn vervalste e-mailberichten waarin onder de Visa-vlag om het kaartnummer en de pincode wordt gevraagd. Die mailtjes gaan met honderdduizenden of zelfs miljoenen weg. Visa scant daar constant op en waarschuwt de kaarthouders structureel om die gegevens nooit prijs te geven. Maar als er in de eerste vijf minuten toch honderd mensen op reageren, hebben criminelen honderd keer het limietbedrag te pakken.
Verder zijn er nog de skimmingactiviteiten. Als klanten dan in een winkel of bij een betaalautomaat hun creditcard gebruiken, wordt die kaart door apparatuur van criminelen uitgelezen, en de pincode met een camera opgenomen. Die gegevens worden direct gebruikt om de rekening leeg te roven, bijvoorbeeld met dure internetaankopen.
"Callcenter-medewerkers kunnen stiekem klantgegevens op een computerscherm fotograferen"
En dan is er nog de mogelijkheid van interne fraude", vertelt Peeters. "Zo kan een analist met toegang tot klantdata die gegevens voor geld verkopen. Een ander voorbeeld: een callcenter-medewerker die stiekem met zijn mobieltje een foto maakt van klantgegevens op zijn computerscherm zodra de leidinggevende in overleg zit."
Met alle fraudemogelijkheden in gedachten, is het niet zo gek dat Peeters externe expertise in huis haalde. "Er zijn meer mensen bij betrokken geweest, maar ik was inderdaad de initiator van de risico-inventarisatie", vertelt Peeters. "Ik vind dat ervaren securityprofessionals regelmatig over de grenzen van hun eigen werkgebied moeten kijken. Er is een risico op navelstaren als je jarenlang in het vak zit. Je loopt dan het gevaar dat een deel van de werkzaamheden routine wordt. Ik was daarom vooral benieuwd naar de zogenaamde white spots of blinde vlekken die ontdekt zouden worden.
"Er is een risico op navelstaren als je jarenlang in het vak zit"
De risico-inventarisatie werd heel breed opgezet en low profile uitgevoerd. Het had negatief kunnen uitwerken als we hadden aangegeven dat er onderzoek gedaan werd. We noemden het 'project Eagle'; naar de adelaar die hoog bovenin de lucht vliegt en alles ziet terwijl hij zelf voor zijn prooi niet zichtbaar is. Er is gekeken naar ons aanvraagproces, de ICT-security en de fysieke toegangsbeveiliging, onder andere door middel van inlooptests. Daarbij ging het om de vraag hoe veilig het is om hier te werken, maar ook of insluipers binnen zouden kunnen dringen. Verder zijn er digitale 'inlooptests' gedaan en hebben er goede gesprekken plaatsgevonden met een aantal kernspelers binnen het bedrijf.
We hebben er heel veel van geleerd", vertelt Peeters. "Direct na de presentatie van de bevindingen hebben we al preventieve maatregelen genomen en de andere aanbevelingen zijn we nu snel aan het oppakken. Zo hebben we inmiddels een integriteitsbeleid opgesteld waarin staat hoe wij als organisatie omgaan met de constatering van fraude of abnormaal gedrag. En we hebben een stappenplan voor als er dingen mis mochten gaan."
"We hebben heel veel van de risico-inventarisatie geleerd"
Om interne fraudes te voorkomen en snel te detecteren lopen er naar aanleiding van de inventarisatie nu ook meer queries of geautomatiseerde programma's op databases die met een bepaalde frequentie onderzoek doen of combinatiesets maken om te achterhalen of er frauduleuze acties worden ondernomen, vertelt Peeters. "Interne medewerkers weten als geen ander de lekken te vinden. En met 400.000 klanten kunnen er altijd fraudemogelijkheden zijn. Daarom zijn we nog een keer met experts om de tafel gaan zitten om de fraudemotieven verder te inventariseren en te onderzoeken op welke manieren die op het systeem benut zouden kunnen worden.
Verder is de fraude-awareness door de risico-inventarisatie flink toegenomen", vervolgt Peeters. "Niet alleen op het uitvoerend niveau maar ook op directieniveau. Iedereen is er nu veel nadrukkelijker mee bezig. De directie heeft ook meer ruimte gegeven om versneld stappen te zetten in een vervolgproject, waar de specialist van Hoffmann ons bij gaat ondersteunen. Aan het einde van dit jaar willen we voldoen aan de allerhoogste beveiligingsstandaard van de creditcardmaatschappijen zelf.
"De fraude-awareness is flink toegenomen"
De keuze voor Hoffmann is goed bevallen. Als fraudeman ken ik de securitywereld en daarin heeft Hoffmann een gerenommeerde naam", vertelt Peeters. "Die reputatie is waargemaakt door de manier waarop dit onderzoek is gedaan en begeleid. Hoffmann heeft ervaring bij meerdere bedrijven waardoor ze je op een andere manier naar bepaalde dingen laten kijken. Een volgende stap zou training van onze medewerkers door Hoffmann kunnen zijn. De lijnen zijn bovendien kort dus als ik in de toekomst iets meemaak dat me de pet te boven gaat, dan heb ik snel support, al is het maar een paar uur klankborden."
"Als iets me de pet te boven gaat, heb ik snel support"
Als Peeters naar de ontwikkelingen op fraudegebied in zijn branche kijkt, concludeert hij dat de risico's groter worden. "Bijvoorbeeld door de druk van de crisis. Als medewerkers van bepaalde consumentenbedrijven bijvoorbeeld hogere omzetquota moeten halen met minder personeel, zouden verkopers door die hoge werkdruk niet meer open kunnen staan voor bepaalde fraudesignalen bij creditcardaanvragers.
De risico's nemen echter ook toe doordat steeds meer mensen via internet shoppen", vervolgt Peeters. "Het ken uw klant-principe is daarmee veel moeilijker te handhaven: hoe weet je of iemand ook werkelijk is wie hij beweert te zijn? Er zijn bepaalde databases om dat te controleren maar in Nederland is er geen enkele waarmee 100 procent zekerheid wordt verkregen over de juiste identiteit van een klant. Daarom ben ik voorstander van het opzetten van een systeem dat bijvoorbeeld vergelijkbaar is met DigiD voor de overheid.
"Ik ben voorstander van het opzetten van een systeem zoals DigiD"
Een andere optie is om binnen de mogelijkheden van de privacywetgeving met alle partijen die kredieten of creditcards verstrekken, een systeem van data-sharing te creeren. In de UK bestaat zo'n systeem al jarenlang. Bijna alle Britse banken en financieringsmaatschappijen zijn er op aangesloten. Het systeem heeft zijn nut bewezen en voldoet aan de Europese regelgeving op het gebied van de privacybescherming.
Als er in Nederland ook zo'n database komt, zou daar bijvoorbeeld toegang mee verkregen kunnen worden tot persoonsgegevens waarmee gefraudeerd wordt, of waarmee in het verleden is gefraudeerd. Stel dat een financieringsmaatschappij een creditcardaanvraag binnen krijgt en een kwartier later krijgt een andere financieringsmaatschappij ook een aanvraag van iemand met dezelfde naam en adres, maar met een ander beroep. Dan zouden de maatschappijen niet van elkaar hoeven te weten om welke aanvragen en om welke bedragen het gaat, maar wel dat de kans heel groot is dat diegene de boel aan het bedonderen is.
"Wij organiseren dit najaar een fraude-seminar"
Natuurlijk zijn er bezwaren in de trant van big brother is watching you. Maar als wij er fraude mee kunnen terugdringen, zou dat de consument ook weer ten goede komen, omdat de kostprijs dan naar beneden kan. Zo'n systeem kan ook voorkomen dat consumenten het slachtoffer worden van internetfraude. Het is bijvoorbeeld heel lastig om van een BKR-registratie af te komen als je het slachtoffer bent geworden van identiteitsfraude. We organiseren dit najaar een fraude-seminar over dit onderwerp."
Meer informatie over het fraude-seminar en LaSer Nederland B.V. vindt u op www.lasernederland.com
