Banken en andere financiële dienstverleners zijn verantwoordelijk voor de gevoelige informatie en het geld van hun cliënten. Daarom worden er hogere eisen aan hun beveiliging gesteld. Datalekken kunnen ernstige gevolgen hebben en een bank heeft meer te verliezen dan alleen gestolen informatie of inkomsten.
Schade
Een cyberaanval kan de reputatie van een bedrijf aanzienlijk schaden. Dit tast het imago van het bedrijf jarenlang aan en kost op termijn klanten. Een datalek vergt ook waardevolle tijd en middelen om het probleem op te lossen. Banken hebben dus veel te verliezen bij beveiligingsincidenten. Gelukkig kunnen ze ook veel doen om hun eigen data en die van hun klanten te beschermen. Dit is mogelijk door inzicht te verwerven in cyberaanvallen die specifiek op de financiële sector zijn gericht. Daarnaast moeten er passende beveiligingsmaatregelen worden getroffen om de kans op een incident te minimaliseren.
Snel geld verdienen
Volgens het 2019 Data Breach Investigations Report (DBIR) van Verizon had 88 procent van alle cyberaanvallen op financiële instellingen een financieel motief. Cybercriminelen zijn op zoek naar de snelste manier om geld te verdienen, en de financiële sector kan voor hen een melkkoe lijken. Hackers richten hun pijlen vooral op internetapplicaties zoals cloud-gebaseerde e-mailtoepassingen. Ze sturen phishing-mails om gebruikers ertoe te bewegen om hun inloggegevens prijs te geven. Die gebruiken ze vervolgens om toegang te krijgen tot het e-mailaccount van het slachtoffer of andere bedrijfsapplicaties. Van daaruit kunnen hackers frauduleuze e-mails naar klanten sturen en andere werknemers vragen om geld op een bepaalde rekening te storten.
Topmanagers
Phishing vormt al jarenlang een prominent beveiligingsrisico, en het einde is nog lang niet in zicht. Het zijn overigens niet alleen de gewone werknemers die in dit soort oplichterij trappen. Steeds meer phishing-aanvallen zijn specifiek op topmanagers gericht. Volgens het DBIR hebben topmanagers twaalf keer meer kans om een doelwit te worden dan in de voorgaande jaren. Het is waar dat er minder vaak op kwaadaardige links in phishing-mails wordt geklikt. Zo is het aantal kliks tijdens testsimulaties de afgelopen zeven jaar van 24 tot 3 procent gedaald. Maar uit onderzoek blijkt dat mobiele gebruikers bijzonder vatbaar zijn voor phishing.
Financieële sector en botnets
Cybercriminelen maken verder gebruik van botnets voor het verspreiden van banking Trojans. Dit is malware die wordt gebruikt om inloggegevens te stelen en bankrekeningen te plunderen. Ook het gebruik van Denial of Service (DoS)-aanvallen neemt toe. Die worden gebruikt om diensten te verstoren door systemen te overbelasten. Uit onderzoeksgegevens blijkt dat er in de financiële sector ruim 40.000 datalekken werd veroorzaakt door botnets. Er werden daarnaast 575 DoS-incidenten gemeld.
Rechtsmisbruik
De meeste beveiligingsincidenten (72 procent) in de financiële sector zijn het gevolg van aanvallen van buitenaf. Maar we zouden het misbruik van rechten en diverse fouten door insiders ook niet mogen uitvlakken. Rechtsmisbruik houdt in dat er sprake is van niet-goedgekeurd of kwaadwillig gebruik van organisatorische middelen.
Werknemers kunnen hun toegangsrechten misbruiken voor hun persoonlijk gewin. Zo zouden ze geld kunnen wegsluizen of gevoelige informatie bemachtigen om een streepje voor te hebben bij een nieuwe werkgever. Maar er hoeft niet per definitie sprake te zijn van boos opzet.
Beveiligingsincidenten kunnen ook het gevolg zijn van onbedoelde acties. Dit is bijvoorbeeld een onhandige configuratie van servers die onbevoegden toegang geeft, of het uploaden van data naar een server die niet voor alle websitebezoekers toegankelijk zou moeten zijn.
Minder fysieke aanvallen
Het aantal fysieke aanvallen op pinautomaten en incidenten rond pinpassen neemt juist steeds meer af. Dit is mede te danken aan verbeteringen van de technologie voor chippen en pinnen. Hoewel de kans dat consumenten bij de kassa worden geskimd steeds kleiner wordt, staan banken en retailers nu voor een nieuwe opgave: een halt toeroepen aan malware-aanvallen op e-commerce-applicaties die betalingsgegevens van gebruikers proberen buit te maken.
Gelukkig zijn er diverse maatregelen die financiële dienstverleners kunnen treffen om de kans op beveiligingsincidenten en datalekken te reduceren en zichzelf te verdedigen tegen diverse aanvalstechnieken die specifiek op hun sector zijn gericht. Om een paar voorbeelden te noemen:
Maatregelen
- Phishing-preventie: Voorzie werknemers regelmatig van training die hen helpt om phishing-scams te herkennen en voorkomen. Bied hen daarnaast een eenvoudige manier om melding te maken van deze aanvallen. De meeste phishing-mails boeken namelijk het meeste succes tijdens het eerste uur van een aanval. Een effectief meldingssysteem kan het openen van kwaadaardige links en bijlagen beperken door iedereen binnen de organisatie op de hoogte te stellen van een eerdere phishing-poging. Banken kunnen deze voorlichting ook uitbreiden naar cliënten om hen bewust te maken van de gevaren rond phishing.
- Tweestapsverificatie: Financiële dienstverleners zouden gebruik moeten maken van tweestapsverificatie voor alle klantgerichte applicaties en e-mailapplicaties die in de cloud worden gehost. Als cybercriminelen in dat geval inloggegevens van eindgebruikers bemachtigen, zullen ze slechts met grote moeite toegang tot bedrijfssystemen kunnen krijgen. Dat komt omdat er om extra informatie wordt gevraagd alvorens het toegangsverzoek wordt goedgekeurd.
- Toegangscontrole: Om misbruik van rechten te voorkomen en te detecteren moeten financiële instellingen de toegang van werknemers tot gevoelige informatie monitoren en registreren. Ze moeten hun medewerkers duidelijk maken dat er voortdurend toezicht wordt gehouden op alle activiteiten binnen bedrijfssystemen om frauduleuze transacties te identificeren.
- Controle op malware: Financiële dienstverleners zouden hun systemen moeten monitoren naar verdacht gedrag dat wijst op een botnet, een DoS-aanval of de aanwezigheid van malware. Daarnaast moeten zij zorgen voor adequate bescherming tegen cyberaanvallen in de vorm van anti-malwareoplossingen.
Bewaking
Financiële instellingen kunnen de kans op succesvolle cyberaanvallen verkleinen door nauwgezet de toegang tot en activiteiten binnen systemen te bewaken. Daarnaast helpt het om authenticatiemechanismen toe te passen en werknemers te trainen op het herkennen van phishing-pogingen. Met deze maatregelen kunnen zij datalekken voorkomen en de data en rekeningen van hun cliënten veilig houden voor cybercriminelen.
David van den Berg, Associated Director bij Verizon Benelux
