Innovatie & Strategie

Dit is een bijdrage van Verizon Nederland
Security
Verizon DBIR 2019 - Finance

Finance blijft kwetsbaar voor cyberdreigingen

‘Banken en verzekeraars’ steevast in de top 3 van sectoren met meeste aanvallen.

28 augustus 2019
Door: Verizon Nederland, partner

‘Banken en verzekeraars’ steevast in de top 3 van sectoren met meeste aanvallen.

Cyberaanvallen en beveiligingsincidenten blijven wereldwijd de krantenkoppen vullen. Welke beveiligingsmaatregelen organisaties ook nemen, aanvallers kunnen ze ogenschijnlijk probleemloos omzeilen. Geen enkele organisatie is te groot of te klein om het slachtoffer te worden van een cyberaanval. Geen enkele industrie is immuun, zeker niet de financiële sector. De categorie ‘banken en verzekeraars’ behoort steevast tot de top 3 van sectoren die het meest onder vuur ligt van cyberaanvallers. Het Verizon Data Breach Investigations Report 2019 legt feilloos de zwakke punten bloot maar biedt security officers in finance tegelijkertijd houvast in hun continue strijd tegen cyberaanvallers.

Het Verizon Data Breach Investigations Report (DBIR) biedt cruciale inzichten in cyberdreigingen waarmee organisaties worden geconfronteerd. Het 12e DBIR is gebaseerd op gegevens uit 41.686 beveiligingsincidenten en 2.013 datalekken afkomstig van 73 gegevensbronnen, zowel openbare als particuliere entiteiten, verspreid over 86 landen over de hele wereld. Je kunt dus met recht spreken van een omvattend beeld van alle aspecten van cybersecurity. Per sector worden ontwikkelingen geschetst en maatregelen aangedragen, zo ook voor banken en verzekeraars. Deze ondernemingen blijven een populair target voor cybercriminelen. 

Skippen van skimmen
Laten we beginnen met het goede nieuws als we inzoomen op de resultaten van het onderzoek voor de financiële markt. Het aantal fysieke aanvallen op geld- en betaalautomaten is verder afgenomen; denk bijvoorbeeld aan skimmenvan pinpassen. De campagne ‘van strip naar chip’, die al ruim een decennia geleden is opgestart lijkt eindelijk vruchten af te werpen. Het is ook logisch dat dit een proces van de lange adem is. Alle geldautomaten moeten immers vervangen worden om deze nieuwe EMV standaard (Europay MasterCard Visa) te kunnen faciliteren. 

Dreigingsactoren
Hoewel de negatieve gevolgen van skimmen langzaam teniet worden gedaan, zien we toch 927 andere security-incidenten: een gebeurtenis die de integriteit, vertrouwelijkheid of beschikbaarheid van een informatie-asset schaadt. In 207 van deze gevallen is er inderdaad bevestigd dat er data is ontvreemd. In bijna driekwart van deze gevallen gaat het om het corrumperen van webapplicaties, het misbruiken van privileges als het gaat om toegang tot informatie en systemen, en fouten in configuratie en in het afleveren van data (miscellaneous errors). De dreigingsactoren zijn in het overgrote deel van de gevallen extern van aard (72 procent); twee keer zo veel als intern (36 procent). In 10 procent van de gevallen bestaan de aanvallers uit verschillende partijen, die zowel intern als extern kunnen zijn. Het motief van de cyberaanvallers is overduidelijk: geldelijk gewin (88 procent). In een op de tien incidenten gaat het om bedrijfsspionage. En kijken we naar de soort gegevens die wordt ontvreemd dan gaat het in 43 procent van de gevallen om persoonlijke data, gevolgd door credentials (zoals inlognaam en wachtwoord - 38 procent) en interne data. 

Phishing blijft populair
Het valt op dat de meeste incidenten hun oorsprong hebben in een mailserver (meer dan 80 van de ruim 200 gevallen). Social engineering is nog altijd een populaire aanvalstechniek om medewerkers te verleiden hun gegevens prijs te geven. Deze campagnes worden steeds gewiekster en zijn haast niet van echt te onderscheiden. Inmiddels waarschuwen vele instanties voor de zogenaamde CEO-fraude, waarin bijvoorbeeld iemand van de financiële administratie persoonlijk wordt benaderd door zijn of haar baas om geld over te maken of om inloggegevens te versturen. Door de gezagsverhouding te benadrukken, durven medewerkers de opdracht niet in twijfel te trekken en het kwaad is geschied. In andere gevallen zien we dat de mailserver in een eerder stadium al succesvol is aangevallen, zodat aanvallers de mailaccounts kunnen misbruiken om phishing mails te versturen van de ene naar de andere collega. Waar je als consument phishing mails vaak op juiste waarde inschat, zie je dat medewerkers wel de neiging hebben mails van collega’s blind te vertrouwen. Een doeltreffende manier om verder in de core systemen van de financiële instellingen te komen.

Daarnaast zien we dat mobiele applicaties van banken en verzekeraars kwetsbaar zijn. In de praktijk blijken klanten zich weinig bewust van de security-risico’s van mobiele apps

Misbruik van data loont niet
Er liggen dus nog voldoende kansen voor finance-bedrijven om cyberaanvallers verder buiten de deur te houden. Mobiele apps zouden in toenemende mate moeten worden uitgerust met 2 factor authenticatie. Dat geldt ook voor cloud-based e-mail applicaties en toepassingen die je op afstand kunt benaderen. In de tweede plaats kunnen banken en verzekeraars het bewustzijn over cybergevaren bij klanten verbeteren. En als je daar toch mee bezig bent, spijker dan ook je medewerkers nog even bij. Ten slotte valt er veel te winnen door onder medewerkers duidelijk te maken dat het misbruiken van je privileges niet lonend is. Hoewel veel van deze gevallen voorkomt uit onwetendheid of onkunde, helpt het door te tonen dat je als organisatie een data-trail kunt monitoren en frauduleuze transacties herkent. 

Dus hoewel het voor financiële instellingen soms vechten tegen de bierkaai lijkt, zijn er wel degelijk stappen te maken om je effectiever te weren tegen cyberaanvallers. Het Verizon Data Breach Investigations Report 2019 staat er bol van.

Reactie toevoegen