Security bewustzijn blijft bottleneck voor finance

De grote banken in Nederland zijn ontzettend druk met het implementeren van maatregelen om hun klanten te controleren. De rechter tikt hen keer op keer op de vingers omdat er niet genoeg gedaan wordt tegen fraude en witwassen. Logisch dus dat er fors geïnvesteerd wordt in mensen en technologieën om zaken op orde te brengen. Daarmee dreigt de aandacht voor cybersecurity op de achtergrond te raken. Onderzoek wijst echter uit dat de financiële sector nog altijd een gewild doelwit is bij cyberaanvallers. Als bank of verzekeraar mag je dit niet uit het oog verliezen.

Verizon onderzoekt ieder jaar wereldwijd meer dan honderdduizend security-incidenten en datalekken. Daarbij leggen zij ook de trends per sector bloot. Over het jaar 2021 analyseerde men 2527 incidenten in de financiële sector, waarvan er 690 leidden tot een datalek. Het is geen verrassing dat bij alle gevallen waar er sprake is van kwade opzet financieel gewin de belangrijkste motivatie is. Groepen binnen de georganiseerde misdaad dringen binnen via sociale acties (phishing), hacking (gebruik van gestolen inloggegevens) en slaan hun slag vaak met malware (ransomware). Ten slotte komen diverse fouten, vaak in de vorm van verkeerd afleveren van informatie, nog steeds veel voor.

Webapplicaties gewillig doelwit
Dit is het globale plaatje rondom cybersecurity voor financiële instellingen en verzekeraars. Door meer de diepte in te gaan en karakteristieken van cyberaanvallen in deze specifieke sector bloot te leggen, kunnen bijvoorbeeld banken zich beter wapenen. Daarvoor moeten we eerst ruim vijf jaar teruggaan in de tijd. In 2016 waren in 50 procent van alle inbreuken servers op een of andere manier betrokken bij de cyberaanval; nu is dat 90 procent. Het gaat voornamelijk om webapplicaties, niet onlogisch als je bedenkt dat ook financiële instellingen, na aanvankelijk wat huiverig te zijn geweest, de migratie naar de cloud hebben ingezet. Een belangrijk element bij dit soort aanvallen is dat er gebruik gemaakt wordt van gestolen wachtwoorden. Dit is zelfs de hoogst genoteerde aanvalsmethode in deze sector. Deze credentials kunnen op vele verschillende manieren zijn ‘verkregen’ en ingezet. Een brute force is een aanval waarbij software volledig geautomatiseerd wachtwoorden en inlognamen gaat uitproberen op applicaties. Dit is exact waarom eenvoudige wachtwoorden tot zo veel problemen leiden. Credential stuffing is een methode waarbij cyberaanvallers gestolen wachtwoorden direct in dezelfde IT-omgeving bij andere applicaties gaan proberen. Deze twee methoden zijn erg populair in de financiële sector. Gestolen wachtwoorden en webapplicaties vormen een perfect huwelijk.

Versterk aandacht voor bewustzijn
Een tweede belangrijke manier waarop het fout gaat met security is door fouten van medewerkers. ‘Verkeerd afgeleverd’ is de categorie waarom het gaat. Daarmee wordt bedoeld dat persoonlijk identificeerbare informatie (PII) of bedrijfsgevoelige informatie terecht komt bij de verkeerde ontvanger. Vaak loopt dit met een sisser af, maar het feit dat dit verkeerd gaat betekent al een security-incident dat gemeld moet worden bij de toezichthouder. Je zou verwachten dat het bewustzijn omtrent het verzenden van dit soort informatie goed verzorgd is bij finance, gezien de aard van de business. Maar niets is minder waar: het verkeerd verzenden van informatie gebeurt in deze sector drie keer vaker dan in andere industrieën. Dit mag de sector zich aanrekenen; versterk de aandacht voor bewustzijn en bied voldoende trainingen aan voor medewerkers.

Digitaal weerbaar
Ten slotte kunnen we er niet aan voorbijgaan dat de financiële sector vaak slachtoffer is van DoS-aanvallen. Hoewel er geen sprake is van het verlies van data, zijn de gevolgen aanzienlijk. Bedenk wat er gebeurt wanneer internbankieren een paar uur plat ligt. Dit kost een bank een vermogen. Van alle incidenten is er in 58 procent sprake van DoS, wat twee keer zo veel is dan in andere sectoren.

Is er dan geen enkel lichtpuntje te noemen in de pogingen om digitaal weerbaarder te worden? Laten we een poging wagen. In 2016 kon in 5 procent van de inbreuken de dader achterhaald worden. Over het geanalyseerde jaar 2021 was dat maar liefst 58 procent. Maar juich niet te vroeg. Dit is geheel toe te schrijven aan de opkomst van ransomware, waarbij de dader zichzelf juist blootgeeft. Of in ieder geval zijn crypto bankrekening.

De slotsom is dat de sector waarvan je zou verwachten dat die de zaken relatief op orde heeft nog veel werk heeft te verzetten. Blijf hameren op het bewustzijn, neem afscheid van zwakke wachtwoorden en let op de juiste beveiliging van webapplicaties. Meer niet.