Nederland

Wat als … een cyberaanval de bank raakt?

De financiële sector maakt deel uit van de Nederlandse vitale infrastructuur. Helemaal nu steeds meer burgers en organisaties het gebruik van chartaal geld (munten en biljetten) beperken en overgaan op digitaal bankieren, via het web en via smartphones.

In de afgelopen jaren zijn er verschillende aanvallen geweest op diverse onderdelen van digitaal bankieren. Deze aanvallen betroffen zowel het stelen van geld als het uitschakelen van online betalingssystemen, zoals internetbankieren via websites, mobile apps en iDeal.

Banken faciliteren de steeds digitaler wordende economie. Het is belangrijk daarbij te beseffen dat de keten van internetbankieren meer omvat dan de website van een bank. De keten bestaat uit consumenten en organisaties die gebruikmaken van internetbankieren tot en met de interne systemen van banken. Banken beseffen ook dat zij meer moeten beveiligen dan internetbankieren alleen. Onderstaande tabel biedt een overzicht van de voornaamste cyberaanvallen die banken als een risico zien:

Internetbankieren  Interne systemen van banken
Break-in Malware- en phishingaanvallen op consumenten Inbraak in de infrastructuur van de bank of haar leveranciers
Break-down Beschikbaarheidsaanvallen (i.e. DDoS) op bank servers, via pc’s van particulieren en servers op het internet Beschikbaarheidsaanvallen op interne systemen van banken en andere ketenpartners

Banken spannen zich in om cyberaanvallen tegen te gaan en werken met opsporingsdiensten samen om deze te voorkomen. Echter, het risico van een geslaagde cyberaanval is niet geheel te elimineren en de kans is dus aanwezig dat een dergelijke aanval tijdelijk de economie ontwricht.

Organisaties doen er goed aan om met een risicobenadering hierop in te spelen. De tijd dat op compliance gebaseerde voorgeschreven maatregelen hiervoor voldoende waren, is voorbij. Banken werken daarom al risicogebaseerd aan hun weerstand om cyberaanvallen te voorkomen (IT-resilience) en om schade te beperken als een cyberaanval toch slaagt.

Banken staan echter niet alleen in hun rol om het digitale geldverkeer te beveiligen, elke belanghebbende in de keten heeft hierin nu al een rol:

  1. Wij moeten allemaal onze verwachtingen bijstellen. Iedere burger en elke organisatie moeten cyberaanvallen op banken als ‘normaal’ gaan beschouwen. Vandaag de dag lijkt elke aanval nog spannend en voorpaginanieuws en bestaat de verwachting dat banken dergelijke aanvallen moeten uitsluiten. Dit kan echter niet!
  2. Banken moeten rekening houden met toenemende dreigingen van cyberaanvallen en nieuwe (technologische) kansen aangrijpen om ons allen tegen dergelijke cyberaanvallen te beveiligen. Banken moeten op basis van hun risicoanalyse hun huidige en nieuwe internetdiensten zo veilig mogelijk inrichten en operationeel houden, zoals ook wordt voorgeschreven (i.e. mobiele betalingen: ECB, Recommendations for the security of mobile payments, Draft document for public consultation, November 2013).
  3. Iedere gebruiker moet zich bewust zijn van de dreiging van cyberaanvallen, deze zo veel mogelijk herkennen en hiertegen handelen. Consumenten en organisaties hebben zelf ook een verantwoordelijkheid om cyberaanvallen tegen te gaan, of de schade ervan te beperken (NVB, Uniforme veiligheidsregels particulieren, november 2013) door hun pc’s veilig in te richten en veilig te houden en ook te controleren op cyberaanvallen.

    Dit geldt zowel voor de thuisgebruiker als voor de medewerker op kantoor! In elke omgeving met pc’s moet men rekening houden met aanvallen via malware en phishing.

In dit kader is het belangrijk dat we ons ontwikkelen naar een lerende samenleving, waarin beveiligingsfouten niet (direct) worden afgestraft, maar waar we leren van fouten en incidenten, opdat banken, consumenten en andere organisaties cyberaanvallen en de daaruit resulterende schade kunnen beperken. Dit vraagt om een cultuur waarin men zich open en kwetsbaar opstelt en een samenleving waarin ego’s een stap terug doen en mensen in verbinding met elkaar delen en leren!

  • StumbleUpon
  • del.icio.us
  • Facebook
  • Twitter
  • Google Bookmarks
  • LinkedIn

Plaats een Reactie




Uw email addres zal niet openbaar gemaakt worden.