Europese banken vertonen een gemengd beeld in hun aanpak en resultaten in cybersecurity. Hoe zuidelijker en oostelijker ze gevestigd zijn, hoe lager ze scoren. Maar ook bij Belgische banken zijn er grote verschillen in security.
Dit blijkt uit een D-Rating-studie over de cyberveiligheid van zestig retailbanken in Europa. De analyse omvatte grote spelers in Europa, maar ook digitale- en neobanken. Het onderzoeksbureau onderzocht hoe banken, ook tijdens de coronacrisis, middelen inzetten om zich te beschermen tegen het risico op cyberaanvallen.
Het gaat bij dit onderzoek om een volledige outside-in-benadering, waarbij dus alle gegevens van buiten de banken werd verzameld. Om de score op cybersecurity te berekenen, werd een tool-based-diagnose uitgevoerd met de platformen Quixxi en SecurityScorecard. Die analyse hield rekening met de opsporing van kwetsbaarheden en een kwalificatie van bedreigingen qua Android-toepassingen en websites, zoals dns-analyse, ip-reputatie, applicatie- en netwerkbescherming. Met deze bevindingen als resultaat.
Al wijst de bekende ethical hacker Inti De Ceukelaire toch ook op de beperkingen van deze aanpak. ‘Zo’n tooltje meten vooral heel irrelevante zaken. In sommige gevallen zet die trend zich door naar de zaken die er echt toe doen, maar het vertelt weinig. Een tool kan eigenlijk nooit accuraat voorspellen hoe cyberveilig een online asset is zonder intrusieve testing door te voeren, wat illegaal zou zijn.’
Hoe dan ook, het onderzoek van D-Rating oppert deze bevindingen.
1. Keytrade het best in België
In het kader van de studie van D-Rating werden zes Belgische merken (Aion, Belfius, BNP Paribas Fortis, ING België, KBC, Keytrade Bank) geanalyseerd.
Van deze zes behoort er slechts één tot D-Ratings Europese top zes qua beschermingsniveau tegen cyberaanvallen: Keytrade Bank. Zowel hun website als app scoort goed in security. De zes onderzochte Belgische banken hebben overigens een gemiddelde score die (net) hoger ligt dan de gemiddelde score van de zestig banken.
2. België erg verschillend (en geen koploper)
Ook in Europa zijn er grote verschillen. Duitse, Nederlandse, Oostenrijkse, Zwitserse, Britse en Scandinavische banken doen het gemiddeld beter dan de Belgische, maar de Zuid-Europese landen zitten dan weer een stuk onder het Belgische gemiddelde.
Ons land heeft wel een van de grootste standaardafwijkingen, wat betekent dat Belgische banken inzake security uiteenlopend presteren. Op basis van het beschermingsniveau vallen de Europese banken uiteen in drie groepen. In België bevindt het merendeel van de geëvalueerde banken zich in middengroep B. Keytrade zit in de beste groep A, maar één bank bevindt zich in groep C, wat overeenkomt met het laagste prestatieniveau.
Vermits Aion tot de middenmoot behoort, zit dus een traditionele bank bij de laatste groep C. Maar om welke bank het gaat, wil D-Rating niet vertellen. ‘Het wil deze informatie jammer genoeg niet prijsgeven, omdat ze geen banken voor de bus willen gooien’, zo klinkt het bij het communicatiebureau dat D-rating in ons land vertegenwoordigt.
3. ING de beste in Nederland
Er werden ook vier Nederlandse banken (ABN Amro, Bunq, ING Retail Nederland, Rabobank) geanalyseerd. Van deze vier merken staat er één de top zes: ING. Dat is opvallend en ook wel best ironisch omdat ING de laatste dagen vooral met it-perikelen in het nieuws kwam.
De resultaten van de vier Nederlandse banken liggen boven het gemiddelde, op een niveau dat vergelijkbaar is met dat van de banken in het zogenaamde Rijngebied (Duitsland, Zwitserland en Oostenrijk). Behalve ING zitten de Nederlandse banken in groep B, geen enkele in groep C.
4. Zwitsers (en neobanken) zijn het best
Niet alle Europese banken bieden hetzelfde beschermingsniveau en er zijn aanzienlijke verschillen tussen de geografische gebieden. Banken in Zwitserland zijn gemiddeld het best beschermd.
Gemiddeld bieden neobanken een hoger beschermingsniveau dan netwerkbanken op hun website, maar niet op hun app.
5. Franse, Turkse en Russische onder het gemiddelde
Er zijn ook banken en landen die achterop hinken. Het merendeel van de onderzochte Franse banken scoort onder het gemiddelde wat betreft de bescherming van zowel de website als de app.
Tot slot nemen ook de onderzochte banken in Polen, Turkije en Rusland cyberbeveiliging blijkbaar (iets) minder ernstig dan hun Europese tegenhangers. Zij liggen namelijk significant onder de algemene gemiddelde score van de zestig banken.
Kortom, hoe zuidelijker en oostelijker, hoe lager banken scoren in security. Hoe meer Rijngebied en noordelijker, hoe beter. En België ligt daartussen.
