Een gemaskerde man die gewapend een bankkantoor binnenvalt. Het is een tafereel dat je alleen nog in oude films zal zien. Want de moderne bankovervaller heeft het geweer van schouder verwisseld: het afgelopen jaar werden financiële instellingen gewoon gegijzeld. Vanop afstand.
Het nieuwe doel van aanvallers is niet meer zozeer de kluis met goud en cash, maar de digitale infrastructuur van een financiële instelling en die gekaapte infrastructuur vervolgens in te zetten tegen de onderdelen van een bank. Deze ‘nieuwe bankovervallers’ maakten gebruik van de pandemie waarin iedereen overschakelde op telewerken, om destructiever en geraffineerder te worden dan ooit tevoren.
In zijn vierde jaarlijkse rapport ‘Modern Bank Heists‘ heeft security-specialist Carbon Black zo’n 125 ciso’s (voluit: chief information security officer) in dienst zijn van ’s werelds grootste financiële instellingen gevraagd naar hun ervaringen met recente campagnes van cybercriminaliteit. Gezien de vertrouwelijke aard van hun activiteiten hebben deze financiële instellingen stevige beveiligingsmaatregelen en zijn ze expert in fraudepreventie. Vandaag de dag worden ze echter geconfronteerd met een stortvloed aan complexe cyberaanvallen. Het aantal aanvallen op financiële instellingen is vorig jaar meer dan verdrievoudigd. Deze grimmige realiteit is toe te schrijven aan het georganiseerde karakter van cybercrimekartels – ja, het is een business die lucratiever lijkt dan drugs verhandelen, met minder pakkans – en de sterke toename van cyberaanvallen.
Vier bevindingen
Het doel van het rapport van dit jaar was om te begrijpen hoe informatie over de aanvallen de verdediging van de financiële sector tegen deze nieuwe bankovervallers beter moet maken. Dit zijn de belangrijkste bevindingen uit de studie:
-
Van overval naar gijzeling
38 procent van de financiële instellingen ondervond een toename van het zogenaamde island hopping, waarbij een overval overgaat in een gijzeling. Cybercriminelen begrijpen de onderlinge afhankelijkheden in de sector en zien in dat ze in het digitale transformatieproces van de financiële instelling kunnen inbreken om hun klanten aan te vallen. Zij gebruiken het vertrouwen van de klant in het merk tegen de gebruikers van de bank door de activa van de bank te gijzelen.
-
Toegenomen geopolitieke spanningen
Doordat de geopolitieke spanningen vandaag de dag ook in cyberspace doorsijpelen, is er een toename van 118 procent in vernietigende aanvallen. Geheime activiteiten van Rusland, China en Amerika vormden de grootste zorg voor financiële instellingen. Het rapport vermeld ook dat cybercriminelen in de financiële sector doorgaans alleen destructieve aanvallen zullen inzetten als escalatie om het bewijsmateriaal te doen verdwijnen of als onderdeel van een reactie op een tegenincident.
-
De digitalisering van handel met voorkennis
51 procent van de financiële instellingen kreeg te maken met aanvallen die gericht waren op marktstrategieën. Dit maakt de digitalisering van handel met voorkennis en de kans om de markt voor te zijn mogelijk. Je zou dit kunnen catalogiseren als economische spionage.
-
Cybercriminelen lanceren chronos-aanvallen
41 procent van de financiële instellingen heeft de manipulatie van zogenaamde tijdstempels waargenomen. Dit is rampzalig in een sector die door de aard van zijn activiteiten sterk afhankelijk is van de exacte tijd. Omdat er geen manier is om de integriteit van tijd te isoleren wanneer deze eenmaal een tijdstempel heeft, is zo’n chronos-aanval zeer schadelijk.
Natiestaten
Naarmate de wereld van bedreigingen zich verder ontwikkelt, zullen ook de tactieken, technieken en procedures van die cybercriminele kartels zich verder ontwikkelen, zoals blijkt uit de bovenstaande bevindingen.
Deze groepen worden ook uitgespeeld door de natiestaten die hun bescherming en macht bieden. Tegelijkertijd hebben we het afgelopen jaar gezien hoe traditionele misdaadgroepen ook digitaliseerden omdat de pandemie en bijbehorende lockdowns hen verhinderde om hun ‘gewone’ activiteiten uit te voeren. Hierdoor werden criminele diensten op het dark web populair, intensifieerde de samenwerking tussen cybercriminele groepen en zijn cyberkartels nu machtiger dan hun traditionele tegenhangers uit de georganiseerde misdaad.
Hoe je te beschermen?
Maar hoe moet de financiële sector reageren op deze evolutie? Om te beginnen zie ik een paar specifieke strategieën voor beveiligingsteams:
-
Zet in op beveiliging vanuit de infrastructuur. Ingebakken en contextueel sterker dan traditionele netwerk beveiliging;
-
Voer wekelijks threat hunting uit en maak hiervan een standaard om de threat intelligence te voeden. Van de CISO’s met wie is gesproken, jaagt bijna de helft al wekelijks op threats;
-
Integreer jouw netwerkdetectie en -respons met jouw platforms voor endpoint-beveiliging;
-
Pas ‘just in time’-beheer toe;
-
Zet ook in op beveiliging van de workloads.
Geen kostenpost
Het spel is veranderd, en dat geldt ook voor de beveiligingsstrategie van de financiële sector. Veiligheid en soliditeit zijn alleen te handhaven door de ciso meer bevoegdheden te geven. Daarom moet 2021 het jaar worden waarin ciso’s rechtstreeks aan de ceo rapporteren en meer autoriteit en middelen krijgen. Nu cyberaanvallen steeds vaker voorkomen, is een grotere rol voor de ciso cruciaal: de bevindingen van het rapport maken immers duidelijk dat financiële instellingen in het vizier blijven staan.
Het is aanbevelenswaardig dat ciso’s als volwaardig C-level worden beschouwd, omdat cyberrisico vandaag een operationeel risico is dat moet worden beheerd over het gehele spectrum van technologie, processen en mensen heen, inclusief het gebruik van financiële instrumenten zoals een cyberverzekering. Cyberbeveiliging mag niet meer gezien worden als een kostenpost. Het vertrouwen in de veiligheid en de betrouwbaarheid van de financiële sector zal er immers van afhangen.