De afgelopen jaren hadden banken te kampen met spectaculaire cyberaanvallen. De meest indrukwekkende hiervan was die op de internationale coöperatieve organisatie voor het verzenden van financiële berichten (Swift) in februari 2016. Hierbij verloren meerdere banken aanzienlijke sommen. Het grootste slachtoffer was de Centrale Bank van Bangladesh: die zag zo’n 81 miljoen euro in rook opgaan.
Ook in België vuurden de cybercriminelen van Down-Sec hun pijlen af op verschillende nationale banken, waardoor het internetbankieren urenlang plat lag. Swift maakte in een brief aan haar klanten bekend dat tijdens de voorbije zomerperiode opnieuw aanvallen werden uitgevoerd. Niet verwonderlijk dus, dat er een algemene angst heerst dat de financiële industrie steeds meer het doelwit zal worden van dergelijke misdrijven.
Andrea Enria, voorzitter van de European Banking Authority (EBA), pleitte daarom in mei 2016 voor meer aandacht voor cyber risk management: het opzij leggen van extra kapitaal als buffer tegen dergelijke bedreigingen. Deze oproep is een initiatief dat we enkel kunnen toejuichen. Ook Swift heeft herhaaldelijk gevraagd om nieuwere en verhoogde veiligheidsmaatregelen. Vreemd genoeg wordt er op dit moment onvoldoende aandacht besteed aan dergelijke cyberaanvallen. Wanneer een dief bij een gewapende bankoverval een miljoen euro meegrabbelt, schreeuwt iedereen moord en brand. Waarom is dat niet het geval bij online diefstallen? Tijd dus om de it-veiligheid van banken op de kaart te zetten.
Hackers groeien mee
Hoe beter banken hun cybersecurity in de toekomst beheren, hoe vindingrijker hackers moeten worden. Zo slaagden de ‘Bangladesh-hackers’ erin het computernetwerk van de bank binnen te dringen, te observeren hoe geld werd overgemaakt, toegang te krijgen tot de verificatiegegevens van de bank, en zo bevelen te geven voor miljoenen aan overschrijvingen. De algemene voorspelling is dat banken – en meer bepaald betalingssystemen – één van de favoriete doelwitten van cybercriminelen zal blijven, gezien de grote bedragen die op het spel staan.
Tegelijkertijd verandert de rol van banken; ze worden digitaler. En dat maakt ze ook kwetsbaarder voor online aanvallen. Zo kunnen gebruikers dankzij mobiel bankieren op elk ogenblik en overal bankverrichtingen uitvoeren met een mobiele telefoon of tablet. De trend bij de banken is dan ook om de ondersteunende processen te automatiseren met eenvoudigere IT-systemen. Bij de keuze van die it-systemen moet security bovenaan staan op de lijst.
De strijd tegen cybercriminaliteit
In de strijd tegen cybercriminaliteit is het vaststellen van de correcte identiteit cruciaal. Hierbij speelt multifactor authenticatie een heel belangrijke rol. Multifactor betekent dat er minimaal twee sleutels nodig zijn om de ‘deur’ te openen. Meestal is dat een combinatie van iets wat je weet (bijvoorbeeld een code), met iets wat je bezit (bijvoorbeeld een bankkaart) of iets wat je bent (bijvoorbeeld een irisscan).
Daarnaast zijn testen die de weerbaarheid tegen cyberaanvallen van de soft- en hardware van banken controleren – zogenaamde stresstests – absoluut noodzakelijk. Risk management moet voor banken een belangrijke investering zijn; J.P. Morgan is een van de financiële instellingen die hiervoor onlangs inderdaad al het budget vergrootte. Onlangs toonden de stresstests van de Europese Bankenautoriteit (EBA) bij verscheidene banken in de eurozone een ‘verbeterde stressbestendigheid’ aan van KBC en Belfius. Hoewel dit uiteraard een goed initiatief is voor de gehele eurozone, was er toch geen rekening gehouden met cyberaanvallen. We zijn er bijgevolg nog niet helemaal.
Ten slotte moet ook de overheid een rol spelen in de bescherming van banken tegen cyberaanvallen. Vandaag de dag is het wettelijke kader rond digitale identiteit en banken namelijk niet duidelijk. Kijk bijvoorbeeld naar digital onboarding; (hoe) is de identiteit van klanten gewaarborgd bij het online openen van accounts, mobiel geld overmaken, of het online beheren van verschillende rekeningen? De regering moet duidelijker zijn naar banken over welke maatregelen zij moeten nemen en wat ze online moeten toelaten.
Cyber stresstests
Banken zullen nooit voor honderd procent veilig zijn voor een cyberaanval. Toch moeten ze hier alles tegen doen wat in hun macht ligt, bijvoorbeeld door het opzij leggen van beschikbare middelen om zich te beschermen tegen online criminelen. Zo kunnen multifactor authenticatie, stresstests en regulering belangrijke wapens zijn tegen kwaadgezinde hackers. Het is ook belangrijk dat stresstests aparte ratings krijgen voor cybersecurity. Nu zijn er wel de ratings van grote bureaus, maar die zijn meer gericht op beleggers, en niet op de consumenten. Mochten stresstesten voor cybersecurity inderdaad worden ingevoerd, dan is het nuttig en interessant om dat ook publiek te maken voor de consumenten. Zo weten ze zeker dat de bank waarmee ze handel drijven, effectief veilig is.