Het beschermen van de bankinfrastructuur tegen cybercriminelen is één van de moeilijkste it-uitdagingen van het bankwezen. Ondanks dat banken hard werken om zowel hun klanten als hun bezittingen te beschermen, wordt dat steeds moeilijker. Aanvallen groeien in omvang en nieuwe ontwikkelingen zoals ‘het internet of things’ zorgen ervoor dat de mogelijkheden om te kunnen aanvallen toenemen.
Dit geldt vooral ook voor het aantal apparaten dat gebruikt kan worden om aanvallen te lanceren. Dit is niet puur theoretisch: het is al aan het gebeuren. Akamai’s Security Operations Center heeft al aanvallen gedetecteerd van verbonden ‘things’ op het internet.
Het gaat niet alleen om de omvang van aanvallen of de frequentie ervan, maar ook om de snelheid waarmee ze gelanceerd kunnen worden. Er zijn tools beschikbaar waarmee zelfs een beginneling een aanval kan lanceren als hij dat wil. Niet alleen vanuit zijn eigen computer, maar ook vanuit besmette servers die over het hele internet verspreid zijn. Dit geeft een aanval enorme reikwijdte waar slechts weinig technische kennis voor nodig is.
De manier waarop aanvallen worden opgezet wijzigt voortdurend, wat dat betreft lijkt het wel op mode. Reflection attacks zijn niet nieuw, maar ze zijn terug van weggeweest met nieuwe manieren om in te kunnen zetten en met miljoenen nieuwe apparaten die met het internet verbonden worden en nu ook hiervoor ingezet kunnen worden. Er is ook sprake van een golf waarin nieuwe kwetsbaarheden worden ontdekt, die zo ernstig zijn dat er nog veel tijd nodig is om alle aangetaste hardware op het web aan te pakken. Dit opent deuren voor cybercriminelen, die deze tijd optimaal zullen benutten. Heartbleed en Shellshock zijn perfecte voorbeelden van dit probleem, en we moeten ervan uit gaan dat dit vaker zal gebeuren in de toekomst.
Hackers hebben uiteenlopende redenen om een aanval op te zetten. Vaak is het doel niet eens om de website van een bank neer te halen. Verschillende banken hebben bevestigd dat ze tijdens DDoS-aanvallen frauduleuze geldstromen hebben ontdekt. DDoS-aanvallen worden dan gebruikt als afleiding tijdens het downloaden van klantgegevens, die vervolgens illegaal verkocht worden om financiële fraude en identiteitsdiefstal te faciliteren. Dergelijke gegevensdiefstal is zeer schadelijk voor merken en hun klanten, daar bestaan talloze voorbeelden van.
Delen van informatie de oplossing?
Nu er zoveel op het spel staat en hackers over de hele wereld de financiële sector in het vizier hebben, wordt steeds duidelijker dat geïsoleerd handelen geen goede strategie is voor banken. Immers, hackers delen voortdurend tijd, middelen en kennis met elkaar. Het delen van informatie is dan het voor de hand liggende antwoord, maar dat is complexer dan het lijkt. Ten eerste is het idee van informatie delen niet universeel geaccepteerd binnen de bankensector. In sommige landen, zoals de VS, is dit vergevorderd en gemeengoed, maar er zijn nog regio’s en landen in de wereld waar Threat Intelligence nog steeds gezien wordt als een gevoelig en competitief issue.
Bankdirecteuren uit verschillende landen hebben mij verteld dat ze meer dan drie jaar achterlopen op de meer vooruitstrevende landen als het gaat om het delen van Threat Intelligence. Er zijn ook wettelijke onzekerheden om rekening mee te houden als het gaat om privacy en aansprakelijkheid met betrekking tot het ter beschikking stellen van gevoelige informatie.
Wanneer banken besluiten wel informatie te delen voor het welzijn en de veiligheid van de sector, moet het wel effectief zijn. Niemand wil vals alarm slaan en het spotten van een aanval is niet altijd eenvoudig. Aanvallen zijn namelijk niet altijd duidelijk. Als je website er plotseling uit ligt en klanten klagen op sociale media, is er dan sprake van een aanval, een probleem met je systemen of een probleem met je service provider?
Natuurlijk, als een aanval groot is, zal deze gemakkelijk te zien zijn. Maar een inbreuk op je systemen kan moeilijk te zien zijn, ofwel omdat die vermomd is door een DDoS-aanval of omdat er geen alarm geslagen wordt. En zelfs als er wel een alarm getriggerd wordt, zijn er verschillende mogelijkheden die moeten worden onderzocht alvorens er informatie gedeeld wordt. Is het daadwerkelijk een inbraak? Is het een legitieme test uitgevoerd door je eigen it-mensen? Of is het een onschuldige (of niet) scan door een derde partij? Het hebben van absolute zekerheid is van groot belang wanneer je informatie deelt met de markt.
Wat nu als je wordt aangevallen en je beveiligingssysteem is in staat de aanval tegen te houden? Mijns inziens moet er een marktbreed debat komen over of dergelijke informatie gedeeld zou moeten worden, los van wettelijke verplichtingen. Meningen verschillen daarover.
Schouder aan schouder staan
Het delen van Threat Intelligence in de financiële dienstverlening werkt, ook al zijn er uitdagingen als het gaat om de effectiviteit ervan. Ik hoor er regelmatig voorbeelden van wanneer ik praat met onze klanten zoals bijvoorbeeld bij Operation Ababil in 2012 en 2013. Deze DoS-aanvallen werden gelanceerd bij financiële instellingen in de VS. Op het hoogtepunt werden er twintig banken per week dagelijks aangevallen. De banken vochten terug, niet alleen door hun afweer te vergroten, maar ook door informatie met elkaar te delen. Dit heeft een cruciale rol gespeeld in deze situatie.
Het delen van Threat Intelligence is de toekomst en processen die vandaag de dag handmatig gebruikt worden zullen worden vervangen door machine-to-machine-systemen. De DTCC en FS-ISAC werken al een paar jaar aan een systeem genaamd Soltra Edge. Dit is een Threat Intelligence-ecosysteem op basis van open standaarden. Kennis wordt zo gebundeld en kan sneller gedeeld worden. Het systeem wint aan momentum, en terecht.
De waarheid is dat er geen echte barrières bestaan als het aankomt op het delen van Threat Intelligence. Een groot aantal partijen in de financiële sector doet dat al en worden zo sterker in de strijd tegen cybercriminaliteit. Als we allemaal informatie delen, staan alle banken sterker. De volgende dreiging is nooit ver weg en die zal ook weer groter zijn. Schouder aan schouder werken is hier het devies!
Dat de banken langzaam maar zeker beseffen dat beveiligen niet alleen zo zeer een zaak is van de combinatie van hard en software, maar ook een zaak van aandacht naar de klanten toe, daarmee zijn ze, toegegeven zeker aardig op weg.
Ik begrijp alleen de koppeling niet zo tussen bank en IoT.
Wijlen Chriet Tietulaer was wat dat betreft een lichtend voorbeeld in die tijd die met ‘dikke’ componenten zijn huis wist om te toveren tot een draadloos bedienbare veste.
Ik lees heel veel publicaties die ‘vernieuwend’ zouden moeten zijn en kom steeds vaker tot de conclusie dat 3/4 gewoon hetzelfde is in een ander gesteven jasje maar in de basis weinig echt nieuw.
Als ik nu dit artikel lees dan kan het niet anders dan dat ik mij verbaas dat men klaarblijkelijk nog steeds niet door heeft hoe men, voordat men zo graag iets wil verkopen, niet gewoon eenvoudig na weet te denken over iets triviaals als ….. Beveiliging en Kwetsbaarheid?
Kom op Nou!
Banken doen toch al meer dan genoeg aan kennisdeling. Handel in voorkennis is nog nooit zo hoog geweest. (Oftewel high frequency trading)