De komst van nieuwe regels en standaarden verplicht organisaties, waaronder financiële instellingen, meer dan ooit om in te zetten op de beveiliging van hun platformen en applicaties. Hieronder een lijst met trends en voorspellingen voor dit jaar.
- Strengere regelgeving geeft aanzet tot initiatieven voor bestrijding van datalekken
Sinds enkele jaren wordt elk nieuw jaar ‘het jaar van de datalekken’ genoemd. Deze trend zal vooralsnog onveranderd blijven en de noodzakelijke initiatieven voor de aanpak van datalekken, en simpelweg niet alleen het naleven van de regels, zullen essentieel worden om de gegevens volledig te begrijpen.
Aangezien het aantal en de ernst van datalekken blijven toenemen, is het van het belang dat organisaties op tijd reageren. Regelgeving zoals GDPR verplicht organisaties om onmiddellijk te reageren en inbreuken op persoonsgegevens te melden. Zes maanden na de inwerkingtreding van GDPR lijkt het ‘normaal’ dat de termijn van 72 uur voor het melden van datalekken niet wordt gehaald. En dat terwijl er toch boetes van maximaal tien miljoen euro of twee procent van de wereldwijde jaaromzet zijn op te leggen. Nu steeds meer landen strenge wetgeving op het gebied van gegevensbescherming aannemen, is het verrassend te zien dat veel organisaties nog steeds onvoldoende zijn toegerust om te reageren op een datalek. Naarmate de omvang van datalekken blijft toenemen, zullen ook de kosten voor de afhandeling van de nasleep ervan toenemen, met inbegrip van de opgelegde boetes voor het niet tijdig opsporen van en reageren op incidenten. Organisaties zullen zich met meer middelen moeten voorbereiden op een mogelijk datalek.
- Open bancaire standaarden en nieuwe technologieën jagen innovatie in de financiële dienstverlening aan
Een van de belangrijkste trends die we in 2019 zullen zien, is de wereldwijde adoptie van open banking, vooral in de Europese Unie, het Verenigd Koninkrijk, en Azië-Pacific. Open banking stelt third-party payment service providers (TPP’s) in staat consumentengegevens over hun financiële geschiedenis te verkrijgen van banken en rechtstreekse betalingen te initiëren via bankrekeningen. Als zodanig hebben TPP’s de mogelijkheid om innovatieve financiële dienstenoplossingen voor consumenten en ondernemingen te ontwikkelen, zoals toepassingen voor het samenvoegen van rekeningen en nieuwe betalingsmethoden rond api’s die door banken worden aangeboden. Dit zou moeten leiden tot meer uiteenlopende betalingsmechanismen, met lagere kosten en meer gebruikersgemak.
In het kader van open banking ontstaan veel discussies over het gemak van het authenticatieproces. Wanneer de gebruiker toegang wil krijgen tot een bankrekeningapplicatie via de toepassing van een TPP, moet de gebruiker worden geauthenticeerd door de bank en moet de authenticatiestroom worden geïntegreerd in de toepassing van de TPP. De authenticatie moet gebeuren op een veilige manier die tegelijkertijd handig is voor de gebruiker, anders zullen gebruikers de TPP-toepassingen absoluut niet adopteren. Er is nog steeds veel discussie tussen financiële instellingen, TPP’s en toezichthouders over hoe deze authenticatie kan gebeuren. Er worden verschillende benaderingen (embedded, redirection, decoupled) op tafel gelegd. Deze discussie zal vooral plaatsvinden in de Europese Unie, aangezien financiële instellingen tegen september 2019 open bank-api’s moeten aanbieden, in overeenstemming met het tijdschema dat is vastgelegd in de technische reguleringsnormen van PSD2.
- Macht consument dwingt banken en financiële instellingen tot betere veiligheid en ervaringen
Het meest waardevolle bezit van een financiële instelling is de klant. In 2019 wordt intelligente authenticatie een noodzaak voor financiële instellingen om betere ervaringen op te doen, de kosten te verlagen, de risico’s te verminderen en de inkomsten te verhogen – en dit alles zorgt voor een concurrentievoordeel.
Consumenten willen de beveiliging niet meer zien of ervoor betalen, ze verwachten het gewoon. Vandaag de dag zijn banken en financiële instellingen al op zoek naar manieren om de online- en mobiele transacties van hun klanten te vereenvoudigen en tegelijkertijd te beveiligen. Dit begint met het gebruik van adaptieve authenticatie en controle binnen hun platformen en infrastructuur. De volgende stap is volledige en continue intelligente authenticatie die misstappen voorkomt, zoals het tegenhouden van een gebruiker bij de voordeur tijdens het inloggen, of het vragen van gebruikers om dezelfde handeling te verrichten ongeacht het potentiële risico dat aan de transactie verbonden is. Klanten verwachten dat hun bankapplicaties beveiligd zijn vanaf het moment dat ze de applicatie downloaden. Door het dagelijks gebruik van de applicatie en het gebruik van nieuwe functies en producten hebben banken en financiële instellingen geen andere keuze dan hun core-systemen en technologieën zoals alledaagse bankapps te versterken met slimme technologie die garant staat voor het juiste niveau van authenticatie op het juiste moment.
- DevSecOps zal een belangrijke rol spelen in enterprise security applications
De rol van DevOps en DevSecOps is verder geëvolueerd dan slechts het beschermen van apps voor consumenten en onderzoekt nu hoe interne bedrijfsapplicaties, zoals de single sign-on-applicaties van een organisatie, zijn te beschermen. We zullen zien dat DevSecOps gebruik zal maken van intelligente authenticatietechnologie om de potentiële risico’s verbonden aan de applicatieplatforms van werknemers te beschermen en te vereenvoudigen. Met ongeveer dertig procent van alle aanvallen die het gevolg zijn van een kwetsbaarheid in de applicatie-laag, zullen organisaties een volwassen, veilig software ontwikkelingsproces moeten invoeren dat verder gaat dan alleen maar scannen en het verhelpen van beveiligingsfouten. Geavanceerde technologieën zoals intelligente authenticatie zorgen voor de juiste werknemers, gebruiken het juiste niveau van authenticatie op het juiste moment, zijn de sleutel tot een succesvolle beveiligingsinfrastructuur en voorkomen toekomstige kwetsbaarheden in de organisatie. We zullen de rol van DevSecOps volledig ingebed zien in enterprise security-teams en volgend jaar zullen we zien dat deze teams snel groeien binnen organisaties om enterprise-applicaties te beschermen.
- Het beveiligen van het gsm-kanaal zal een riskante onderneming blijven; overlay- en phishing-aanvallen, malwarebedreigingen voor mobiele apps worden gevaarlijker
2019 zal waarschijnlijk een nog rooskleurigere toekomst voor de ontwikkeling van mobiele apps met zich meebrengen. Hoewel het niets nieuws is voor de app-wereld, zijn spraakmakende bedrijven aangevallen en zijn gebruikers meer dan ooit bezorgd om privacy.
Nieuwe en oude aanvallen op mobiele apparaten en toepassingen lijken dagelijks te verschijnen, maar financiële instellingen en organisaties ondernemen nog steeds geen proactieve stappen om de apps van de gebruiker op hun apparaten te beschermen. Verwacht dat sommige van de beste koppen in de industrie harder zullen werken om de beste bescherming te bieden tegen hacking en phishing-aanvallen om deze prangende zorg te beteugelen. In 2019 zal applicatiebeveiliging een belangrijke rol blijven spelen bij de bescherming van mobiele applicaties. De afscherming van mobiele apps kan elke manipulatie met een mobiele app detecteren en beperken om de kwaadaardige code te stoppen voordat deze schade kan veroorzaken.
Daarnaast zien we een aantal van de engste bedreigingen in mobiele aanvallen, phishing-aanvallen en mobiele app-bedreigingen alleen maar gevaarlijker worden. Studies tonen aan dat gebruikers drie keer meer kans lopen om te worden getroffen door phishing-aanvallen via mobiele apparaten dan via andere manieren en we zullen deze trend in 2019 zien oplaaien. Ransomware-aanvallen op mobiele apparaten zullen ook blijven toenemen, evenals een toename van het aantal code-injectieaanvallen. Deze multi-payload-aanvallen zullen in 2019 een van de engste bedreigingen zijn en helaas zijn ze voor iedereen ook nog eens gemakkelijk te ontwikkelen.
Goed stuk leesvoer, en helemaal waar.
Eén van de zaken is dat “bankapplicaties” pas op “devices” werken als ze zijn bekendgemaakt en wederzijds zijn geautoriseerd.
Kortom hoe krijgt de beheerafdeling controle over de endpoints waarop de bedrijfsgevoelige data ontsloten mag worden?
Dit kan je alleen maar bewerkstelligen door te weten welke endpoints, toegang mogen hebben, waar deze zich bevinden en wie ervoor geautoriseerd is.
Hiervoor zal je dus veel conditionele en contextuele informatie moeten vergaren van de op dat moment geldende situatie alvorens toegang te verlenen.
Gelukkig is daar een mooie oplossing voor!
Marcel Mayer