Zoeken

Cybercrime, een aanzienlijk risico voor banksystemen

Cybersecurity is een belangrijke investering geworden voor de bank- en financiële sector.

Banken: investeren om cyberdreigingen aan te pakken

In 2019 verklaarde Jamie Dimon, CEO van J.P. Morgan Chase & Co., dat "de dreiging van cyberveiligheid heel goed de grootste bedreiging kan zijn voor het Amerikaanse financiële systeem. Volgens CNBC, besteedt het Amerikaanse bedrijf bijna 600 miljoen dollar per jaar om haar cyber verdediging te versterken en aan omgaan met  "een constante stroom van aanvallen".

Een aanzienlijke investering die ook kan worden gerechtvaardigd door het feit dat J.P. Morgan Chase & Co. in 2013 het slachtoffer was van een aanzienlijk datalek. Volgens Forbes, meldde het bedrijf in 2014 dat 76 miljoen huishoudens - het equivalent van 65% van alle Amerikaanse huishoudens - en 7 miljoen kleine bedrijven waren gecompromitteerd in de cyberaanval tegen het bedrijf.

Dit verhaal is helaas geen op zichzelf staand geval. In de editie van 2020 van haar Risk Mapping Report identificeert de Europese Centrale Bank (ECB) de belangrijkste risicofactoren waarmee het banksysteem voor de eurozone naar verwachting in de komende drie jaar zal worden geconfronteerd.

Risk Mapping, 2020 Bron: ECB

Zoals blijkt uit het bovenstaande diagram van de ECB behoren cybercriminaliteit en computerincidenten tot de grootste risico's van het banksysteem.

Deze risico's worden aanzienlijk versterkt door:

  • de voortdurende digitalisering van de financiële diensten;
  • de veroudering van bepaalde bankinformatiesystemen (I.S.) ;
  • koppeling met I.S. van derden en, bij uitbreiding, migratie naar de cloud.

Banksector: IT-systemen die soms verouderd zijn, maar altijd met elkaar verbonden zijn

De banksector presenteert specifieke kenmerken die van cyberaanvallen een zeer ernstige zaak maken, zowel in termen van optreden als de potentiële ernst van de effecten. Gegevensbeveiliging is een grote uitdaging voor de financiële sector, die een cruciale rol speelt in het algehele functioneren van de economie. Een aanval op een bankinstelling kan inderdaad schadelijke gevolgen hebben voor de dagelijkse activiteiten van een heel land of zelfs een regio van de wereld.

De huidige bankinstellingen vertrouwen volledig op I.T.-systemen. Dit is hoe ze al heel vroeg begonnen met het automatiseren van hun zakelijke activiteiten. Toch zijn we zelfs vandaag de dag verbaasd om te zien dat sommige informatiesystemen oud en slecht aangepast blijven om het hoofd te bieden aan de bedreigingen die banken treffen, en in het bijzonder APT (Advanced Persistent Threats), waaraan we hieronder een paragraaf wijden.

In een recente nota schrijft de ECB dat de meeste veiligheidsproblemen het gevolg zijn van het niet toepassen van risicodetectieregels. In sommige gevallen worden softwarepatches, die het afweersysteem bijwerken tegen nieuwe kwetsbaarheden, simpelweg niet geïnstalleerd. In ditzelfde perspectief heeft Immunize externe webapplicaties, API's en mobiele applicaties bestudeerd uit de S&P Global-lijst (waarin 's werelds grootste financiële organisaties uit 22 landen worden genoemd). Immunize stelde met name vast dat 92% van de mobiele banktoepassingen ten minste één beveiligingslek met een gemiddeld risico bevat. Nog zorgwekkender, 100% van de banken hebben beveiligingsproblemen of problemen in verband met vergeten subdomeinen.

Informatiesystemen in de financiële sector zijn ook vaak gebaseerd op meerdere, gedecentraliseerde systemen binnen breed verbonden groepen, die veel informatie uitwisselen met de buitenwereld, met name voor het doen van online betalingen.

Deze kenmerken zijn niet afhankelijk van klassieke bescherming, zoals bescherming gecentreerd op de interne I.S. De bankcontext vereist de intensieve ontwikkeling van meer geavanceerde beschermings- en aanvalsdetectiemechanismen. Omdat cyberaanvallen legio zijn.

Welke cyberaanvallen worden gericht op de bank- en financiële sector?

Cyberaanvallen tegen banken: phishing en DDoS

Volgens de Security Navigator, ons jaarverslag, wordt er in de financiële sector een groter aantal van de bevestigde social engineering incidenten waargenomen, dan de meerderheid van de andere sectoren, met name phishing incidenten.

In 2020 ontdekten onze experts ook een opvallend feit: geen enkele andere sector heeft zoveel DDoS-aanvallen gepresenteerd. Fraude door diefstal of manipulatie van bankgegevens is dus niet langer het enige doel van aanvallers. Een ander doel is om de bank te schaden door haar reputatie te beschadigen. De motivaties van aanvallers zijn niet langer beperkt tot de verleiding van winst.

Opgemerkt moet worden dat spionage, die kan worden beoefend door een concurrent of een buitenlandse economische macht, ook toeneemt.

Banksector aanzienlijk  getroffen door APTs

De bovengenoemde aanval technieken zijn niet de enigen die worden gebruikt door cybercriminelen. In het bijzonder zijn banken het doelwit van Advanced Persistent Threats (APTs). Deze geavanceerde en heimelijke bedreigingen combineren geavanceerde inbraak- en spoofingtechnieken om hackers toegang te geven tot accountbeheertoepassingen, zoals cashmanagement in distributiekanalen of massale betalingsstromen.

Ter illustratie, de APT type cyberaanval die ongetwijfeld de meeste inkt heeft gemaakt, gezien de hoogte van het gestolen bedrag (tussen 800 miljoen en 1 miljard dollar volgens het Economisch en Financieel Agentschap), is dat van de zaak Carbanak uit februari 2015. "Carbanak" is de naam die is gegeven aan de malware die is gebruikt door een groep hackers om te spioneren op de infrastructuur en gegevens van werknemers van honderd Russische, Japanse, Amerikaanse en Europese banken. Kapersky Lab ontdekte dat de inbraak techniek was gebaseerd op phishing en social engineering. Het verzenden van frauduleuze e-mails met een met malware geïnfecteerde bijlage gaf toegang tot het interne netwerk van de banken en de benodigde autorisaties voor geldoverboekingen. De malware installeerde discreet een externe beheerhulpmiddel voor toegang tot screenshots en werknemerswachtwoorden.

Conclusie

Tussen februari en april 2020, is er een "verdrievoudiging van cyberaanvallen (+238%) tegen financiële instellingen over de hele wereld" waargenomen door VMware Carbon Black. Een belangrijk cijfer toont de urgentie aan voor bankinstellingen om zich te beschermen tegen talrijke en geavanceerde aanvallen.

Om de risico's van de financiële sector effectief aan te pakken, wordt aanbevolen een alomvattende aanpak te volgen, ook derden, aangezien de bescherming van alleen banken zelf niet voldoende is. Naleving van de bestaande regelgeving is ook de eerste en belangrijkste stap in de richting van adequate bescherming.

Een analyse door Ibrahima Sene, cybersecurity consultant bij Orange Cyberdefense France.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11