De Britse financiële sector presteert ver boven zijn gewicht. Londen is, na New York, een goede tweede als 's werelds belangrijkste financiële centrum en het land is de 's werelds grootste Netto-exporteur van financiële diensten. Maar dit succes maakt het een aantrekkelijk doelwit voor cybercriminelen en staatsactoren. En ondanks dat het een van de strengst gereguleerde sectoren is, laat de cyberweerbaarheid te wensen over.

De aanhoudende kosten voor de economie als gevolg van cyberaanvallen op de sector, en het spookbeeld van een systemisch incident, zijn de reden waarom de Bank of England (BoE) een penetratietestprogramma genaamd CBEST blijft uitvoeren. Helaas is het laatste rapport benadrukt dat de sector nog een lange weg te gaan heeft.

Wat het rapport vond

Het doel van CBEST is het simuleren van aanvallen die banken en andere bedrijven in de financiële sector in de praktijk zouden kunnen ondervinden – door geavanceerde criminele groepen, staatsactoren en kwaadwillende medewerkers. Deze inspanningen richten zich op compromittering van externe leveranciers, social engineering en interne activiteiten, omdat dit de gebieden zijn waar de sector de meeste moeite mee heeft. Zero-day exploits, aangepaste malware, AI-gestuurde automatisering en precieze targeting worden allemaal gebruikt in deze red team-assessments – in aanvallen die einddoelen simuleren zoals cyberespionage, financieel gewin en sabotage.

Wat waren de bevindingen van de Bank of England?

  • Inconsistent geconfigureerde en onvoldoende beveiligde/gepatchte systemen
  • Het ontbreken van versleuteling voor data in rust, inclusief geprivilegieerde inloggegevens.
  • Zwakke identiteits- en toegangsbeheermaatregelen (waaronder zwakke wachtwoorden en/of onveilige wachtwoordopslag)
  • Te soepele toegangscontroles
  • Ondermaatse detectie en respons (bijv. "slecht afgestelde" EDR)
  • Ineffectieve verkeersmonitoring/inspectie (waardoor aanvallers zich kunnen verbergen in legitiem verkeer)
  • Ineffectieve netwerksegmentatie (bijvoorbeeld tussen ontwikkel- en productieomgevingen) vergroot de potentiële impact van aanvallen.
  • Personeel dat vatbaar is voor directe en indirecte sociale manipulatie
  • Medewerkers slaan routinematig inloggegevens op in onbeveiligde omgevingen (bijvoorbeeld open bestandsmappen).
  • Onveilige helpdeskprotocollen die hackers in staat stellen hun social engineering-aanvallen te versterken.

Het rapport merkte ook op dat de dreigingsinformatie van organisaties tekortschoot op het gebied van "strategische planning, het definiëren van vereisten, het opzetten van governancekaders en het in kaart brengen van capaciteiten op de lange termijn". Dit heeft geleid tot een kloof tussen de informatie die financiële dienstverleners verzamelen en hun daadwerkelijke bedrijfs- en operationele behoeften. Dit betekent dat het opschalen en/of verder ontwikkelen van deze programma's een uitdaging vormt, aldus de Bank of England.

Waarom het uitmaakt

De tactieken, technieken en procedures (TTP's) die door de penetratietesters van CBEST werden ingezet, zijn niet zonder reden gekozen. Ze weerspiegelen het soort bedreigingen waarmee financiële instellingen dagelijks of wekelijks te maken hebben. In een deel van het rapport waarschuwde het National Cyber ​​Security Centre (NCSC) dat het Scattered Spider-collectief erom bekend staat IT-helpdeskmedewerkers via social engineering te benaderen om bijvoorbeeld wachtwoorden en MFA-tokens te resetten. Men vermoedt dat ze dit hebben gedaan tijdens... de ransomware-aanvallen op M&S en de Co-Op-groep.

Daarnaast werd de Chinese APT-groep Volt Typhoon genoemd, die grote delen van de VS heeft gecompromitteerd. kritieke nationale infrastructuur Netwerken met verborgen aanvallen. Betere netwerkmonitoring en -segmentatie zouden hebben geholpen om deze pogingen aan het licht te brengen en de impact van de aanvallen te beperken, aldus het NCSC.

Financiële dienstverleners zouden CBEST niet alleen moeten zien als een belangrijke basis voor het opbouwen van weerbaarheid tegen daadwerkelijke aanvallen. Veel bedrijven zullen ook hun beveiligingsniveau moeten verbeteren in het licht van de EU-richtlijnen. Wet digitale operationele veerkracht (DORA), die strikte nieuwe eisen stelt aan de gehele toeleveringsketen in de banksector. Toeleveringsketens vormen een bijzonder risico. Een het rapport uit 2025 beweerde Dat 58% van de grote financiële dienstverleners het afgelopen jaar minstens één aanval door een derde partij heeft ondergaan, waarbij een vijfde (23%) zelfs drie of meer keer het doelwit was.

Wat gebeurt er nu?

In het voorwoord van het rapport drongen de Bank of England en de toezichthouders, de Financial Conduct Authority (FCA) en de Prudential Regulation Authority (PRA), er bij organisaties in de sector op aan om de "onderliggende oorzaken" van risico's aan te pakken in plaats van tijdelijke oplossingen te bieden. Dat betekent een technische en culturele aanpak, die preventie, detectie en respons omvat.

Concreet willen de BoE/FCA/PRA dat organisaties in de sector het volgende zien:

  • Het patchen en configureren van kritieke applicaties en besturingssystemen.
  • Het versterken van het beheer van inloggegevens, het afdwingen van sterke wachtwoorden, het gebruik van MFA en het segmenteren van netwerken.
  • Het garanderen van vroegtijdige detectie en effectieve monitoring om de impact van aanvallen te verminderen.
  • Het implementeren van risicogebaseerde herstelplannen in samenwerking met risicomanagers en interne auditors.

Daarnaast wil het NCSC verbeteringen zien in de training van medewerkers, met name in het licht van door AI gegenereerde phishingaanvallen, om een ​​positieve beveiligingscultuur te bevorderen. Het wil ook een strenger beheer van geprivilegieerde accounts (PAM) volgens de beste praktijken. En nauwer toezicht op bedrijfsmiddelen, met name verouderde IT-systemen, mede om de overgang naar post-kwantumcryptografie (PQC) te vergemakkelijken.

Netwerksegmentatie, het beveiligen van apparaten en continue monitoring moeten allemaal worden ingezet als onderdeel van een zero-trust-benadering van beveiliging, aldus het rapport. Uitgebreide logboekregistratie en incidentresponsprocessen kunnen de veerkracht van monitoring- en detectiemogelijkheden verbeteren. Threat hunting biedt belangrijke extra inzichten om meer geavanceerde kwaadaardige activiteiten te ontdekken, concludeerde het NCSC.

Aan de slag

Waar moeten financiële dienstverleners dan beginnen? Carl Hunt, directeur van Beyond Blue, stelt dat detectie een goed startpunt is.

"Dit omvat het verbeteren van endpointdetectie en -respons, maar ook het correleren van gebeurtenissen binnen de waarschijnlijke aanvalspaden van hun organisatie om afwijkend gedrag te detecteren", vertelt hij aan IO (voorheen ISMS.online). "Om dit te doen, is een goed begrip van kritieke bedrijfsmiddelen, aanvalspaden en effectieve afstemming van detectieregels vereist."

Het menselijke aspect van de respons is een andere cruciale factor die beveiligingsteams vaak over het hoofd zien.

“CISO’s moeten in staat zijn een aanval tijdig te isoleren, wat de zakelijke context vereist om de nodige beslissingen te nemen. Dit is met name een uitdaging wanneer de beveiligingsactiviteiten zijn uitbesteed”, vervolgt Hunt. “Het is belangrijk te onthouden dat aanvallers in een echte aanval snel te werk gaan om hun doelen te bereiken, in tegenstelling tot een meer gecontroleerde aanpak zoals bij een gesimuleerde oefening zoals CBEST. Een snelle reactie is cruciaal om de impact te beperken.”

Hij wijst op netwerksegmentatie als even cruciaal om de impact van aanvallen te beperken. "Dit vormt ook de basis voor herstelstrategieën, doordat IT en netwerken worden gekoppeld aan essentiële bedrijfsfuncties. Hierdoor kan een aanval effectief worden ingedamd en uiteindelijk volledig worden uitgeschakeld", aldus Hunt.

Het goede nieuws is dat standaarden zoals ISO 27001 organisaties kunnen helpen de basis te leggen om deze best practices te versnellen. En om de risicogebaseerde aanpak van cyberbeveiliging te realiseren die toezichthouders steeds vaker verwachten, gebaseerd op een cultuur van continue verbetering.