Hoe financiële dienstverleners moeten reageren op een cyberdreigingswaarschuwing van het IMF ISMS.online

Hoe financiële dienstverleners moeten reageren op een cyberdreigingswaarschuwing van het IMF

Door Phil Muncaster • 16 May 2024

Financiële dienstverleners zijn al lange tijd een doelwit voor dreigingsactoren. Of het nu gaat om financieel gemotiveerde groepen die op zoek zijn naar persoonlijke en financiële informatie van klanten om deze op het dark web te verkopen, of om nationale actoren die kritieke infrastructuur willen ontwrichten: de bedreigingen zijn inmiddels goed gedocumenteerd. Maar dat betekent niet dat ze met succes worden beheerd. Banken hebben misschien meer geld dan de meeste andere banken om aan cyberbeveiliging te besteden, maar ze vormen ook een groter doelwit.

Dat is de reden waarom de industrie acht moet slaan op een recente waarschuwing van de Amerikaanse regering Internationaal Monetair Fonds (IMF) dat de kans op een catastrofale aanval met systemische gevolgen de afgelopen jaren is toegenomen. Er wordt beweerd dat de sector de afgelopen twintig jaar 12 miljard dollar heeft verloren door cyberaanvallen. Gelukkig kan er genoeg worden gedaan om de basisbeveiliging te verbeteren.

Wat zei het IMF?

De zorg is dat de zaken onzekerder worden, omdat digitale investeringen het oppervlak van cyberaanvallen vergroten en goed uitgeruste dreigingsactoren hiervan profiteren. Het IMF waarschuwt dat de “extreme verliezen” in de financiële dienstensector sinds 2017 meer dan verviervoudigd zijn tot 2.5 miljard dollar. De toenemende geopolitieke spanningen en een groeiende afhankelijkheid van externe leveranciers vergroten de risicoblootstelling van veel organisaties, voegt het rapport eraan toe.

De grootste zorg van het fonds is dat cyberveiligheidsincidenten overslaan van één enkele instelling en het hele mondiale financiële systeem bedreigen – waardoor het vertrouwen van de klant wordt aangetast en/of kritieke diensten worden ontwricht. Ernstige inbreuken op de cyberbeveiliging kunnen zelfs tot bankruns leiden, waarschuwt het rapport.

Dit staat al een tijdje op de radar van toezichthouders. Daarom heeft de EU de Wet digitale operationele veerkracht (DORA), wat gevolgen heeft voor entiteiten en hun IT-leveranciers die in de regio actief zijn. Verschillende van de door het IMF voorgestelde stappen om de cyberweerbaarheid in de sector te verbeteren, overlappen zelfs met de vereisten van de EU-regelgeving. Zij zijn:

Beoordeelt regelmatig het cyberbeveiligingslandschap en identificeert mogelijke systeemrisico's, ook van externe leveranciers
Verbeter het cyberbeheer, inclusief toegang op bestuursniveau tot expertise op het gebied van cyberbeveiliging
Verbeter de cyberhygiëne door middel van best practices uit de sector
Geef prioriteit aan datarapportage en het delen van informatie om de collectieve paraatheid te vergroten
Ontwikkelen en testen van incidentrespons- en herstelprocessen

Ian Harragan, medeoprichter van i-confidential, stelt dat governance van cruciaal belang is.

“Goed beveiligingsbeheer helpt de koers van een organisatie te bepalen en ervoor te zorgen dat haar doelstellingen worden bereikt. Een belangrijk aspect van governance heeft betrekking op de respons op incidenten. Financiële dienstverleners begrijpen dat ze een doelwit zijn voor tegenstanders, dus hoe kunnen ze de schade beperken die wordt veroorzaakt door succesvolle inbreuken?” vertelt hij aan ISMS.online.

“Dit kan worden bereikt door middel van goed geteste incidentresponsplannen, waarin wordt uiteengezet hoe verschillende cyberscenario’s een organisatie kunnen beïnvloeden, en vervolgens richtlijnen worden gegeven over hoe te herstellen van het incident. Dit zou zowel aanvallen op hun eigen infrastructuur als op leveranciers moeten omvatten.”

De toeleveringsketen IS een cruciale risicofactor

Andere experts van ISMS.online spraken ook om de potentiële veiligheidslacunes in de toeleveringsketens van de banken te benadrukken. Hoe goed de beveiliging van een financiële instelling zelf ook is, deze kan nog steeds worden doorbroken via een doelgerichte aanval op een leverancier, of zelfs via de toeleveringsketen van hun software. Voorbeelden zijn niet moeilijk te vinden. A datalek bij dienstverlener IMS van Bank of America in november 2023 leidde tot het compromitteren van persoonlijke informatie van 57,000 klanten. En de beruchte MOVEit-campagne heeft tientallen banken in de val gelokt die de populaire software voor bestandsoverdracht gebruikten, waaronder Flagstar-bank, waarbij gegevens van meer dan 800,000 klanten werden gestolen.

Dan Potter, senior directeur operationele veerkracht bij Immersive Labs, stelt dat financiële instellingen, omdat ze hebben geprobeerd tegemoet te komen aan de vraag van klanten naar meer gestroomlijnde ervaringen, onbewust zwakke punten hebben gecreëerd. Om deze aan te pakken wordt nauwere samenwerking met leveranciers steeds belangrijker, zegt hij.

“Snelheid is nu alles voor klanten, en financiële organisaties moeten voortdurend innoveren en probleemloze, digitale ervaringen creëren. Tegelijkertijd wordt van financiële instellingen ook verwacht dat ze het hoogste niveau van beveiliging en gegevensbescherming bieden en tegelijkertijd voldoen aan steeds hogere regelgevings- en compliancenormen”, vertelt Potter aan ISMS.online.

“Als een enkele externe leverancier, die meerdere banken ondersteunt bij het leveren van kritieke diensten, wordt getroffen door een cyberaanval, kan dit chaos veroorzaken op de financiële markten. Daarom moet de gevestigde samenwerking binnen de financiële dienstensector zich nu uitbreiden naar de toeleveringsketen, en in het bijzonder naar de grote technologiebedrijven.”

Sylvain Cortes, VP strategie bij Hackuity, is pessimistisch over het vermogen van financiële dienstverleners om de risico's die hun softwaretoeleveringsketens doordringen effectief te beheren.

“Een zeer recent voorbeeld, de xz Utils-backdoor, laat zien dat het gebruik van open source-software in een productiesysteem voordelen kan hebben, maar ook risico’s – stel je voor dat een backdoor in bijna elk Linux-systeem wereldwijd wordt geïntroduceerd?” vertelt hij aan ISMS.online.

“Helaas is het inschatten en afdekken van risico’s van derden uiterst complex, zo niet onmogelijk in sommige gevallen. In het geval van xz Utils zou dit alle Linux-gebruikersorganisaties nodig hebben gehad om de volledige Linux-codebase te beoordelen en analyseren, wat praktisch onhaalbaar is.”

Er is hier een potentiële rol weggelegd voor het IMF zelf bij het bijeenbrengen van de inspanningen van de overheid om het delen van informatie en onderzoek op dit gebied te stimuleren, ten behoeve van mondiale financiële dienstverleners, voegt hij eraan toe.

Beste praktijken effenen de weg naar DORA

Een van de belangrijkste aanbevelingen van het IMF is het verbeteren van de cyberhygiëne door middel van beste praktijken. Dit is waar naleving van gevestigde normen een nuttige rol kan spelen, betoogt Harragan van i-confidential.

“Industriële standaarden, zoals ISO 27001 of NIST, bieden een vertrouwd raamwerk voor financiële dienstverleners om hun cyberbeveiligingsfundamenten te vestigen, zoals de belangrijkste controles die ze moeten hebben, en helpen hen bij het prioriteren van hun lopende activiteiten”, legt hij uit.

“De meeste financiële dienstverleners zullen echter meerdere standaarden gebruiken, van verticaal tot cyberspecifiek, in plaats van zich slechts op één standaard te concentreren. Hierdoor kunnen zij hun inspanningen afstemmen op hun eigen omstandigheden. Het kiezen van een gemengde benadering van best practices op het gebied van cyberbeveiliging verbetert uiteindelijk hun algehele veerkracht.”

Rapportage is ook belangrijk omdat financiële dienstverleners hierdoor de zekerheid kunnen krijgen dat ze de beveiliging nauwkeurig meten en hun programma's kunnen afstemmen op het grootste risico, voegt Harragan toe. Het kiezen van de juiste statistieken is hierbij van cruciaal belang.

“Met behulp van meetgegevens kunnen organisaties hun beveiligingsinspanningen systematisch beoordelen, zodat ze kunnen begrijpen waar ze momenteel staan in termen van effectiviteit, en vervolgens doelen kunnen stellen voor waar ze in de toekomst willen staan”, vervolgt Harragan. “Maar om een effectief meetprogramma te kunnen leveren, moeten organisaties meten wat ze moeten meten, en niet alleen wat ze kunnen.”

Bovenal zullen de banken die in de EU actief zijn, hun DORA-complianceprogramma's vóór de deadline van januari 2025 op orde moeten hebben. Het IMF-rapport zal de CISO's in de sector hopelijk niet vertellen wat ze nog niet weten. Maar het zou hen kunnen helpen een sterk pleidooi te houden voor het bestuur.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster