De toename van verfijndere en complexere cyberaanvallen dwingt tot een heroverweging van beschermingsstrategieën. Volgens de Mastercard-analyse over de groei van cybercriminaliteit tijdens de pandemie (cijfers van 2021) zijn financiële instellingen in België het favoriete doelwit van hackers (21%), net na overheidsorganisaties (24%).
Na de Russische inval in Oekraïne verklaarde de Europese Bankautoriteit (EBA) dat de dreiging van het omvallen van Russische, Wit-Russische of Oekraïense banken beperkter was dan de “tweederonde-effecten”, zoals de cyberaanvallen, die de financiële stabiliteit tot ernstige gevolgen kunnen leiden.
Cyberbeveiliging is al jaren een prioriteit voor banken, maar de bezorgdheid neemt nog steeds toe. De misdadigers van vandaag zijn specialisten in het hacken van bankdiensten, voornamelijk geldautomaten met als doel: het stelen van geld, het stelen van waardevolle financiële informatie en het verstoren van de dienstverlening.
Volgens Stefano Cipollone, Business Developement Manager bij Auriga, genereren de aanvallers aanzienlijke inkomsten en daarvoor hanteren ze een gestructureerde aanpak. De hackers werken met trainingsniveaus, coördinatie en financiering die vergelijkbaar zijn met die van een hightech bedrijf. Hierbij is sprake van aanzienlijke budgetten voor onderzoek en ontwikkeling.
Nieuwe risico’s voor de veiligheid van banken
Met de digitalisering van veel bankactiviteiten, het gebruik van geavanceerde technologieën in de kantoren en het gebruik van verbindingen op afstand, zijn er ook veranderingen opgetreden in cyberaanvallen. Deze aanvallen zijn niet meer enkel gericht op bankstructuren, maar nu ook rechtstreeks op hun klanten.
De toename van ransomware-aanvallen is een punt van bijzondere bezorgdheid. Uit een recente onderzoek van cyberbeveiligingsdeskundigen van Unit 42 van Palo Alto Networks blijkt dat de gemiddelde eis voor ransomware met 144% is gestegen tot 2,2 miljoen dollar. Volgens het Hiscox Cyber Readiness 2022-rapport, waarin de cyberbeveiliging binnen bedrijven in acht landen wordt onderzocht, hebben België en Duitsland de meeste ransomware-aanvallen meegemaakt.
Voor hun cyberbeveiligingsstrategie moeten banken nagaan welke invloed nieuwe manieren van werken en bankbeheer hebben op de risicobalans. Sinds de lock-downs, werken bedrijven met hybride thuis/kantoor-werkmodellen, waardoor het risico dat thuiswerkende werknemers de veiligheid onopzettelijk kunnen bedreigen niet te onderschatten zijn.
Ook de sterke toename van het aantal klanten dat online bankiert, brengt risico’s met zich mee, aangezien minder geïnformeerde gebruikers een gemakkelijker doelwit zijn voor online scams of phishing-aanvallen.
De Zero Trust-benadering van de zelfbedieningsterminals
Alle bankterminals, van werkstations tot geldautomaten en ASST’s, zijn kritieke apparaten die essentiële diensten verlenen aan burgers en moeten een permanente beschikbaarheid en betrouwbaarheid van de dienstverlening garanderen.
Daarom veroorzaakt het ontbreken van een proactief upgradebeleid, in combinatie met de fysieke toegankelijkheid van deze apparaten, vanuit beveiligingsoogpunt een inherent kwetsbare omgeving, waardoor selfserviceapparaten zeer moeilijk te beschermen zijn met traditionele beveiligingstechnologieën. Voor de bescherming van een bedrijf moeten er strenge beveiligingsstrategieën vastgesteld worden die voortdurend geëvalueerd worden.
Het komt erop neer dat banken sneller een overzicht moeten hebben van verdachte activiteiten in hun systemen. De beste praktijk bestaat erin deze kritieke systemen en andere onderdelen van de bankinfrastructuur onder te verdelen in een speciale infrastructuur, gescheiden van het bedrijfsnetwerk door een strikt toegangsbeleid dat in de loop van de tijd wordt gecontroleerd en bewaakt. Dit staat bekend als de Zero Trust-benadering, die een van de meest doeltreffende filosofieën voor de beveiliging van kritieke eindpunten blijkt te zijn.
Zero Trust is het minimaliseren van het niveau van impliciet vertrouwen, zodat een systeem niet toegankelijk is en niet kan worden gebruikt wanneer er strenge controles zijn. Dit sleutelbegrip kan worden toegepast op ATM’s en ASST’s, die verschillende softwarelagen hebben: besturingssysteem, softwarelaag van de hardwareleverancier, eventuele multi-vendorlaag, en verschillende instrumenten voor bediening, bewaking, beveiliging, enz. Dit grote aantal lagen creëert kwetsbaarheden die onopzettelijk in de software kunnen binnensluipen.
“De waarde van Zero Trust bij het beveiligen van digitaal bankieren is niet het vertrouwen op de veronderstelde veiligheid van consumentensoftware, maar eerder een door beveiligingsteams uitgevoerd proces van certificering van bronnen en interacties die op basis van zakelijke behoeften als betrouwbaar worden beschouwd”, voegt Cipollone toe.
Door dit model toe te passen, zou het aanvalsoppervlak worden verkleind door alleen acties toe te staan wanneer deze noodzakelijk zijn en als correct zijn gecertificeerd, en door beleidslijnen vast te stellen op basis van de toestand van het apparaat, die meer of minder strikt zijn wanneer geldautomaten in gebruik zijn (en dus fysiek toegankelijk en potentieel kwetsbaar voor cybercriminaliteit), of wanneer zij leeg staan en in onderhoud zijn.
“Een Zero Trust-strategie” moet zich ook uitstrekken tot onderhoudstools en ‑diensten van derden voor deze apparaten, door een monitoringsysteem op te zetten dat op elk moment en op elke plaats de toegangsrechten opvraagt. De technicus van een derde partij die gemachtigd is onderhoud uit te voeren, zal een authenticatieproces moeten ondergaan (bv. met een OTP-code) om de software of hardware van het toestel te kunnen bewerken,” concludeert Cipollone.
