Banken digitaliseren – op een veilige manier

De hele samenleving digitaliseert in hoog tempo. Banken doen enthousiast aan deze trend mee, maar worden daarbij wel geconfronteerd met een extra complicatie: zij liggen voortdurend onder een vergrootglas en ieder foutje wordt in de publieke opinie direct afgestraft. Bovendien is zo’n foutje snel gemaakt, zonder dat banken dat altijd snel in de gaten hebben. Daarom is voor banken het motto vooral: in hoog tempo digitaliseren, maar dan wel met nog grotere aandacht voor veiligheid.

Cloudoplossingen geven de meeste bedrijven de flexibiliteit die nodig is om de moderne hybride werkomgeving te beheren. Dat geldt ook voor banken en fintechs. De meeste banken volgen nu de rest van de samenleving in de grote cloud migratie. Maar de reden waarom het tijd kostte voor banken om in de cloud te stappen, heeft te maken met zowel een vaak verouderde IT-infrastructuur die een cloud-migratie moeilijk maakt, als met de beveiligingsuitdagingen die in de cloud vastgelegde data met zich meebrengen.

Waar zit die data?

Het probleem met het verplaatsen van de data van een bank naar de cloud is dat je het zicht op je gegevens kunt verliezen. IT-afdelingen van banken kunnen moeilijker zien welke cloud-data door de organisatie wordt gedeeld. In vergelijking met lokaal opgeslagen data vergt het veel extra werk om te zien wat er met de data gebeurt – en hoe je ze kunt beveiligen. Dit is een uitdaging omdat de verantwoordelijkheid voor de data bij de bank ligt, en niet bij de cloud provider. Cloud biedt veel voordelen, maar confronteert cybersecurity managers wel met de uitdaging om alle gegevens te beveiligen op alle apparaten die met de cloud verbonden zijn. Aangezien beveiliging voor banken prioriteit nummer één is, levert dit veel extra werk op – ook in een hybride IT-infrastructuur.

Fintechs hebben meer zicht op hun data

De uitdagingen die voor banken gelden, zijn er ook voor nieuwe fintech-bedrijven waarvan men wel eens zegt dat ze in de cloud geboren zijn. Zij hebben geen oude IT-architectuur mee te zeulen, maar kunnen vanaf het begin bouwen wat ze willen. Daarom is de belangrijkste prioriteit voor deze bedrijven dat zij vanaf dag één zorgen voor een uitstekende zichtbaarheid van hun data. Zichtbaarheid is met andere woorden ingebouwd in hun oplossing.

In feite begint het probleem van banken dus al voor ze naar de cloud migreren, omdat ze ook on-premise soms al geen optimaal zicht hadden op hun data. Het is belangrijk dat ze zich bewust zijn van deze problematiek en deze proberen op te lossen voor ze de data migreren naar de cloud. Net zoals ze zich er bewust van moeten zijn dat je de verantwoordelijkheid voor workloads niet uitbesteedt als je deze naar de cloud migreert. De bank blijft altijd zelf verantwoordelijk voor haar data.

Banken moeten hun software registreren

Bij de cyberaanvallen van de afgelopen jaren hebben we gezien dat cybercriminelen misbruik maakten van de toeleveringsketens van organisaties. Wat we daarvan kunnen leren, is dat banken moeten beginnen met het inventariseren van alle software die zij gebruiken – en vooral ook van de verschillende onderdelen en componenten waaruit die software is opgebouwd. Hackers die toegang krijgen tot de gegevens van banken door via een van de softwareleveranciers binnen te komen, mogen geen risico meer vormen. Dit zal een uitdaging zijn, omdat banken doorgaans geen toegang hebben tot informatie over software die door externe leveranciers is gemaakt. Het kan ook lastig zijn om toegang te krijgen tot deze informatie zonder dat de leveranciers in de weg staan en zich beroepen op hun eigendomsrechten.

Toch zal de grip van banken op hun software moeten verbeteren. De eerste stap die je daartoe kunt zetten, is om in ieder geval de componenten van alle bedrijfseigen software op een rijtje te zetten. Als banken dat doen, kunnen ze zwakheden – denk aan Log4j – veel sneller aanpakken. In de VS zijn veel bedrijven al begonnen met het inventariseren en labelen van open source en andere code inclusief informatie over de componenten waarvan deze gebruik maken, ook wel ‘Software Bill of Materials’ (SBOM) genoemd. Deze methode zou verplicht moeten worden voor alle banken wereldwijd.

Ingrediënten op ‘de verpakking’ vermelden?

Maar controle over alleen intern ontwikkelde software is echter niet voldoende. Als externe leveranciers van programmatuur deze controle in de weg staan, heeft de bank nog steeds een probleem met haar zicht op data. Bovendien kun je dan een aanval via een softwarecomponent nog steeds niet goed pareren. Daarom zouden de bank- en financiële sector de handen ineen moeten slaan en met een regelgevend kader moeten komen dat externe leveranciers dwingt de componenten waaruit hun software is opgebouwd te melden. Op dezelfde manier dus waarop banken hun klanten dwingen informatie te delen om zich te beschermen tegen het gebruik voor het witwassen van geld of de financiering van terroristische organisaties (know your customer – KYC). Als je dit als bank niet kunt, zou je ook geen onderaannemer mogen zijn.

Hebben we inderdaad een regelgevingskader zoals KYC nodig voor software en cyberveiligheid van banken? Er is ook een andere manier om het probleem met betrekking tot de kennis van softwarecomponenten aan te pakken. Dat is het opstellen van regelgeving waarbij het voor banken, kredietinstellingen en finfech-bedrijven verplicht wordt om alle componenten in hun software te vermelden, op dezelfde manier als voedselbedrijven door zowel de EU als lokale wetgeving worden gedwongen om de ingrediënten in de producten die zij verkopen op de verpakking te vermelden.

Een aanvullende regelgevende maatregel die nodig is, is dat banken moeten gaan eisen dat alle externe leveranciers rapporteren welke cyberbeveiligingsbescherming is georganiseerd voor hetgeen zij aan de bank leveren. Het is immers van cruciaal belang dat alle leveranciers die elektronisch toegang hebben tot het systeem van een bank een adequate cyberbeveiliging handhaven.

Het gaat hier niet om wantrouwen – het gaat om controle en verantwoording. Want als er iets is waarvan wij in de cyberbeveiligingsindustrie weten dat het nodig is om maatschappelijk cruciale functies te kunnen beveiligen, dan is het zichtbaarheid en controle. Zit een van beide niet goed in elkaar, dan moet je je klanten ook geen maatschappijkritieke diensten willen leveren.

Gerelateerde artikelen

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Bestuur CISO Platform Nederland is compleet

Bestuur CISO Platform Nederland is compleet

Het bestuur van CISO Platform Nederland, de non-profit vereniging van de CISO community Nederland, is compleet: de CISO’s Dimitri van Zantvliet, Luisella ten Pierik, Mahdi Abdulrazak, Justin Broeders en mede-oprichter Rob Beijleveld zijn op 16 februari officieel toegetreden tot het bestuur van de organisatie.

Security versus privacy

Security versus privacy

Security en privacy – twee onderwerpen die in de dagelijkse security-operatie nauwelijks in één ademteug worden genoemd. Enerzijds is dat maar goed ook. Als je tactisch en strategisch nadenkt over borging van privacy, kan de operatie binnen die gestelde kaders haar vrije gang gaan.