RisicosectorenVolgens de IBM X-Force Cyber Security Intelligence Index groeide het aantal gecompromitteerde datapunten van 600 miljoen in 2015 tot meer dan 4 miljard in 2016. Waar in 2016 de gezondheidszorg nog het belangrijkste doelwit was van cyberaanvallen, staat in 2017 de financiële sector met stip op één.Cybermisdaad in de financiële sectorDe financiële sector is het geliefkoosde doelwit van cybercriminelen. In die sector valt de grootste buit te rapen. Dat werd bijzonder duidelijk bij de digitale overval op de nationale bank van Bangladesh, waarbij hackers via onwe-tende medewerkers opdracht gaven om 951 miljoen dollar op buitenlandse rekeningen te storten.LogHistorisch focusten aanvallers zich niet op de logge IT-infrastructuur, want het IT-platform was een onneembare vesting. ‘Maar de digitale revolutie heeft de klantenverwachtingen diepgaand gewijzigd’, zegt Bernard Ghigny, Vennoot Advisory bij EY. De traditioneel behoudsgezinde sector vernieuwt zich dan ook grondig. Maar de monolithische platformen zijn niet voorzien op snelle wijzigingen. ‘Vernieuwende applicaties eisen dat gevoelige data en financiële transacties veel gemakkelijker beschikbaar zijn, en ook veel sneller, voor meer partijen en via verschillende kanalen’, zegt Ghigny. Vaak kan het eigen IT-team niet snel ge-noeg aan alle vragen voldoen, d aarom wordt de ontwikkeling vaak uitbe-steed aan derden.’Met als ontnuchterend resultaat: de centrale IT-diensten krijgen minder en minder zicht op wat er precies met welke data gebeurt, waar die opgeslagen zitten en wie toegang heeft via welk kanaal. Vaak is de roep om vernieuwing ook zo dringend, dat er een compromis gemaakt moet worden tussen opti-male beveiliging en optimale klantentevredenheid.DreigingenDe dreigingen zelf zijn zeer divers. Er is het risico dat klanten hun beveiligingscodes per mail of telefoon aan hackers doorgeven, of dat medewerkers phishingmails openen en zo malware in het systeem binnenhalen. Er zijn ook de ddos-aanvallen, fraude met kredietkaarten en gesofisticeerde cyberaanvallen – vaak vanuit vreemde mogendheden.Bescherming‘Financiële instellingen moeten beseffen dat 100 procent veiligheid niet bestaat’, zegt Dieter Vandenbroeck, Manager EMEIA Financial Services - Information Security bij EY. Cyberbeveiliging moet aangepakt worden via risicomanagement, niet als een technische IT-aangelegenheid: ‘Je moet weten welke risico’s je loopt, hoe frequent ze zich voordoen, wat de eventuele schade is en hoeveel het kost om het risico af te dekken.’De volgende stap: vanuit uw algemene bedrijfsstrategie bepalen welke risico’s prioritair afgedekt moeten worden. ‘Natuurlijk moet het IT-departement volgen’, zegt Vandenbroeck. ‘Als daar grote lekken zitten, helpen strategie en risicomanagement niet.’ Maar de grootste beveiligingsuitdaging is wellicht cultureel: ‘De gebruiker blijft de zwakste schakel’, zegt Vandenbroeck. ‘Zowel eindgebruiker als personeel en externe partijen moeten voldoende getraind worden om aan cyberaanvallen te weerstaan.’ Intussen zitten ook de regelgevers niet stil. Er zijn richtlijnen van de EU, van de Europese Centrale Bank, van sectororganisatie Febelfin en van de Belgische overheid. ‘Dat alles legt een enorme druk op de schouders van onze financiële instellingen’, zegt Vandenbroeck. ‘Gelukkig is het topmanagement meer en meer betrokken, en bereid om meer middelen vrij te maken. De laatste stap is dat topmanagement geen push van de regelgevers nodig heeft maar zelf proactief inzet op cybersecurity.’ Bron:"DE TYD."