Financiële dienstverlener heeft te weinig budget voor strijd tegen cyber-dreigingen
Cybersecurity moet behandeld worden op managementniveau
30 mei 2019 -
Organisaties die actief zijn in de financiële dienstverlening hebben te maken met een groeiend aantal serieuze cybersecurity-uitdagingen, blijkt uit recent onderzoek van Trend Micro.
61 procent van de IT-teams in deze sector heeft het idee dat het aantal bedreigingen voor hun organisatie is gegroeid in het afgelopen jaar. Bijna de helft (45 procent) van hen heeft moeite om de veranderingen in het aantal en soort dreigingen bij te benen.
Trend Micro ondervroeg meer dan 1.000 Europese IT-besluitvormers die (mede) verantwoordelijk zijn voor cybersecurity, waarvan bijna 350 werkzaam in de financiële dienstverlening. Een van de meest opvallende conclusies uit het onderzoek is dat een derde (33 procent) moeite heeft om zich met de beschikbare budgetten tegen alle dreigingen te weren. Op veel van hen drukt de verantwoordelijkheid zwaar; een op de drie (34 procent) ondervraagden geeft aan dat de verhoogde (werk)druk in het afgelopen jaar bij hen heeft geleid tot minder plezier in het werk.
Gegevensbescherming belangrijker dan ooit
"Gegevensbescherming is in veel industrieën belangrijker dan ooit, maar met name financiële dienstverleners staan voor grote uitdagingen nu zij zich conformeren aan nieuwe regelgeving zoals de AVG en PSD2," zegt Bharat Mistry, Principal Security Strategist bij Trend Micro. "De grote druk op de sector – in combinatie met het groeiende aantal zeer geavanceerde cyberaanvallen op steeds grotere schaal – zorgt voor ‘werk aan de winkel’ voor IT-teams."
Hackers misbruiken interne loopholes
Een kwetsbaarheid die er voor respondenten uitspringt en een significante bedreiging vormt, is Business Process Compromise (BPC). Bij BPC zoeken aanvallers naar loopholes in bedrijfsprocessen, kwetsbare systemen en fijngevoelige werkzaamheden. Wanneer een kwetsbaarheid wordt ontdekt, past een hacker een onderdeel van het proces aan in zijn eigen voordeel – zonder dat werknemers binnen de organisatie of klanten die wijziging opmerken. Twee derde (66 procent) van de respondenten zag dit type kwetsbaarheid als een grote dreiging voor hun organisatie, waarbij de helft van de respondenten (50 procent) aangeeft dat zij het zich niet konden permitteren losgeld te betalen in het geval van datadiefstal.
Ondanks dat de meerderheid van de respondenten aangeeft dat een BPC-aanval een aanzienlijke impact zou hebben op hun organisatie, geeft de helft (51 procent) van de IT-besluitvormers aan dat er binnen het managementteam van hun organisatie een gebrek aan bewustzijn is. Er is ruimte voor verbetering bij security-professionals: gemiddeld twee op de vijf (41 procent) respondenten zegt moeite te hebben met het communiceren van de potentiële gevaren naar het organisatiebestuur, waarbij een derde (34 procent) van de organisaties het momenteel stelt zonder cybersecurity-vertegenwoordiging op directieniveau.
Business Process Compromise
"Business Process Compromise vereist een lange adem van cybercriminelen, maar kan uiteindelijk tot een grote beloning leiden," vervolgt Mistry. "Door onopgemerkt in de infrastructuur van een bedrijf rond te kijken, kunnen hackers na verloop van tijd de inzichten verkrijgen die nodig zijn om grote bedragen over te boeken – wat bijvoorbeeld ook gebeurde bij de Bangladeshi Bankroof.
Om zich tegen deze dreigingen te weren, moeten financiële dienstverleners in elk geval zorgen dat het onderwerp cybersecurity vertegenwoordigd is binnen het management. Op die manier kunnen security-teams het complexe dreigingslandschap effectief communiceren binnen de organisatie. De security-mindset moet in elke afdeling binnen een organisatie aanwezig zijn: van de raad van bestuur tot en met HR. Wanneer dat niet het geval is, lopen financiële dienstverleners het risico om slachtoffer te worden van de steeds geavanceerdere aanvallen van cybercriminelen, en riskeren zij non-compliance met uitdagende regelgeving zoals PSD2 en AVG."
