Banken en financiële instellingen zijn interessante doelen voor cybercriminelen. Banken wereldwijd hebben de afgelopen jaren dan ook flink last gehad van meerdere spectaculaire cyberaanvallen.
Gezien de grote bedragen die op het spel staan zullen banken en financiële instellingen voorlopig wel één van de favoriete doelwitten van cybercriminelen blijven. Nu banken ook online real time zakendoen staan ze voor de lastige opgave om zich te beschermen tegen cybercriminelen die het op hun waardevolle data hebben gemunt. Dat is geen sinecure. Het vraagt om de inzet van speciaal personeel en de nodige bedrijfsmiddelen. De vraag is waar u het beste kunt beginnen. Deze cyberbeveiliging- checklist voor de financiële sector geeft u zicht op welke securitypunten aandacht behoeven.
1. Bewaak de toegangsrechten
Wie mag bij welke gegevens, en waarom? Dit is een belangrijke vraag die door het vooraf beantwoorden al een hoop ellende kan voorkomen. Zorg ervoor dat werknemers alleen beheerderrechten krijgen toegewezen als die werkelijk voor hun werk benodigd zijn. Laat uw IT-manager richtlijnen opstellen voor persoonlijke mobiele apparaten van werknemers en apparatuur die door de organisatie is verstrekt.
Het is belangrijk om in kaart te brengen wie rechten heeft die het mogelijk maken om systeemconfiguraties te omzeilen of wijzigen. Het aantal medewerkers met dergelijke rechten moet tot een minimum worden beperkt. Als cybercriminelen toegang krijgen tot gebruikersaccounts met speciale rechten kan dit rampzalige gevolgen voor de organisatie hebben.
2. Beveilig alle mobiele apparaten die op de werkplek gebruikt worden
Uit een enquête uit 2015 blijkt dat bijna drie kwart (74%) van alle organisaties een BYOD-strategie hanteert of van plan is om dat te doen. Hoewel dit de tevredenheid en productiviteit van werknemers ten goede komt, moeten financiële instellingen hier heel voorzichtig mee zijn.
Het is belangrijk dat de ICT-afdeling weet welke mobiele apparaten naar de werkplek worden genomen en welke een verbinding met het netwerk maken. Want zo kan een IT-manager bedrijfskritische gegevens versleutelen of alle gegevens van mobiele apparaten wissen indien ze zoekraken of worden gestolen. Of mobiele apparaten nu het eigendom van werknemers zijn of door de organisatie zijn verstrekt, ze moeten regelmatig worden gecontroleerd. Overtollige systeembestanden moeten worden opgeruimd en kwetsbaarheden in de beveiliging moeten worden gedicht. Verder is het belangrijk dat iedereen binnen de organisatie wachtwoorden kiest op basis van de laatste ‘best practices’. Dus niet ‘wachtwoord2016’, maar een wachtwoord van meer dan 8 tekens lang in combinatie met getallen en speciale tekens.
3. Licht het personeel voor
Medewerkers die onvoldoende kennis hebben van de interne beveiligingsrichtlijnen (en cyberbedreigingen in het algemeen) vormen de zwakste schakel binnen organisaties, en cybercriminelen weten dat. Nalatigheid van werknemers vormt een van de grootste risico’s waarmee financiële instellingen worden geconfronteerd. Met goede kennis en training over hoe je als werknemer om moet gaan met verdachte mails en bijlages, kan je veel gevaar buiten de deur houden. IT-managers in de financiële sector zouden trainingprogramma’s voor het personeel moeten organiseren en andere middelen aanbieden om werknemers, en in het bijzonder nieuwe medewerkers, voor te lichten.
4. Breng in kaart waar bedrijfskritische gegevens worden bewaard
Financiële organisaties ontvangen voortdurend nieuwe data via allerhande kanalen. Het is belangrijk dat de ICT-afdeling weet heeft van de locaties waar bedrijfskritische gegevens liggen opgeslagen en hoe effectief die zijn beschermd.
Zorg ervoor dat gevoelige informatie niet in één stap toegankelijk is. Een best practice is om het risiconiveau voor uiteenlopende gegevens in te schatten, evenals de potentiële gevolgen van gegevensverlies of een datalek. Zodra deze gegevens en hun locatie in kaart zijn gebracht, is het zaak om penetratietests uit te laten voeren om te zien hoe makkelijk het is voor onbevoegde partijen om toegang tot de informatie te krijgen.
5. Stel een speciaal security-team samen en richt speciale processen in
Dit is waarschijnlijk het belangrijkste punt op de checklist: de ICT-afdeling moet een speciaal team samenstellen dat beveiligingstests uitvoert en beleidsregels, procedures en andere processen in het leven roepen die de organisatie veilig houden. Dit team moet uiteraard bestaan uit de technisch goed gekwalificeerde mensen. Zij moeten bovendien bereid zijn om nieuwe en bestaande technologieën te (her)evalueren.
Laat het beveiligingsteam de interne richtlijnen opstellen, zodat elk teamlid weet hoe problemen moeten worden geëscaleerd en hoe ze met specifieke situaties moeten omgaan (zoals verlies van klantengegevens, beschadigde bestanden, DDoS-aanvallen enzovoort).
Zaken om rekening te houden tijdens het samenstellen van teams en inrichten van processen:
• Wijs een teamleider aan die de activiteiten zal aansturen
• Richt een systeem in voor het bijhouden van problemen
• Breng regelmatig de beveiligingsstatus in kaart en rapporteer die aan de directie
Het samenstellen van teams en inrichten van beveiligingsprocessen zal voor structuur zorgen. Bovendien voorkomt het grote paniek als er daadwerkelijke beveiligingsincidenten optreden.
6. Werk samen met een ervaren leverancier van beveiligingsoplossingen
Hoewel de bovenstaande maatregelen zonder meer zullen bijdragen aan een betere beveiliging, is het proces pas compleet als de juiste securitytechnologieën worden gebruikt. Leveranciers van beveiligingsoplossingen voor de financiële sector beschikken over technologie die uiterst krachtige en uitgebreide bescherming biedt tegen de voortdurend veranderende bedreigingen.
Belangrijke gebieden voor het verbeteren van de beveiliging zijn onder meer netwerksegmentatie, een netwerkinfrastructuur met lage latency, geavanceerde beveiliging van de netwerkrand en virtualisatie. Beveiligingsoplossingen moeten worden beoordeeld op hun capaciteit en interoperabiliteit met andere oplossingen, de aanwezigheid van ingebouwde beheermogelijkheden, centrale analyse van bedreigingen en de mogelijkheid om bedreigingsinformatie te delen en toe te passen. Dit zijn slechts een paar aspecten om rekening mee te houden als u op zoek gaat naar een leverancier van beveiligingsoplossingen. Natuurlijk wordt elke organisatie weer met andere uitdagingen en bedreigingen geconfronteerd. Maar met de bovenstaande checklist hebben financiële instellingen een goed handvat voor als het tijd is om een nieuwe beveiligingsstrategie te implementeren of de bestaande strategie te optimaliseren.
Vincent Zeebregts, country manager Fortinet Nederland
