Volgens Verizon Onderzoeksrapport naar datalekken, de financiële sector behoort consequent tot de meest gerichte sectoren, en het aantal aanvallen neemt toe. Banken zagen alleen al in 238 een toename van het aantal aanvallen met 2022%. Het gemiddelde datalek in de financiële sector kost 5.9 miljoen dollar, wat qua gemiddelde kosten alleen de gezondheidszorgsector achter zich laat, aldus IBM's Kosten van een datalekrapport 2023.

Hoewel de sector aanzienlijke vooruitgang heeft geboekt op het gebied van cyberbeveiliging, zijn er talloze factoren die banken en financiële instellingen nog steeds aantrekkelijke doelwitten maken.

De uitdagingen van het beschermen van financiële gegevens

Verschillende problemen dragen bij aan de problemen waarmee financiële instellingen worden geconfronteerd bij het beschermen van hun activa. Een van de belangrijkste is de complexiteit van het ondernemingsklimaat, vooral voor grotere instellingen die fusies en overnames hebben ondergaan. Het verbinden van oudere netwerken en applicaties kan leiden tot verkeerde configuraties, waardoor kwetsbaarheden ontstaan ​​waardoor hackers gemakkelijk toegang kunnen krijgen.

Financiële instellingen hebben, net als veel bedrijven, in de nasleep van de pandemie ook een meer verspreid personeelsbestand. Als gevolg hiervan hebben ze een groter gebruik van cloud- en mobiel computergebruik moeten integreren, wat het aanvalsoppervlak vergroot. En ondanks de implementatie van moderne, naar buiten gerichte applicaties, is het niet ongebruikelijk dat banken 50 jaar oude applicaties (geschreven in COBOL) op de back-end draaien die al lang niet meer ondersteund kunnen worden. Deze applicaties kunnen riskant worden vanuit een beveiligingsperspectief, maar het is vaak financieel of operationeel niet zinvol om te updaten.

Ondanks al deze risico's zijn de meeste aanvallen afhankelijk van het menselijke element in de vorm van identiteiten op het netwerk.

Active Directory en het belang van identiteiten

Gebruikersidentiteiten spelen een grote rol bij veel cyberaanvallen, of inbreuken nu het gevolg zijn van acties van binnenuit, externe aanvallen of de betrokkenheid van externe partners.

Als het om identiteitsbedreigingen gaat, kan een kwaadwillende insider grote schade aanrichten. Het meest opvallende voorbeeld is de Capital One-hack van 2019. Bijna vier jaar later wordt deze specifieke hack nog steeds algemeen erkend als een van de grootste insiderbedreigingen tot nu toe. Eén insider was verantwoordelijk voor de diefstal van 100 miljoen klantgegevens, 140,000 burgerservicenummers en 80,000 bankgegevens van klanten. En een inbreuk op de geloofwaardigheid van buiten een organisatie is eigenlijk gewoon een ander soort bedreiging van binnenuit. Zodra externe aanvallers toegang krijgen door inloggegevens te stelen, opereren ze als een vertrouwde insider.

Risico's van derden kunnen ook ernstige schade veroorzaken. De meeste financiële instellingen hebben tientallen tot honderden leveranciers, dienstverleners en andere partners op hun netwerk aangesloten. Voor slimme hackers kan een inbreuk op een systeem van derden het perfecte startpunt vormen om financiële omgevingen te betreden.

Wat is de enige overeenkomst die deze aanvallen gemeen hebben? De meest voorkomende manier voor deze inbreuken is Active Directory (AD), de belangrijkste identiteitsservice voor 90% van de financiële organisaties en bedrijven wereldwijd.

Wanneer iemand vroeg Willie Sutton waarom hij banken beroofde, hij antwoorde, “Omdat daar het geld zit.” Waarom vallen cybercriminelen Active Directory aan? Omdat daar de bevoorrechte toegang is. AD is zo nauw verweven met de meeste organisaties waarbij het betrokken is 9 van de 10 cyberaanvallen. Microsoft schat dat bedreigingsactoren elke dag 95 miljoen AD-accounts aanvallen, en dat is aan de conservatieve kant.

Of een aanvaller nu toegang verkrijgt via phishing of op een andere manier, door naar een identiteitsrijk gebied als Active Directory te verhuizen, kan hij of zij zijn privileges verhogen, zich over netwerken bewegen en gegevens stelen of ransomware-aanvallen lanceren. Dit soort aanvallen kunnen banken en andere financiële dienstverleningsactiviteiten stilleggen, waardoor de toegang tot geld wordt verhinderd, klantgegevens worden gelekt en merkschade wordt veroorzaakt.

Voorbereidheid op inbreuken en andere beste praktijken

Om hun gegevens beter te beschermen, moeten banken en financiële instellingen beginnen met het prioriteren van hun risico’s. Ze moeten accepteren dat inbreuken zullen plaatsvinden, dus moeten ze hun activa met de hoogste prioriteit identificeren – de activa die de meeste schade zouden veroorzaken als ze worden aangetast – en de kwetsbaarheden van die activa.

Het voorbereiden op inbreuken begint met een beoordeling van de AD-beveiliging, samen met beoordelingen van de beveiligingsarchitectuur, operationele procedures en beveiligingsconfiguraties van een organisatie. Hierdoor kunnen beveiligingsteams aanvalspaden identificeren en plannen ontwikkelen voor respons en herstel. Met grondige beoordelingen van de omgeving kunnen organisaties plannen voor het beperken van bedreigingen ontwikkelen om het aanvalsoppervlak te verkleinen, beveiligingsconfiguraties te optimaliseren en een doordacht plan voor het herstel van een aanval op te stellen dat de downtime en verstoring vermindert.

Het voortdurend monitoren van de gebruikersidentiteit is ook erg belangrijk. Als een medewerker op een lager niveau plotseling verhoogde rechten heeft, toegang heeft tot gevoelige gegevens die hij niet mag bekijken, of op vreemde uren werkt en geen reguliere zakelijke taken uitvoert, bestaat de kans dat zijn of haar identiteit in gevaar komt.

Ten slotte moet planning een menselijk element bevatten, in de vorm van het werven en behouden van beveiligingspersoneel en het opleiden van gebruikers. Banken en financiële instellingen moeten deskundige beveiligingsprofessionals aantrekken en behouden, wat voor grote instellingen gemakkelijker te betalen is. Maar in organisaties van elke omvang is beveiliging slechts een klein onderdeel van de bedrijfsvoering. Financiële instellingen hebben nog steeds hordes mensen met beperkte kennis van beveiliging die toegang hebben tot systemen en gevoelige gegevens verwerken. Daarom zijn training van medewerkers en veiligheidsbewustzijn essentieel, vooral nu het aantal externe medewerkers toeneemt.

De toekomst van de veiligheid van de financiële sector

Nu het tempo en de verfijning van aanvallen toenemen, moeten instellingen inzicht krijgen in hun omgeving, controle krijgen over de identiteit van gebruikers en duidelijke plannen ontwikkelen voor de paraatheid, respons en herstel van inbreuken.

Vooruitkijkend zullen financiële instellingen ook het hoofd moeten bieden aan de risico’s die gepaard gaan met nieuwe bedreigingen en uitdagingen met cryptocurrency. Zoals bij alle vormen van beveiliging komt het neer op het beheersen van de basisprincipes van het verkrijgen van inzicht in en controle over de onderneming.