Innovaties in de financiële sector | FinanceInnovation
advert

Dataveiligheid: zó houd je als bank intrusion buiten de deur [blog]

Financiële dienstverleners liggen dagelijks onder vuur van hackers en andere cybercriminelen. Met DDoS-aanvallen en hostile intrusion is het belangrijker dan ooit de veiligheid van systemen tot in het kleinste detail te regelen en de integriteit van bedrijfskritische data continu te waarborgen. Dit doe je echter nooit alleen.

Het is voor banken belangrijk om de juiste outsourcingspartner te vinden. Tenminste, ervan uitgaand dat zij die stap willen maken. Dit geldt voor ieder bedrijf, maar al helemaal voor banken. Met hun gevoelige gegevens en online omgevingen zijn zij vaak onderhevig aan aanvallen. Als bank moet je daarom nauwkeurig kijken met wie je in zee gaat. Gelukkig heeft er al een hoge mate van professionalisering van diensten plaatsgevonden, juist om aan de hoge eisen van omgevingen, platformen en infrastructuur te voldoen.

Opletten wat er binnenkomt
In de Verenigde Staten is de (cyber)dreiging verder ontwikkeld dan hier. Hoe je hier mee omgaat ook. Daar kunnen wij in Europa nog wel wat van leren. Of het nu gaat om aanvallen die de bedoeling hebben om systemen plat te leggen of cybercriminelen die op een injectie-achtige manier binnenkomen om gegevens te onttrekken. Dat laatste is overigens het meest schadelijk voor de bank. Voor je imago zijn DDoS aanvallen natuurlijk al erg genoeg, maar je moet ook heel goed opletten wat er verder binnenkomt aan verkeer.

Hoe los je intrusion op? Hoe weer je DDoS-attacks? Samen met je outsourcingspartner stel je hier als bank (of andere financieel dienstverlener) een gedetailleerd plan voor op. Dit heeft niet alleen betrekking op hoe je een platform inricht, maar ook op hoe je als bedrijf omgaat met security. Niet alle aanvallen vinden namelijk plaats op ‘hack-niveau’. De gemakkelijkste methode om gegevens te stelen is de fysieke benadering. Wie kwaad wil, komt vaak makkelijk een gebouw binnen als leverancier of pakketbezorger. Of je deelt ‘gratis’ USB-sticks uit, met daarop verborgen malware. Het ergste is dat deze inbreuken vaak niet direct zichtbaar zijn, waardoor er malware over langere tijd een latente bedreiging vormt.

Je dient dus alle processen nauwkeurig in beeld te hebben, niet in het minst hoe je als organisatie omgaat met fysieke beveiliging. Ook de leverancier moet kunnen aantonen dat hij een security-approach heeft die verder gaat dan alleen de digitale beveiliging met firewall, intrusion detection en DDoS-beveiliging. Denk bijvoorbeeld ook aan de wachtwoordenstructuur, maar ook de opleiding van medewerkers en hoe zij omgaan met gevoelige informatie. Binnen onze Security Group monitoren wij bijvoorbeeld constant of wachtwoorden gelekt zijn. Je moet alles – en dan werkelijk álles – in de gaten houden om de veiligheid van klanten te waarborgen. En dat 24/7.

Bouw een relatie op
Er is natuurlijk altijd een spanningsveld bij het selecteren van een leverancier. Controle is een belangrijk onderwerp. Flexibiliteit ook. De tijden van lange contracten van vijf, acht of zelfs tien jaar zijn wel voorbij. En dat is maar goed ook. Vertrouwen, daar gaat het immers om. Wij gaan een contract ook aan met een hoge mate van flexibiliteit, om zodoende een relatie op te bouwen op basis van vertrouwen. Er is voordeel te behalen met een langdurig contract, maar dat moet een keuze van de klant zijn. Geen eis van de leverancier. Bijvoorbeeld wanneer een bank een specifiek eigen omgeving wil bouwen, waarvoor investeringen nodig zijn.

Eveneens is het voor klanten belangrijk om controle over processen en data te houden. De leverancier moet te allen tijde kunnen laten zien waar data zich bevindt, hoe het beveiligd is en wat de status is. Zeker met de nieuwe directieven voor het verzamelen en opslaan van persoonsgegevens, die sinds januari gelden, is dit een essentiële eis. Als bijvoorbeeld persoonsgegevens lekken, zijn de gevolgen niet te overzien. Een ander aspect is het opslaan van data buiten de landsgrenzen. Grote cloud-providers maken gebruik van economy of scale, met datacenters overal ter wereld. Data valt gemakkelijk in de handen van vreemde overheden. Ook met de komst van een nieuw Safe Harbor-verdrag is dit vraagstuk rondom data-integriteit niet van de baan.

Stap naar een hoger niveau
Er zijn tal van voorbeelden van succesvolle outsourcingssamenwerkingen binnen finance. Zelf vind ik dat onze eigen samenwerkingen met Payex en Klarna zeker in dat rijtje thuishoren. Een belangrijke les uit deze voorbeelden? Een hoge mate van professionaliteit bij het selecteren van de juiste partner. Dit spreekt hier meer boekdelen dan in andere sectoren. Vrijwel elk bedrijf houdt de volledige controle het liefst bij zichzelf. Maar als dit niet mogelijk is, op financiële en beveiligingstechnische gronden, moet je slim gaan outsourcen. Door tijdens de selectieperiode een kritische blik te hanteren, zet je de stap naar succesvol samenwerken en een gezamenlijk hoger niveau bereiken dan je in je eentje zou kunnen.

Erik de Jager is Sales Manager bij Basefarm

Over de schrijver

Related Articles