Een interview met Erik Slingerland, Information Security Officer bij Centric Financial Solutions & Services (FSS), over informatiebeveiliging in de bankensector.
Kun je iets vertellen over jouw rol als Information Security Officer bij Centric?
Als Information Security Officer voor financiële instellingen ben ik verantwoordelijk voor de informatiebeveiliging van informatie, zowel digitaal als in andere vormen. Voor zowel Centric als haar klanten. In mijn rol als Information Security Officer ben ik zo proactief mogelijk. Dat houdt in dat ik toezicht houd op die processen waar potentieel kwetsbaarheden kunnen ontstaan. Zo bekijk ik samen met onder andere de Compliance Officer en architecten naar toekomstige projecten en grote change-aanvragen. Op deze manier kan ik direct bij de start van een project aangeven welke kant men het beste op kan gaan en men risico’s verkleint. Op deze manier voorkom ik dat ik bij een oplevering van een project steeds “nee” moet verkopen als zaken minder veilig zijn en zaken alsnog ad-hoc moeten worden aangepast.
Wat zijn de grootste uitdagingen voor banken op het gebied van informatiebeveiliging op dit moment? Heb je hier een concreet voorbeeld van?
Informatiebeveiliging is voor banken nog belangrijker dan voor organisaties in andere sectoren, omdat zij te maken hebben met toezichthouders en privacy gevoelige gegevens van klanten. Het wordt tegenwoordig steeds eenvoudiger om een zeer krachtige DDOS aanval uit te voeren. Daarmee kunnen hackers kritieke processen van banken voor een langere tijd verstoren. Zo is bijvoorbeeld bekend dat meerdere banken afpersingsbrieven hebben ontvangen waarin werd gedreigd om een dergelijke krachtige DDOS aanval uit te voeren. Tegen betaling van Bitcoins kon dat worden voorkomen.
Op welke wijze zorgt Centric ervoor dat ze voorbereid zijn om deze uitdagingen het hoofd te bieden?
Wij zijn optimaal voorbereid om DDOS aanvallen gericht tegen ons en onze klanten het hoofd te kunnen bieden. Verdere details kan ik hierover niet geven.
Volgens Kaspersky Lab liggen de cybersecurity uitgaven van banken drie keer hoger dan andere bedrijven. In hoeverre betekent dit ook dat banken voldoende bezig zijn met verbeteren van hun informatiebeveiliging?
Als je bekijkt welke maatregelen zijn genomen binnen banken dan verschilt dat heel vaak inderdaad significant met andere sectoren. Zowel technisch als procedureel worden dreigingen continue gemitigeerd. Dat verklaart de hogere uitgaven. Als je kijkt naar het omgaan met nieuwe regelgeving, zoals de meldplicht datalekken zie je banken ook voorlopen. Daar zijn de maatregelen en procedures over het algemeen in place. Als je bekijkt hoe sommige gemeenten met een datalek omgaan, bemerk je dat daar nog vaak een achterstand is.
Welk advies zou je banken willen geven om hun informatie nog beter te beveiligen?
Uiteindelijk is de zwakste schakel binnen informatiebeveiliging vaak ‘de mens’. Daarom is het in mijn ogen heel belangrijk om de medewerkers op de hoogte te brengen van nieuwe ontwikkelingen en dreigingen op het gebied van informatiebeveiliging. Daarmee wordt de “Security Awareness” van een medewerker steeds krachtiger en zullen zij goed reageren op bijvoorbeeld een phishing mail en een krachtig wachtwoord instellen.
Uit onderzoek blijkt dat het aantal datalekken in de financiële sector is gedaald, maar dat het aantal records dat is gestolen explosief is gestegen. Wat is jouw visie op deze onderzoeksresultaten? Wat kan de oorzaak hiervan zijn?
Mijn mening is dat cybercriminelen hun aandacht verschuiven van het buitmaken van financiële gegevens naar het hacken van omvangrijke databases met grote hoeveelheden persoonsgegevens. Op deze manier hebben zij vaak een stepping stone naar veel andere informatie zoals het e-mailverkeer van gebruikers. Helaas gebeurt het nog vaak dat gebruikers één en hetzelfde wachtwoord gebruiken voor verschillende diensten. Terwijl het redelijk eenvoudig is om unieke wachtwoorden in te stellen. Mijn tip: Maak een zo lang mogelijk wachtwoord door een gemakkelijk te onthouden zin als wachtwoord in te voeren. Lengte is vaak krachtiger dan bijvoorbeeld hoofdletters en cijfers.
Bescherming van persoonsgegevens is en blijft een belangrijk thema in de bankensector. Tegelijkertijd zien we de mogelijkheden van digitalisering en daarmee het gebruik en de verwerking van persoonsgegevens toenemen. Wat is jouw visie als het gaat om het bewaken van de balans tussen privacy enerzijds en gebruik van persoonsgegevens voor meerdere doeleinde anderzijds?
In mijn ogen is privacy een groot goed dat ook steeds belangrijker wordt in de klantperceptie als het om vertrouwen in de bank gaat. Denk maar eens aan de reuring die ontstond toen ING klanten persoonlijke advertenties wilde aanbieden van andere bedrijven, op basis van hun betalingsgedrag. Met het groeiend besef dat mensen ook kwetsbaarder worden als privacy gevoelige gegevens op straat komen te liggen is het mijns inziens heel belangrijk dat banken hier heel nauwgezet mee omgaan. Bijvoorbeeld door potentieel privacy gevoelige diensten alléén als “opt-in” in te voeren. Een klant kan dan zelf bepalen waar de balans ligt tussen privacy en uitbreiding van dienstverlening.