Zes stappen uit de bankwereld die elk bedrijf zou moeten doorlopen in hun end-to-end security

De tijd van mailtjes waarin oplichters in gebrekkig Nederlands vragen om je account te checken via een bijgevoegde link, liggen achter ons. Hackers en fraudeurs hebben in hun aanvallen een zeer hoge mate van professionaliteit bereikt. Sommigen werken zelfs met een eigen callcenter als je problemen hebt met de betaling van ransomware. Maar hoe voorkom je en detecteer je cyberattacks? En hoe moet je gepast reageren bij een aanval? Sandro Sinigaglia, Head of e-Fraud Management & Cybercrime SPOC for Business bij ING deelde tijdens het Checkup seminar van SecureLink zijn visie gebaseerd op dagelijkse ervaringen in de financiële sector.

De financiële wereld is altijd een geliefd doelwit geweest. “Nu het geld steeds vaker digitaal wordt – wie betaalt er nog cash? – moet de sector ervoor zorgen dat Jan Modaal op netwerkniveau niet aan de kluis kan. Technisch kan je dit door een front end op te bouwen met identificatie. Want is de gebruiker wel wie hij beweert te zijn?”, schetst Karl Wouters, van  SecureLink, de situatie. “Het gaat erom om met de juiste knowhow en hoogste certificaties de juiste apparatuur te integreren tot een veilige oplossing voor onze klanten”
Aan de kant van de gebruiker is het belangrijk dat je een stappenplan hebt en dit nauwgezet volgt als er zich een incident voordoet. “Alles begint bij een grondige voorbereiding, maar ook de analyse achteraf mag je niet verwaarlozen. Het is een belangrijke stap om gelijkaardige incidenten in de toekomst beter aan te pakken of te vermijden”, aldus Sandro Sinigaglia, Head of e-Fraud Management bij ING Belgium. Hieronder volgen de zes stappen zoals Sandro die beschrijft.
De voorbereiding
Je moet klaar zijn om te reageren als er zich een incident voordoet. Je moet weten wat je moet doen waarbij het belangrijk is om de essentie uit de informatiestroom te verzamelen. Update ook regelmatig je beleid op basis van de info die je krijgt. “Maak een onderscheid tussen acties die altijd zijn toegelaten, acties die altijd geblokkeerd worden en de ‘grey zone’: activiteiten die onvoldoende zijn om direct te blokkeren, maar wel opvolging vragen”, verduidelijkt Sandro Sinigaglia. Kijk ook naar de interne capaciteiten, zowel van apparatuur als mensen. Zorg voor de nodige opleiding en vermijd dat de opgebouwde kennis uit het bedrijf verdwijnt. Dat kan je door kennis te delen.
Uiteraard is een crisissimulatie op regelmatige basis een must. Sandro Sinigaglia: “Wat velen vergeten is om in de voorbereidingsfase te bepalen wat een ‘crisis’ is en wat het verschil is met een incident. Bij ons is dit: als we na de consultatie van onze experts geen uitweg meer zien.”
De identificatie
Als er zich een incident voordoet, is het belangrijk om dit juist in te schatten. Door de alarmsignalen te monitoren. “Eigenlijk is het eenvoudig: weet ik het of weet ik niet wat er gebeurt. In de banksector gaat dit over het toelaten van bepaalde transacties. Als je het niet weet, dan is er een probleem en ga je naar de volgende stap”, aldus Sandro. Hij benadrukt ook het belang van case management, zeker als er meerdere teamleden of afdelingen op het incident werken. Zo weet iedereen welke actie hij moet ondernemen en kan je ook zien of die effectief is uitgevoerd.
Stop het bloeden
Eenmaal het incident gedetecteerd, moet je ingrijpen om dit tegen te houden. In de bankwereld heeft men een aantal mogelijkheden. Men kan de transactie pauzeren of uitstellen of het account tijdelijk blokkeren. “In die tijdsspanne kan je via een ander kanaal de authenticatie checken, bijvoorbeeld telefonisch. Of je kan nagaan of dit een normale transactie is van de klant”, zegt Sandro Sinigaglia.
In deze fase komt het rapid response team samen. Het tracht een inschatting te maken van de geleden schade. “Hier maak je de keuze: hebben we het nog in handen, of zijn we de controle kwijt? In het laatste geval roep je de crisis uit en informeer je zowel het management als de overheid, wat verplicht is.”
Saneren
Vooraleer je terug kan gaan naar de normale toestand, moet je eerst de threat verwijderen. “Verzamel ook bewijsmateriaal voor je case en analyseer deze bewijzen. Ze kunnen je helpen bij het opstellen van een aanklacht, maar ook om te leren wat er mis ging en de procedures te verstrengen of te verfijnen.”
Herstel
Zorg dat je een disaster recovery plan klaar hebt met de stappen die je moet ondernemen om terug naar normale modus te gaan. Het kan zijn dat je bepaalde items moet blokkeren, denk maar aan bankaccounts, mule accounts (accounts die hackers misbruiken om geld door te sluizen) of de mobiele accounts van een klant. Denk ook aan de communicatie en voorzie bijvoorbeeld een script voor het callcenter dat wellicht overstelpt wordt met vragen. “Beperk het niet alleen tot het ‘heb je deze stap gedaan?’ maar tracht uit deze calls ook informatie te verzamelen die kan helpen om een toekomstig incident te vermijden”, geeft Sandro mee.
Lessen leren
Case closed? Nee, want uit fouten kan je veel leren. Zoek naar wat ‘gemeenschappelijk’ is in de aanvallen zodat je bij een volgend incident dit onmiddellijk kan toetsen. Stel hiervoor een multidisciplinair team samen met een fraude analist, een process ingenieur, een rule writer en – misschien wel de belangrijkste – een reporting officer. “Hij is een go between tussen de technische mensen die het probleem oplossen en het management en de buitenwereld” zegt Sandro.
Uiteindelijk stel je een finaal rapport opstellen. “Maak dit niet te technisch en beperkt je tot basics: het moet simpel en duidelijk zijn voor het management. Voor je eigen team kan je uiteraard een lessons learnt rapport opstellen, met daarin de technische kant waarop je bij volgende situaties kan terugvallen”, aldus nog Sandro Sinigaglia.
Intern of extern?
Alles is te hacken, 100% veilig bestaat niet. “Elk bedrijf zou een stappenplan zoals bij ING moeten implementeren. De impact van een breach is immers nefast. En dan verbaast het me soms hoe sommige spelers deze logische regels niet volgen”, aldus Karl Wouters van SecureLink. “Een wederkerende problematiek bij bedrijven, onafhankelijk van de resources, is echter: waar vindt je de juiste mensen?”. Samenwerken met specialisten is hier de boodschap.
“Doe nooit wat je zelf niet kan”, beaamt Sandro Sinigaglia van ING Belgium. “Ga dan op zoek naar externe expertise. Je kan in een managed service model stappen met een externe partij. Een tip daarbij: geen enkele partner doet 100% wat je wenst. Kies daarom een partner in wie je vertrouwen hebt en werkt samen naar oplossingen. Tracht op een transparante manier een actieve rol te spelen in de roadmap naar nieuwe oplossingen en producten. En zorg ervoor dat je in het contract laat opnemen dat ze de knowledge overdragen aan jou.”