Hoe Wall Street met cyber-risico’s omgaat

Security is zo belangrijk geworden voor het zakelijk succes van bedrijven dat de Amerikaanse rating agency Standard & Poors nu overweegt om de aanpak die een onderneming volgt op het gebied van IT-beveiliging mee te wegen in de beoordeling van dat concern. Daarmee is definitief de tijd voorbij dat bedrijven ermee weg komen dat zij security als een extra laagje over hun bestaande IT-infrastructuur heen kunnen leggen. Het moet fundamenteel anders, zegt Russell Stern, CEO van Solarflare. Banken op Wall Street zijn dan ook begonnen met een complete herevaluatie van hun cybersecurity-aanpak. 

Nu steeds geavanceerdere aanvallen op bedrijven worden uitgevoerd, is cyber risk management een belangrijk thema geworden voor raden van bestuur en datacenter managers van grote financiële instellingen. De financiële gevolgen maar ook de reputatieschade van inbraken en gestolen data worden steeds groter en lijken ook meer en meer een structureel karakter te krijgen. Daarmee heeft IT-security een duidelijke impact gekregen op het vermogen van financiële instellingen om zaken te doen. Het is dan ook logisch dat de grote banken en verzekeraars steeds meer geld vrijmaken voor cybersecurity. Zo verwacht PricewaterhouseCoopers dat financiële instellingen in de Verenigde Staten de komende twee jaar meer dan 2 miljard dollar zullen investeren in het verder verbeteren van hun IT-beveiliging. Daarbij mogen we ook niet de impact onderschatten van het nieuws dat rating agency Standard and Poors overweegt om bedrijven die zwakke ‘cyber security controls’ kennen wel eens met een ‘downgrade' te maken kunnen krijgen.

Niet of, maar wanneer

Voor veel banken op Wall Street maar ook daarbuiten is dus de tijd gekomen om de gehele aanpak op het gebied van IT-security opnieuw tegen het licht te houden. De eerste stap in dat proces is de onderkenning dat een cyber-aanval voor financiële instellingen van welke omvang dan ook ieder moment kan plaatsvinden. Of het bedrijf nu groot of klein is en of de beschikbare mensen en middelen nu omvangrijk zijn of niet. Uit een onderzoek van de Depository & Trust Clearing Corporation (DTCC) blijkt dat een cyberaanval het belangrijkste risico is dat financiële instellingen lopen. Bijna 80 procent van de ondervraagden noemt cyberaanvallen als een van hun 5 belangrijkste uitdagingen.

Tempo bijhouden

Zijn banken er eenmaal van overtuigd van het belang van cybersecurity, dan is het tijd voor de volgende stap. Die is niet zozeer hoe zij aanvallen moeten tegenhouden, maar veeleer hoe zij de ontwikkelingen bij cybercriminelen kunnen bijhouden zodat zij hun netwerkinfrastructuur ook in de toekomst veilig kunnen houden.

Data capture en analyse

Het belangrijkste doelwit van cybercriminelen is de netwerkserver. Veel financiële instellingen hebben veel geld geïnvesteerd in het voorkomen dat cybercriminelen het netwerk binnen kunnen komen en kostbare gegevens uit het netwerk kunnen halen (noord/zuid-verkeer). Het is echter ook zaak om beter zicht te krijgen op het dataverkeer dat al in het netwerk aanwezig is. Dit zogeheten oost/west-verkeer kan namelijk heel goed malicious code bevatten. Denk aan keyloggers, malware, advanced persistent threats en dergelijke. Slagen cybercriminelen er in om dit soort ‘tools’ langs of door firewalls en dergelijke te krijgen, dan kunnen deze in veel gevallen ongestoord hun werk doen. De reden is simpel: alle aandacht gaat uit naar de perimeter van het netwerk en het tegenhouden van cybercriminelen die daar proberen binnen te komen. Het staat inmiddels echter wel vast dat veel pogingen om binnen te dringen ook daadwerkelijk slagen. We zullen dus ons uitgangspunt moeten aanpassen naar: cybercriminelen zijn nu eenmaal in ons netwerk aanwezig, dus hoe vinden we hen en hoe zetten we hen weer buiten de deur?

‘Sleeper cells’

Voor financiële instellingen is het dus van cruciaal belang dat zij over tools beschikken die het verkeer binnen hun netwerk in de gaten houden. Die monitoring-software dient bovendien zeer geavanceerd te zijn. Want steeds vaker zien we dat cybercriminelen op hun beurt ook zeer innovatieve tools en methoden toepassen. Kijk alleen al naar de ‘sleeper cells’ die we steeds vaker tegenkomen. Dat is software die vaak al langere tijd in het netwerk aanwezig is, maar weken- of maandenlang niets doet. Pas na verloop van tijd wordt via geraffineerde methoden een signaal aan die software gegeven dat zij actief moeten worden. Of wordt het laatste onbekende stukje code aangeleverd waardoor de malicious code ‘wakker’ wordt.

Overleven

De derde en laatste stap in de hiervoor genoemde herevaluatie van de cybersecurity-aanpak van financiële instellingen is het vinden van het antwoord op de vraag hoe banken en andere financiële instellingen het beste op een ontdekte aanval reageren. Helaas zijn veel banken nog steeds bezig met een inhaalslag als het om cybersecurity gaat. Zij zijn volop bezig met het implementeren van policies en procedures die zijn ontwikkeld na eerdere cyberaanvallen. Zij zijn dus vaak nog gericht op oude aanvalsmethoden en -technieken en hebben nog nauwelijks tijd gehad om na te denken over meer proactieve beveiligingsmethoden. Cybersecurity dient echter een integraal onderdeel te zijn van de zakelijke strategie van de onderneming. Zowel business managers, IT-managers als CISO’s dienen hun beleid verder te ontwikkelen. Alleen dan kunnen zij het tempo van de ontwikkelingen bij cybercriminelen bijhouden. Lukt dat niet, dan zullen zij meer en meer achter de feiten aan gaan lopen en wordt de kans op ‘succes’ voor cybercriminelen steeds groter. Met alle gevolgen aandien voor het zakelijke succes of misschien zelfs wel het voortbestaan van de financiële instelling.

Russel Stern is CEO van Solarflare