ICT-risicospecialist Alexandre Vandeput: ‘Banken zijn kwetsbaar voor hacking via hun externe dienstenleveranciers’

Het recente lek van bankgegevens van Belfius-klanten werpt vragen op over de cyberveiligheid van onze banken. Maar volgens Alexandre Vandeput, ICT-risicospecialist van Capco, zijn de Belgische banken op dat gebied de best presterende sector van het land.

Alexandre Vandeput is de ICT-risicospecialist van Capco, een technologie- en managementconsultancybedrijf gespecialiseerd in de financiële sector. Hij verzamelt al jaren data over de cyberveiligheid van financiële instellingen en adviseert hen daarover. Volgens Vandeput scoren de Belgische banken vrij goed op dat gebied, maar er blijven mankementen. “Mastercard maakte dit jaar een analyse van de kwetsbaarheid van verschillende bedrijfssectoren voor cyberaanvallen”, zegt hij. “De Belgische banken haalden een score van 8,43 op 10 en zijn daarmee de best presterende sector van het land. De publieke sector en de gezondheidszorg zijn met een score van nauwelijks 7 op 10 veel kwetsbaarder. Bovendien ligt de score van de Belgische banken hoger dan het gemiddelde van de Europese banksector, die 7,98 op 10 haalt.”

Hoe is die goede score te verklaren?

ALEXANDRE VANDEPUT. “De banksector is onderworpen aan een strenge regulering. Maar onze banken hebben ook zwaar geïnvesteerd in de beveiliging van hun kritische IT-infrastructuur en in artificiële intelligentie, zowel om de bescherming op te drijven als om de dreiging van een cyberaanval sneller te detecteren. Uit cijfers van Agoria blijkt dat de Belgische banksector daaraan meer geld uitgeeft dan andere sectoren. Banken beseffen dat het vertrouwen van de klant essentieel is en dat ze geviseerd worden door hackers. Het beveiligen van klantengegevens beschouwen ze als een kerntaak.”

Waar situeren zich de grootste risico’s voor een cyberaanval?

VANDEPUT. “Bij de derde partijen waarmee banken samenwerken en waarmee ze digitaal geconnecteerd zijn. Dat kan gaan om IT-leveranciers, servicebedrijven of fintechs. Er zijn veel interfaces tussen de banken en die externe dienstverleners, en elk ervan houdt een risico in. Meer dan de helft van de inbraken door hackers gebeuren via de supplychain. Uit cijfers van het Europees agentschap voor cyberbeveiliging Enisa blijkt dat de banken zich daarvan bewust zijn. 98 procent van de Europese banken heeft een zogenoemde third party risk management policy. Ook dat is weer veel meer dan bedrijven in andere sectoren.”

Ging het bij Belfius om een hacking van gegevens via zo’n derde partij? Er was sprake van een Turks of Kosovaars callcenter via welk het datalek zou hebbenplaatsgevonden.

VANDEPUT. “Dat is moeilijk uit te maken. Ik heb uit de communicatie van Belfius begrepen dat het datalek zich niet bij hen situeerde. Maar het callcenter waarvan sprake zou ook niet werken in opdracht van Belfius. Als dat wel zo zou geweest zijn, zou het lek zich bij een derde partij situeren. En Belfius is verantwoordelijk voor de controle op de cyberveiligheid van zijn leveranciers en partners.”

Ook de stad Antwerpen werd onlangs gehackt. Is het geval vergelijkbaar?

VANDEPUT. “Helemaal niet. In Antwerpen zijn hackers tot in de servers van de stad doorgedrongen. De conclusie daar is dat overheden meer moeten investeren in cyberbeveiliging. Hetzelfde geldt voor ziekenhuizen. Ik begrijp dat sommige instellingen met geldmoeilijkheden worstelen, maar besparen op cyberbeveiliging is echt geen goed idee. De gemiddelde kostprijs van een cyberincident is dit jaar opgelopen tot 200.000 euro, dat is twee keer zo veel als in 2021. Verzekeraars trekken ook steeds meer hun handen af van cyberrisico’s.”

Wat kunnen banken nog meer doen om de veiligheid te garanderen?

VANDEPUT. “Het is belangrijk dat het risicobeleid ten aanzien van derde partijen geen dode letter blijft. Het beleid moet ook volledig geïmplementeerd worden, en dat is niet altijd het geval. Er is ook nog werk aan de winkel om de mobiele veiligheid te verbeteren. Sommige banken trekken te weinig budget uit voor de beveiliging van hun app. En het bewustmaken van de eigen werknemers blijft een topprioriteit. Malware wordt vaak geïnstalleerd doordat personeelsleden op een link klikken. Organisaties zijn zo kwetsbaar als de zwakste schakel, en dat blijken vaak interne medewerkers te zijn die valse e-mails niet herkennen of een makkelijk te kraken paswoord gebruiken.”

Wat als hackers in hun opzet slagen?

VANDEPUT. “Dan moet er sneller worden gereageerd. Belgische banken zullen binnenkort verplicht zijn om binnen de 24 uur een cyberincident te melden bij het Cyber Emergency Response Team (Cert), de operationele poot van het Centrum voor Cybersecurity België (CCB). Na 72 uur zullen ze een volledig rapport moeten afleveren, met een eerste risicoanalyse. Dat is kort dag en de uitdaging bestaat erin om de reactiesnelheid zo kort mogelijk te maken. Dat vereist de inzet van veel gespecialiseerde mensen.”

Europa keurde enkele weken geleden de nieuwe Europese wetgeving DORA (Digital Operational Resilience Act) goed. Wat is het belang van deze nieuwe wet?

VANDEPUT. “DORA is een gemeenschappelijke set van regels die de ICT- en cyberrisico’s in de financiële sector moeten beperken. Ze verplichten financiële instellingen om hun ICT-risico’s in kaart te brengen, te analyseren en aan te pakken. Maar ze moeten ook testen uitvoeren om de weerbaarheid van hun kritische infrastructuur tegen interne en externe bedreigingen te controleren. Ten slotte maakt DORA het gemakkelijker voor financiële instellingen om onderling informatie en inlichtingen over cyberbedreigingen te delen. Het is een belangrijke stap in de goede richting om de cyberrisico’s te beperken, maar de implementatie wordt een heel complex proces.”

Aan welke specifieke elementen uit de wetgeving denkt u daarbij?

VANDEPUT. “DORA wil dat dezelfde regels gelden voor banken als voor kritische derde partijen waarmee ze samenwerken. Maar veel bedrijven zijn daar niet klaar voor. Zelfs de aanbieders van cloudservices, die vaak grote bedrijven zijn. Zij bieden in principe een hoog niveau van beveiliging, maar dat gaan ze nu ook moeten bewijzen. De locatie van data moet op elk moment bekend zijn. Omdat IT- en service-bedrijven de clouddiensten op hun beurt vaak uitbesteden, is er ook een concentratierisico. Je kunt dat risico als financiële instelling opvangen door een beroep te doen op meerdere cloudproviders, maar aan het eind van de ketting kom je altijd uit bij dezelfde namen.”

P.C.