“Je moet de business case van cybercriminelen breken”

Dit is de ingekorte versie, lees het volledige artikel hier.

Het internet en de digitale revolutie hebben de manier waarop banken werken en consumenten betalingen doen, volledig op zijn kop gezet. Deze evolutie plaatst ook de beveiliging van onze betaalsystemen in een nieuw licht. Hoe kunnen we elke dag veilige betalingen garanderen en hoe blijven we cyberfraudeurs te snel af? Tim Hermans (Nationale Bank van België), Niek De Taeye (B-Hive) en Kristof Browaeys (Internetbanking Security Febelfin) geven hun visie.

Het aantal gevallen van fraude via internetbankieren stijgt opnieuw. Hoe komt dat?

Kristof Browaeys (KB): “Als je het aantal fraudegevallen via internet- en mobiel bankieren over een langere periode bekijkt, zie je een cyclisch patroon met pieken en dalen. Verdwijnen doen de fraudegevallen echter nooit helemaal. Phishing is een business op zich geworden. Vroeger stuurden fraudebendes mailtjes in schabouwelijk Nederlands en probeerden ze mensen naar slecht nagemaakte websites te lokken. Dat is voorbij. De daders kopen nu een kant-en-klare ‘phishingkit’ op de zwarte markt. Enige technische knowhow is niet meer nodig. Je behoeft enkel e-mailadressen en een valse website. De kwaliteit van die valse e-mails en sites is er sterk op vooruitgegaan. We zien ook dat de bendes hun actieterrein hebben verbreed. Ook klanten van kleinere banken worden nu geviseerd.”

Tim Hermans (TH): “De eigen systemen van banken zelf zijn nu zo goed beveiligd dat daders op zoek gaan naar de zwakste schakel. Jammer genoeg is dat vaak ongewild de klant zelf. De digitale vaardigheid van de consument speelt daarbij zeker een rol. Klanten komen steeds minder in contact met hun bank en vertrouwen veel meer op internet. Dat alles vergroot de kans op een succesvolle phishing."

Hoe kan die digitale vaardigheid aangescherpt worden?

Niek De Taeye (NDT): “Mensen weten enerzijds wel dat ze moeten oppassen maar anderzijds zijn sommige processen zo gebruiksvriendelijk dat het heel snel ‘te laat’ is. Snelheid en gebruiksgemak krijgen meestal de voorkeur van de consument, boven veiligheid. Bovendien gaat de consument er nog vaak automatisch vanuit dat er wel een vangnet zal zijn wanneer het verkeerd gaat. Banken en regelgevers kunnen echter niet alles opvangen. Er moet gesensibiliseerd worden met voldoende herhaling. Desnoods tien of honderd keer.”

KB: “Als iemand in het echte leven zegt: ‘Geef eens de sleutels van je huis want Europa heeft een nieuwe maatregel om de sloten te controleren’, dan weten mensen dat er iets niet klopt. Maar op internet beseft men niet dat de codes voor je internetbankieren net zo geheim zijn als de codes van je bankkaart.”

Volgend jaar treedt Payment Service Directive II in werking. Derde partijen zullen wettelijk gemachtigd worden om betalingen te doen op internet. Valt dit te rijmen met de boodschap om geen codes door te geven?

TH: “Derde partijen gaan inderdaad - op vraag van de klant - betalingen kunnen doen via de zichtrekeningen van die klant. Zomaar je codes doorgeven, zal er echter niet bij zijn. Van de honderden pagina’s tekst die het ontwerp van PSDII omvat, gaat er een aanzienlijk deel over cybersecurity. Met garanties over veiligheid, de betrouwbaarheid van de systemen, …”

KB: “De klemtoon moet vooral liggen op: ‘ik heb iemand gemachtigd om die codes te gebruiken maar wel op mijn eigen initiatief’. Als iemand zegt dat je je codes voor een of andere reden moet ingeven, dan is dat niet op je eigen initiatief en moet je achterdochtig worden. Die codes geven toegang tot je geld. Die worden normaliter niet gevraagd aan de telefoon of in een e-mail.”

NDT: “Een van de gevaren van PSDII is wat nu bij big data en identiteit gebeurt. Door het linken van allerlei identiteiten (e-mail, Facebook, …) kan je van een klant bijna alles achterhalen. Als dat gebeurt met betalingsstructuren wordt het mogelijk om zeer specifieke phishingacties te ondernemen. Stel bijvoorbeeld dat je via Googledata zou kunnen achterhalen dat iemand een lening aan het afbetalen is, dan kan je veel gerichter gaan mikken met phishing.”

Het woord gebruiksgemak is al gevallen. Zeker bij app’s op smartphones is dit cruciaal. Hoe garanderen we daar de balans tussen gebruiksgemak en veiligheid?

TH: “Naast gebruiksgemak en veiligheid is er ook de factor ‘kost’. Daarbij zijn verschillende combinaties mogelijk. Hoge kost en veiligheid maar laag gebruiksgemak. Hoog gebruiksgemak met hoge kost en lage veiligheid, …  Het zal een uitdaging zijn om tussen die drie factoren een optimum te zoeken want de smartphone wordt hét betaalmiddel van de toekomst. Je ziet dat al in China, een markt die een generatie betaalmiddelen heeft overgeslagen. Kaarten bestaan er bijna niet, iedereen betaalt er mobiel. In de EU heb je dan weer het instant payments initiatief, waarmee je betaling binnen enkele seconden bij de begunstigde is.”

KB: “Mobiel bankieren is er tot nu toe aardig in geslaagd om een evenwicht te vinden tussen die drie factoren. Veel consumenten zien als beveiliging enkel de code waarmee ze aanmelden of verrichtingen tekenen maar er steekt een hele reeks zichtbare en onzichtbare maatregelen achter. Dat blijkt ook uit de cijfers: waar er fraude is met mobiel bankieren, is dit niet de wijten aan de app zelf maar wel doordat fraudeurs de codes kunnen ontfutselen van gebruikers.”

NDT: “Ik denk dat twee zaken van belang zijn. Eerst en vooral: identificatie. Hoe makkelijker en zekerder de identificatie van de gebruiker kan verlopen, hoe minder fraude. Smartphones kunnen zich daar beter toe lenen dan andere kanalen, zeker als je ook biometrische gegevens gebruikt. Het gebruiksgemak en de user experience moeten wel steeds centraal staan, anders riskeer je om de gebruiker te verliezen. Ten tweede: artificiële intelligentie en machine learning om transacties op te sporen en te blokkeren. Hoe meer dat in real time kan, hoe meer feedback je aan de klant kan geven. Als hij iets ondertekent dat niet koosjer is, kan je waarschuwen.”

Wat is een goede aanpak om criminelen te snel af te zijn?

KB: “Snelheid van handelen is een van de belangrijkste factoren om een phishingaanval te stoppen. Dat heeft een afradend effect. Als criminelen voelen dat het te warm wordt onder de voeten, geven ze op. Je moet hun business case breken. Maak je echter geen illusies. Twee maanden later staan ze daar weer met een nieuwe aanval. Het blijft een kat-en-muis-spel.”

Is er in België voldoende overleg met de verschillende partijen op het terrein?

TH: “Er is veel coördinatie, zeker voor kritische infrastructuur. De bestaande mechanismes worden regelmatig getest en verfijnd. Er zijn ook specifieke initiatieven, zoals de Financial Sector Cyber Council (FSCC) die in België werd opgericht en nauw samenwerkt met het Centrum voor Cybersecurity (CCB). De FSCC wil het bewustzijn vergroten, raamwerken voor cybersecurity en resilience ondersteunen en wettelijke of reglementaire hindernissen opruimen die goede initiatieven in de weg staan. Hopelijk leidt dit tot nog meer samenwerking tussen financiële infrastructuren, bijvoorbeeld via sectorale red team testen.”

Hoe staan de banken tegenover dergelijke red team testen of ethisch hacken?

TH: “In de financiële sector zijn er al heel wat individuele banken die dit doen, maar ik denk dat het ook interessant zou zijn om hier initiatieven op te zetten over de hele sector heen. Als alle instellingen worden onderworpen aan meer gesofisticeerde aanvalsscenario’s, wat voor nieuwe inzichten leren we dan die ons kunnen versterken op sectorniveau?”

KB: “Binnen Febelfin delen we actief informatie en best practices over cyberaanvallen. Het adagium luidt: there is no competition in cybersecurity. Want je kan er donder opzeggen dat wat bank X vandaag meemaakt, bank Y morgen op haar bord krijgt. En de lessen die bank X geleerd heeft, kan je vaak perfect op bank Y toepassen.”

Ethische hackers die kwetsbaarheden melden in IT-systemen zijn niet altijd vrij van vervolging. Wat vinden jullie daarvan?

KB: “Belgische banken maken al vrij lang gebruik van ethical hacking. Wij werken echter enkel met gerenommeerde consultants die hacken in onze opdracht. We werken dus niet met hackerscollectieven en we hebben ook geen knop op onze website die je kan aanvinken zodat je naar hartenlust kunt hacken, terwijl je toch juridisch veilig zit. Dat blijft een grijze zone. Consultants die als ethische hackers werken, zijn echter niet goedkoop. Voor kleinere bedrijven zou het wegwerken van die grijze zone een oplossing kunnen zijn om ook daar aan ethical hacking te kunnen doen.”

NDT: “Bij B-Hive werken we veel samen met kleine fintech start-ups en het eerste wat wij hen zeggen is: zorg dat je cybersecurity top is. Zeker als je een concurrent of een disruptor voor de banken wil zijn, geldt dat nog meer. Je ziet vaak dat die een hele tijd ongemoeid kunnen groeien maar dan genoeg kritische massa krijgen om in het vizier van hackers te komen. Als hun security dan niet op punt staat, zijn ze een vogel voor de kat. Dat overleeft een scale-up niet.”

Welke toegevoegde waarde wil B-Hive creëren binnen cybersecurity?

NDT: “B-Hive zet een gecentraliseerde aanpak en gecentraliseerde oplossingen voorop. Waarom niet samen het landschap opmaken en beslissen welke zaken je moet coveren? De tijd dat je enkel een antivirusprogramma moest installeren en je beschermd was, is voorbij. De technologie gaat zo hard. Wat je nu ziet, is dat banken een combinatie hebben van grote systemen die de meerderheid van de gevallen kunnen tackelen. Dat vullen ze aan met kleine, heel gesofisticeerde manieren om alle overgebleven gaatjes te dichten. Daar kunnen we samenwerken, zelfs internationaal.”

Phishing…

  • Via phishing proberen fraudeurs de pincode of de codes waarmee je aanmeldt bij het internetbankieren te ontfutselen.
  • Soms wordt ook gevraagd om je bankkaart op te sturen.
  • Meestal ontvang je een e-mail met daarin een link die leidt naar een nagemaakte website, bv. die van je bank.
  • Eén tip: je bank vraagt dit nooit. Geef dan ook nooit zomaar je codes door.

Wat kunnen we van het buitenland leren?

TH: “Penetratietesten zijn nu ongeveer standaard in elke financiële instelling. Het uitwerken van een uniforme aanpak over sectoren heen met zeer gesofisticeerde scenario’s en met toegang tot de laatste kennis is dat veel minder. Daar kunnen we zaken over opsteken. Stel dat er een aanval is op het financiële berichtensysteem of de eigen systemen van banken, wat is dan de impact op de verschillende participanten?”

NDT: “Israël heeft een cyber security director die rechtstreeks aan de premier rapporteert en de verantwoordelijkheid heeft over de volledige end-to-end cybersecurity voor het hele land, over sectoren heen. Hij houdt gevestigde waarden in de gaten maar houdt ook de vinger aan de pols van opkomende technologieën. Daardoor is het er ook interessant voor cybersecurity experts uit de militaire wereld om de overstap te maken naar de privémarkt. Je ziet er heel wat securitybedrijfjes die door ex-personeelsleden van de Mossad zijn opgericht. Idem in de VS. In België ligt dat moeilijker, ook al omdat we geen militaire grootmacht zijn en niet echt in een conflict zijn betrokken. Maar er valt wel wat voor te zeggen om cybersecurity op een nationaal niveau te benaderen.”

Het Centrum voor Cybersecurity België rapporteert ook aan de eerste minister.

TH: “Dat is zo en dat duidt er voor mij op dat men het probleem en de ernst echt wel erkent.”

Een laatste gedachte?

TH: “We hebben nu vooral gesproken over de gevaren en risico’s van digitalisering maar het is vooral een grote opportuniteit. Connecties tussen systemen, de snelheid van betaling die stijgt, de kostprijs die daalt, … Dat zijn positieve zaken die zonder de digitalisering niet mogelijk zouden zijn. De voordelen zijn veel groter dan de nadelen.”