![[finno]](https://www.finno.nl/wp-content/uploads/Logo-Finno-2023-300-ppi-white-border-1030x1030.png){kind=logo}
FinTech wacht strijd met cybercrime
Door Richard Verbrugge
Tot op heden hebben FinTech bedrijven nog weinig last gehad van de oprukkende cybercrime. Hoe meer business FinTech afsnoept van de gevestigde orde, hoe groter de problemen zullen worden. FinTech is een successtory waarin kansen pakken centraal staat, maar waar nog weinig aandacht is voor de risico’s die op de loer liggen. Risico’s die nog niet iedereen op het netvlies heeft.
Op [finno] zijn de voorbije jaren veel interessante artikelen geplaatst die de turbulente ontwikkelingen in de financiële sector hebben belicht. FinTech is immers al enkele jaren hot. Voortdurend worden nieuwe bedrijven opgericht en wordt functionaliteit ontwikkeld die slimmer, sneller of efficiënter is dan tot op dit moment beschikbaar is. Het is duidelijk dat door de razendsnelle ontwikkelingen de rol van de grootbanken en verzekeringsmaatschappijen in de samenleving aan het veranderen is. De IT component wordt steeds belangrijker. Naast technologische vooruitgang is er ook nog wetgeving als PSD2 die de FinTech sector een flinke duw in de rug geeft.
Op basis van de technologische vernieuwing lijken FinTech bedrijven er vooral op uit om het contact met de klant over te nemen van o.a. banken, verzekeringsmaatschappijen, administratiekantoren en remisiers. In de voorbije jaren zijn vergelijkingen gemaakt met bedrijven als Apple en haar Aziatische concurrenten die de telefoniemarkt hebben getransformeerd. Apple en co. mogen dan het gezicht naar de klant zijn, de infrastructuur (de satellieten, centrales en het koperdraad) is echter niet in handen van Apple maar van bedrijven als AT&T. Sommige experts voorspellen een soortgelijke transformatie voor de financiële sector waarbij de banken alleen de infrastructuur overhouden. Is dat een realistisch scenario?
Niet alleen innovatie groeit
Wie goed naar banken kijkt ziet dat naast innovatie afdelingen ook information security afdelingen hard in omvang groeien. Laatstgenoemde ontwikkeling is tot op heden sterk onderbelicht. Veel nieuwe technologie heeft namelijk een vervelende keerzijde: criminelen krijgen ook toegang tot nieuwe technologie en veroorzaken steeds meer ellende. Bekijk het nieuws van de laatste maanden en je vindt vrijwel dagelijks nieuws over phishing, malware, cryptolockers, ransomware, hackers, DDOS aanvallen enzovoorts. Banken investeren fors om klantgegevens veilig te houden. Toezichthouders eisen ook dat banken de cyber security op orde heeft en controleert dat via normenkaders als COBIT, ISO of NIST.
Naar verwachting zijn er weinig FinTech bedrijven ingericht om te voldoen aan de toenemende druk vanuit wet- en regelgeving, laat staan dat ze over de mankracht en expertise beschikken om hun systemen 24×7 te beveiligen tegen de oprukkende cybercrime. Het aantal virussen, trojans en andere vormen van kwaadaardige software dat dagelijks wordt verspreid loopt in de miljoenen. Lekken in software moeten steeds sneller gedicht worden om problemen te voorkomen; bedrijven als Microsoft, Java en Adobe hebben het aantal patches al flink opgeschroefd. Nu consumenten massaal overstappen van internet bankieren naar smartphones, schuift de focus van criminelen mee. Valse QR codes en malware (bijvoorbeeld door het opladen van de smart phone via een PC) hebben al geleid tot overlays die -onzichtbaar voor de eigenaar- transacties muteren. Het kan vervelender; op het Darkweb worden zaken aangeboden die bedrijven in de financiële sector het leven zuur maken. Naast wapens en drugs kun je daar botnets kopen of huren, money mules en lijsten met gestolen creditcards vinden. Als biometrie doorzet kan cybercrime nog groter worden. Een hacker die een bestand met duizenden duimafdrukken of irisscans weet te stelen, kan die informatie straks voor malafide doeleinden (bijv. identiteitsfraude) gebruiken. Een PIN code is eenvoudig te vervangen door een nieuwe, maar een gehackt bestand met jouw duimafdruk or irisscan betekent dat je “hacked for life” bent, want je iris of duim kun je niet vervangen.
Cybercrime is overal
Dit artikel is niet bedoeld om de euforie rondom nieuwe technologische ontwikkelingen de kop in te drukken, met zwartkijken schiet niemand wat op. Wel is het goed om ontwikkelingen in het juiste perspectief te blijven zien. Neem bijvoorbeeld The Internet of Things. Er komen ontwikkelingen aan die ons leven thuis, op kantoor en onderweg een stuk makkelijker gaan maken. Daar worden we allemaal beter van. Echter, als veel apparatuur straks met het internet is verbonden kan die ook gehackt worden. Wie rijdt er straks in een zelfsturende auto als die door een hackende tiener in de berm kan worden gezet? Of een koelkast waarvan de inhoud door een hacker voor de grap wordt ontdooid? Of iemand die via je CV je huis tot sauna temperaturen gaat opwarmen? Iedereen die meent dat dat niet gaat gebeuren, vergist zich. Alles wordt gehackt, van dating sites (Ashley Madison), telco’s (T-mobile) tot en met speelgoedfabrikanten (V-tech). Experts op information security gebied claimen dat de meest geavanceerde software die wordt ontwikkeld door veiligheidsdiensten als de NSA een jaar later beschikbaar is voor criminelen. Naar verluidt was Carbanak, een APT die banken in Oost Europa honderden miljoenen euro’s heeft gekost, net zo geavanceerd als Stuxnet. In maart van dit jaar werd via een APT nog 80 miljoen dollar weggesluisd van een bank in Bangladesh en kon door een foutje van de criminelen worden voorkomen dat nog meer geld werd gestolen.
Disruptie wordt collaboratie
Gaan FinTech bedrijven financiële zaken overnemen van de gevestigde orde? Dat gebeurt elke dag al. Gaan FinTech bedrijven ons beschermen tegen de oprukkende cybercrime? Dat valt nog te bezien. Het gevecht met cybercriminelen vraagt om steeds slimmere preventie- en detectiemaatregelen en die vragen vanzelfsprekend om investeringen. Een eind aan dat gevecht is nog lang niet in zicht, zodat naast intelligentie en expertise ook diepe zakken nodig zijn om dat gevecht vol te houden. Wat gebeurt er als straks een FinTech bedrijf dat financiële diensten voor consumenten verricht wordt gehackt, allerlei vertrouwelijke gegevens op straat komen te liggen of consumenten veel geld verliezen? Moet de overheid dan bijspringen zoals destijds bij het IceSave drama omdat er -anders dan bij banken- geen gezamenlijk vangnet is?
Cybercrime en toezichthouders dwingen FinTech tot strategische allianties. Het is een teken aan de wand dat een gigant als Apple transacties faciliteert (Apple Pay) maar de verwerking overlaat aan Visa en Mastercard. Verwerking van transacties zou namelijk betekenen dat ze aan strenge wet- en regelgeving moeten voldoen en miljoenen aanvallen van criminelen en hackers tegemoet kunnen zien. Miljoenen? Jazeker en dat is nog maar een fractie van het aantal dat bijvoorbeeld de NSA dagelijks voor zijn kiezen krijgt. Het zou kunnen verklaren waarom ze al jaren banklicenties voor veel landen op zak hebben, maar de markt niet betreden.
Niemand weet wat de toekomst ons gaat brengen, maar het is opmerkelijk dat de term disruptie langzaam verdwijnt en plaatsmaakt voor samenwerking. FinTech bedrijven beseffen dat ze geen bank willen of kunnen worden en banken leren dat FinTech hen kan helpen bij het zo goed mogelijk inspelen op de veranderende marktdynamiek en het benutten van nieuwe technologieën. De onlangs aangekondigde collaboraties om de blockchain technologie gezamenlijk te verkennen zijn wat dat betreft een teken aan de wand. Sterker nog, partijen zullen de krachten moeten bundelen om in de veranderde klantbehoefte te voorzien en tegelijk cybercrime het hoofd te bieden.
Noot: bovenstaand artikel is geschreven door Richard Verbrugge, Sr. Account Manager Information Security Risk Management bij ABN AMRO.
Photo credits: Pixabay.com / stevepb / bewerkt door [finno]
Plaats een Reactie
Meepraten?Draag gerust bij!