Financiële instellingen geven driemaal zoveel uit aan IT-beveiliging

Financiële instellingen ?staan onder druk om de beveiliging op te voeren. Zeker nu de IT-infrastructuur van banken, onder andere door de toename van mobiel bankieren, steeds vaker het risico loopt op een cyberaanval. Steeds vaker spelen klanten een belangrijke rol in het aan het licht brengen van beveiligingsincidenten. Bijna een kwart (24%) van de financiële instellingen zegt dat sommige dreigingen waarmee ze in 2016 werden geconfronteerd door klanten werden geïdentificeerd en gemeld.

Dit blijkt uit het Financial Institutions Security Risks onderzoek van Kaspersky Lab en B2B International. Investeren in beveiliging blijkt een grote prioriteit voor banken en financiële instellingen. Omdat ze te maken hebben met aanvallen op zowel de eigen infrastructuur als op klanten, geven banken driemaal zoveel uit aan IT-beveiliging als niet-financiële instellingen van vergelijkbare omvang. Bovendien geeft 64% van de banken aan dat ze ongeacht de return-on-investment zullen investeren in het verbeteren van hun IT-beveiliging. Hiermee hopen ze te kunnen voldoen aan de groeiende vraag van overheidstoezichthouders, topmanagement en zelfs hun klanten.

Ondanks het feit dat banken serieuze inspanningen en budgetten inzetten om hun grenzen te beschermen tegen bekende en onbekende cyberdreigingen, blijkt het lastig om de volledige bestaande IT-infrastructuur - van traditioneel tot gespecialiseerd, geldautomaten en Point-of-Sale-terminals - te beschermen. Het uitgestrekte en steeds veranderende dreigingslandschap, in combinatie met de uitdaging om de veiligheidsgewoonten van klanten te verbeteren, heeft fraudeurs steeds meer kwetsbare punten gegeven om te exploiteren.

Social engineering-aanvallen op bankrekeningen
Nieuwe risico's met betrekking tot mobiel bankieren zijn in het rapport gemarkeerd als trends die banken kunnen blootstellen aan nieuwe cyberdreigingen. 42% van de banken voorspelt dat een overweldigende meerderheid van hun klanten binnen drie jaar gebruik zal maken van mobiel bankieren, maar geeft toe dat gebruikers te nonchalant zijn in hun online gedrag. De meerderheid van de ondervraagde banken (46%) geeft toe dat hun klanten vaak worden aangevallen via phishing-pogingen. 70% van de banken meldt hieruit resulterende financiële fraude-incidenten, met als gevolg monetair verlies.

De toename in phishing- en social engineering-aanvallen op klanten heeft ervoor gezorgd dat banken hun beveiligingsinspanningen op dit gebied zijn gaan heroverwegen. Van de respondenten ziet 61% het verbeteren van de beveiliging van door hun klanten gebruikte apps en websites als één van de grootste beveiligingsprioriteiten, op de voet gevolgd door de implementatie van meer complexe authenticatie en verificatie van inloggegevens (een belangrijke prioriteit voor 52%).

Gerichte cyberaanvallen
Hoewel ze kwetsbaar zijn voor phishing-trucs en -tools die hun klanten als doelwit hebben, maken banken zich nog steeds meer zorgen over een andere 'oude vijand': gerichte aanvallen. Kaspersky Lab stelt dat banken goede redenen hebben tot ongerustheid; gerichte aanvalsmethoden worden steeds gebruikelijker, waarbij zelfs malware-as-a-service platforms worden gebruikt om financiële instellingen te schaden.

Ervaringen met echte incidenten tonen ons dat investeringen in beveiliging in de financiële sector zich meestal uitbetalen. Financiële instellingen rapporteren significant minder beveiligingsincidenten dan bedrijven van dezelfde omvang in andere sectoren. De enige uitzondering hierop zijn gerichte aanvallen en malware. Het detecteren van abnormale, potentieel schadelijke activiteiten, in de vorm van een combinatie van legitieme tools met bestandloze malware, vereist een combinatie van geavanceerde oplossingen tegen gerichte aanvallen en uitgebreide beveilingsinlichtingen. Toch maakt 59% van de financiële bedrijven nog geen gebruik van externe dreigingsinlichtingen.

Het delen van dreigingsinformatie kan banken helpen bij het identificeren van nieuwe en opkomende dreigingen, stelt Kaspersky Lab. Dit is een belangrijk aandachtspunt voor banken, gezien de geringe bezorgdheid die banken soms hebben wat betreft hun meest kwetsbare apparaten zoals geldautomaten. Het delen van meer externe inlichtingen zou banken in dit verband kunnen helpen zich voor te bereiden op dreigingen die zij anders mogelijk niet verwachten.

Geldautomaten zijn kwetsbaar
Banken tonen relatief weinig bezorgdheid over de dreiging van financiële verliezen als gevolg van aanvallen op geldautomaten. Slechts 19% van de banken maakt zich zorgen over aanvallen op geldautomaten, ondanks de toenemende mate waarin malware zich richt op dit deel van de infrastructuur van banken. In het dreigingsoverzicht van 2016 meldden Kaspersky Lab een toename van 20% in ATM-malware ten opzichte van 2015.

Martijn van Lom, General Manager Benelux van Kaspersky Lab, merkt op: "Het bestrijden van de voortdurend veranderende dreigingen, gericht tegen hun eigen IT-infrastructuur en rekeningen van klanten, vormt een dagelijkse uitdaging voor financiële instellingen. Voor het opzetten van een effectieve response - die alle kwetsbare punten beschermt - heeft de financiële sector een ??aantal belangrijke componenten nodig: het bouwen van een sterk geïntegreerde bescherming tegen gerichte aanvallen, het accepteren van anti-fraude beveiliging vanuit meerdere kanalen en het binnenhalen van bruikbare informatie over in opkomst zijnde dreigingen."