Cybercrime DE BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN



Vergelijkbare documenten
CYBERCRIME BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN. Auteur: A. Wouda Datum:

Inleiding. Begrippen en concepten

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Position Paper rondetafelgesprek Online Betalingsverkeer - 30 mei 2013

CYBER SECURITY MONITORING

Over Vest Pioniers in informatiebeveiliging

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

NBV themanummer Nieuwsbrief December 2010

Het succes van samen werken!

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

ACTUEEL?

ESET NEDERLAND SECURITY SERVICES PREDICTION

Cybercrime. Richting definitie, afbakening en positionering

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Cybersecuritybeeld Nederland

Informatiebeveiliging voor gemeenten: een helder stappenplan

Internetbankieren móét en kán veiliger

Cybercrime. Bert Bleukx Hoofd Anti-Cybercrime Team KBC België

Hoe kan je geld verdienen met Fraude?

INNOVEREN VOOR EEN VEILIGE EN VEERKRACHTIGE CYBERSPACE

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Directoraat-Generaal Rechtspleging en Rechtshandhaving

Post Graduate IT Audit opleiding

NEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

Impact Cloud computing

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Security Starts With Awareness

De digitale wereld: vol opportuniteiten, maar ook vol risico's

TIC 1. Trends in Continuity. BCM Academy

Van Samenhang naar Verbinding

Veilig bankieren. Rabobank leiden, Leiderdorp en Oegstgeest

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Kwetsbaarheden in BIOS/UEFI

Digitale veiligheid. Hoe kijken consumenten en bedrijven aan tegen digitale veiligheid? GfK Yvette Bracke & Koen van Nijnatten September 2018

Tweede Kamer der Staten-Generaal

ABN AMRO. Welkom bij ABN AMRO ideal Algemene handleiding

Samenvatting. Aanleiding, vraagstelling en scope

Goed mkb-bestuur en de rol van de accountant

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Marleen Weulen Kranenbarg Cyber-offenders versus traditional offenders

Datum 16 april 2013 Betreft Brief op verzoek van het lid Van Hijum (CDA) over de ICT-problemen bij banken als gevolg van cyberaanvallen

Samenvatting. Achtergrond

Visie Ehealth Longfonds

Hoe fysiek is informatiebeveiliging?

Impact Cloud computing

De Nieuwe Overheid: nieuwe mogelijkheden, nieuwe vragen

MEER CONTROLE, MEER BEVEILIGING. Business Suite

Identity & Access Management & Cloud Computing

Stappenplan naar GDPR compliance

De bediening van de nieuwe consument

Integriteitsrisico s

Ronde Tafel Hergebruik en uitwisseling van software bij het Rijk'

Drie digitale bedreigingen, drie oplossingen

De kracht van een sociale organisatie

Betalingsverkeer. Vertrouwen of innoveren? Wandena Birdja-Punwasi en Erus Schuurman. 22 mei 2014

M E T A P L U S T R A I N I N G A D V I E S C O A C H I NG

DEEL I DE OPKOMST VAN E-HRM

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Bewustwording van phishing Benodigde tijd voor voltooiing: 3-5 minuten (ongeveer)

IBM Connections. Magic XPI. Project uren. fiscaal Financieel

Snelheid van handel(en) Han van Eck Sr. Solution Consultant

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Besluitvorming over bijzondere opsporingsbevoegdheden in de aanpak van georganiseerde criminaliteit

Samenvatting Flanders DC studie Internationalisatie van KMO s

1. Inhoudsopgave.

DDOS attack. Wat is dat eigenlijk? Handleiding van Helpmij.nl. Auteur: leofact

Cyber MKB. Weerstand bieden aan cybercriminaliteit

Prodware klantendag 2014 Service dienstverlening

Duurzame Ontwikkeling

Tech Monitor: Botnets een dreigende ontwikkeling op het internet Maatschappelijk Overleg Betalingsverkeer, november 2008

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

Is er een standaard oplossing voor Cyber Security?

Centrale regie en decentraal gebruik binnen communicatie

Agenda. Over de gevaren van phishing en de urgentie van e- mailbeveiliging

Cyber security. Het nieuwe wereldprobleem? Erik Poll Digital Security

HET CENTRALE SECURITY PLATFORM

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Real Time Monitoring & Adaptive Cyber Intelligence SBIR13C038

Vergroening Kennisnet Cloud

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

Achtergrond Waarom een zorgstandaard naast richtlijnen en protocol en?

Onderwijs en cyber security

Tweede Kamer der Staten-Generaal

STORAGE AUTOMATION IT MANAGEMENT & OPTIMIZATION DATAGROEI DE BAAS MET EXTREEM BEHEERGEMAK DOOR AUTOMATISERING EN VIRTUALISATIE

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Strategic Decisions Monitor Februari 2016 Trends in Customer Service

Visiedocument Expertisenetwerk Kinder- en Jeugdpsychiatrie (EKJP)

w o r k s h o p s

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Missie en visie. BTG/TGG verbindt organisaties in hun gezamenlijke belangen in het domein van ICT en telecommunicatie

Wij, de overheid - samenvatting

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Transcriptie:

DE BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN Cybercrime CCybercrime lijkt zich de laatste jaren te ontwikkelen tot een significante dreiging voor de digitale wereld en de bedrijven die daarvan in grote mate afhankelijk zijn geworden. In hoeverre is deze ontwikkeling van cybercrime van invloed op de risicobeheersing van Nederlandse klein banken? ANNE WOUDA Bancaire instellingen verkopen in essentie vertrouwen aan klanten en nemen daarbij een deel van de inherente risico s van het bezit van geld over. Naar mate de bancaire sector mee gaat in de wereldwijde digitalisering van informatie en middelen, nemen de daarbij horende risico s voor de banken toe. Bancaire instellingen worden met cybercrime geconfronteerd, simpelweg omdat er iets valt te halen. Het gaat daarbij niet alleen om geld, maar ook om persoonlijke informatie. De verplaatsing van de fysieke geldstromen, via bankkantoren, naar de digitale wereld, 22 de IT-Auditor nummer 4 2011

wordt door de criminelen op de voet gevolgd. Daarbij vergroot de digitalisering het bereik van de banken naar de klanten en vice versa, maar ook de toegankelijkheid van de banken voor criminelen. De huidige focus van cybercriminelen lijkt primair gericht op banken met een grote clientèle. De organisatie rondom cybercrime lijkt steeds doeltreffender, waardoor er sprake is van een toename in de verspreiding en de mogelijkheden van malware. Hierdoor zou de modus operandi van cybercriminelen zich in toenemende mate kunnen gaan richten op specifieke kleinere banken. Deze verandering van de modus operandi lijkt mede te worden ingegeven door de maatregelen die worden getroffen door grote banken, waardoor het voor cybercriminelen lastiger wordt succesvol geld te ontvreemden van deze banken. Dit artikel beoogt een bijdrage te leveren aan inzicht in relevante en toekomstige dreigingen van cybercrime voor de bancaire sector in Nederland en de mogelijke maatregelen, waar IT-auditors, informatiebeveiligers en (senior) management in de bancaire sector rekening mee kunnen houden bij het uitvoeren van hun functie. Allereerst wordt in dit artikel uiteengezet op welke wijze de professionalisering van cybercrime, in relatie tot de bancaire sector, plaatsvindt. Vervolgens wordt weergegeven in hoeverre deze ontwikkelingen van invloed zijn op de organisatie van de risicobeheersing en informatiesystemen. Aansluitend wordt een beschouwing gegeven van de ontwikkelingen van cybercrime en de risicobeheersing bij klein banken, om aan te geven op welke wijze additionele maatregelen op de belangrijkste risicogebieden kunnen worden getroffen. Daarna wordt inzicht gegeven in de financiële en reputatieschade bij klein banken, als gevolg van de ontwikkelingen van cybercrime. Het artikel wordt afgesloten met een korte samenvatting en slotconclusies. Dit artikel is gebaseerd op het afstudeeronderzoek naar de beheersing van cybercrime bij Nederlandse klein banken in het kader van het afstudeertraject voor de Postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Het onderzoek heeft plaatsgevonden in de periode juli 2010 tot en met maart 2011 en viel uiteen in een literatuuronderzoek en een casusonderzoek. Het casusonderzoek heeft zich gericht op vier klein banken in Nederland met een overeenkomstig risicoprofiel qua dreiging van cybercrime. Tevens is gebruik gemaakt van een referentdoelgroep, die uit een groot bank bestond. PROFESSIONALISERING CYBERCRIME Het begrip cybercrime spreekt tot de verbeelding van personen, waardoor een ieder een eigen beeld heeft van cybercrime. Dit wordt mede versterkt door het ontbreken van een formele gemeenschappelijke definitie. De keuze voor de definitie van cybercrime is sterk afhankelijk van de toepassing in het kader waarvan de definitie wordt gehanteerd [FABE10]. De toepassing van cybercrime, zoals bedoeld in dit artikel, richt zich primair op de bancaire sector in relatie tot het ITaudit vakgebied. Het is hierbij in mindere mate van belang om in de definitie van cybercrime al een onderscheid te maken op basis van de criminaliteitsvorm, aangezien dit geen additioneel inzicht geeft in de aanwezige risico s en de mogelijke maatregelen. Er is om deze reden gekozen om aan te sluiten bij de internationaal gangbare en praktische definitie van cybercrime, om daarna te concentreren op de relevante verschijningsvormen van cybercrime in de bancaire sector. Het begrip cybercrime is in dit artikel gedefinieerd als, alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt [LEUK10]. De ontwikkeling van cybercrime Elke verschijningsvorm van cybercrime kent zijn specifieke ontwikkelingen, die door verschillende factoren worden beïnvloed. Op hoofdlijnen is er een aantal generieke factoren dat de ontwikkeling van cybercrime in algemene zin bepaalt. Wall geeft aan dat de ontwikkeling van cybercrime met name ligt in de groei van de netwerken, door middel van de convergentie van technologieën, het toenemende belang van informatieoverdracht en de tussenhandel hierin, en de globalisering [WALL07]. Cybercrime wordt in de literatuur vanuit verschillende vakgebieden en disciplines onderzocht. Hierdoor ontstaan er diverse dimensies om de ontwikkeling van cybercrime te doorgronden. Initieel werd onderzoek naar criminaliteit in de digitale wereld met name gedaan vanuit een technologisch perspectief. Daarbij werden de technologische oorzaken en gevolgen in relatie tot cyber- de IT-Auditor nummer 4 2011 23

Figuur 1: Relevante verschijningsvormen van cybercrime crime bestudeerd. Aanvullend hierop werden de sociologische aspecten en in het bijzonder de motieven achter het plegen van cybercrime nader onderzocht. Een belangrijke constatering daarbij is de verschuiving in de motivatie van cybercriminelen. Initieel was de motivatie tot het plegen van cyberdelicten voornamelijk gedreven door het vergaren van kennis en het verkrijgen van waardering en status [CLOU10]. Het verkrijgen van persoonlijke winst, zowel financieel als psychologisch, was ook in de beginjaren van het internet een belangrijke drijfveer. Maar gezien de technologische beperkingen, de beperkte verspreiding van kennis en de lage graad van globalisering, was het lastig financieel gewin te behalen door het plegen van cybercrime. Door het toenemen van technologische mogelijkheden en de globalisering zijn veel bedrijven verbonden met het internet voor het aanbieden van diensten en producten. Deze facetten versterken de mogelijkheid voor het behalen van financieel gewin en hierdoor heeft er een duidelijke kanteling plaatsgevonden in de primaire drijfveer voor het plegen van cybercrime. De verschuiving van hacking for fun naar hacking for profit geeft daarmee een groter economisch perspectief aan cybercrime. De organisatie van cybercrime Het internet heeft ervoor gezorgd dat één persoon een mondiaal bereik heeft voor het plegen van criminele activiteiten. Tevens draagt het internet bij aan de grote (geautomatiseerde) herhaalbaarheid waarmee deze activiteiten kunnen worden uitgevoerd. Hierdoor ontstaat een criminaliteitsvorm, waarbij massa s potentiële slachtoffers kunnen worden bereikt en de impact voor een individueel slachtoffer mogelijk laag is. De bestrijding van criminaliteit met deze karakteristieken is complex en wordt bemoeilijkt doordat het veelal landgrensoverschrijdend en daarmee over meerdere LEUK10]. In haar artikel over de organisatiestructuren van cybercrime speculeert Brenner over een verschuiving van in de fysieke wereld aanwezige hiërarchische en groepsstructuren, naar een organisatiestructuur van een zwerm. Deze structuur wordt gekenmerkt door het vluchtige (fluïde) en zijdelingse karakter van de onder- 24 de IT-Auditor nummer 4 2011

Figuur 2: Deelgebieden ontwikkeling cybercrime Politiek I. Toename overheidsinspanning Economisch II. Toename afhankelijkheid internet III. Toename professionalisering cybercrime IV. Toename overlay services Sociaal-cultureel V. Laag beveiligingsbewustzijn en hoog vertrouwen in ICT VI. Toename social engineering & identiteitsdiefstal VII. Lage aangiftebereidheid VIII. Opkomst Generation Y Technologisch IX. Software kwetsbaarheden X. Monocultuur en internetinfrastructuur kwetsbaarheden XI. Toename mobiele communicatie XII. Toename consumerization XIII. Toename cloud computing XIV. Toename geavanceerde malware en botnets XV. Toename straight through processing en standaardisering betalingsverkeer Juridisch XVI. Aanscherping wet- en regelgeving linge relaties tussen individuen. Daarbij werken individuen voor een beperkte periode samen voor het uitvoeren van een specifieke taak, waarna ieder individu zijn eigen weg gaat [BREN02]. In de literatuur is beperkte kennis over dadergroepen en organisatiestructuren van cybercrime beschikbaar. Toch zijn er aanwijzingen dat traditionele criminele organisatiestructuren bij cybercrime zijn betrokken, die de benodigde expertise extern inhuren. Maar ook zijn er nieuwe fluïde criminele organisatiestructuren betrokken, waarbinnen experts deeltaken verrichten en hun krachten bundelen [HULS08]. Deze waarneming onderschrijft de trend in de modus operandi van cybercriminelen, naar diversificatie van taken, zoals dit in 2006 door het Korps landelijke politiediensten (KLPD) werd gesignaleerd waarbij verschillende criminaliteitsvormen in combinatie met elkaar worden gepleegd met een trend naar taakspecialisatie [BOER06]. In de jaarlijkse publicatie van Verizon in samenwerking met de United States Secret Service (USSS) wordt aangegeven dat online forums dienen als business platform voor het combineren van criminele diensten, waarbij de participatie van een groot aantal verschillende en betrouwbare criminele diensten de ontwikkeling in de organisatie versterkt. Leden en hun diensten van dergelijke forums kunnen worden gecategoriseerd in onder andere, hackers, spammers, bot herders, malware ontwikkelaars, hardware providers, etc. [VERI10]. Verschijningsvormen van cybercrime Om een beter inzicht te krijgen in cybercrime kan een indeling naar de diverse verschijningsvormen van cybercrime helpen. In de literatuurstudie van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) wordt een indeling op basis van een achttal strategische thema s gehanteerd, waarbinnen diverse verschijningsvormen zijn gecategoriseerd [HULS08]. Daarbij wordt opgemerkt dat de diverse verschijningsvormen van cybercrime in elkaar overlopen en veelal juist in combinatie worden toegepast. In figuur 1 zijn de relevante verschijningsvormen van cybercrime voor de bancaire sector opgenomen. Trends en actuele dreigingen De relevante verschijningsvormen van cybercrime worden beïnvloed door diverse ontwikkelingen. Om inzicht en grip te krijgen op deze ontwikkelingen van cybercrime is het doelmatig om de trends onder te verdelen in een aantal deelgebieden. Daarbij wordt aangesloten bij de vijf onderkende deelgebieden, zoals die door het Internet Security Forum (ISF) worden gehanteerd, namelijk: politiek, juridisch, technologisch, sociaal-cultureel en economisch (zie figuur 2). In het kader hierboven zijn de belangrijkste trends weergegeven, gerubriceerd per deelgebied. de IT-Auditor nummer 4 2011 25

De professionalisering van cybercrime wordt in toenemende mate door financieel gewin gedreven. Daarbij is een underground economy ontstaan die qua economische principes in grote mate vergelijkbaar is met de ICT-markt. Deze economie wordt gestuwd door een toenemende globalisering, het groeiend belang van informatieoverdracht en de technologische veranderingen. De organisatie van cybercrime wordt efficiënter en effectiever door de specialisatie en taakdiversificatie van cybercriminelen. In toenemende mate worden cybercriminelen doelgericht en wordt de benadering toegespitst op het potentiële slachtoffer of de doelgroep. Er is voor banken een toenemende afhankelijkheid van internet, onder meer als gevolg van het intensiveren van verkoopkanalen en communicatie via het internet. Dit wordt versterkt door het reduceren van alternatieve manieren van interactie tussen de klant en de banken. Een toename in straight through processing en het standaardiseren van het betalingsverkeer in de bancaire sector, maakt de bancaire sector in toenemende mate interessant als doelwit voor cybercriminelen. De ontwikkeling van cybercrime wordt met name beïnvloed door de economische en technologische trends (zie kader), waardoor een toenemende druk op de risicobeheersing in de financiële sector ontstaat. ORGANISATIE IN DE BANCAIRE SECTOR De organisatie van de interne risicobeheersing en de informatiesystemen bij klein banken, in relatie tot de ontwikkelingen van cybercrime, richt zich primair op externe dreigingen vanaf het internet. De risicobeheersing van cybercrime maakt deel uit van het algehele interne governance model van een kleinbank. Specifieke organisatorische maatregelen worden in toenemende mate vormgegeven bij klein banken, zoals de organisatie van de beheersing van het virtuele kanaal ofwel de internetketen. Een aantal van de klein banken participeert in de geformaliseerde interbancaire en sectoroverstijgende samenwerkingsverbanden. Informele samenwerkingsverbanden tussen de overige klein banken zijn aanwezig. Een dergelijk informeel samenwerkingsverband voor de overige klein banken, specifiek met betrekking tot cybercrime, lijkt niet aanwezig. De ontwikkelingen op het gebied van cybercrime zijn in toenemende mate van invloed op de organisatie van de interne risicobeheersing en de informatiesystemen bij Nederlandse klein banken. Daarbij lijkt een informeel samenwerkingsverband op het gebied van cybercrime tussen de overige klein banken een zinvolle aanvulling op de bestaande organisatie, waardoor kennisdeling binnen deze banken wordt bevorderd. RISICOBEHEERSING KLEIN BANKEN Het internetbankieren wordt door de klein banken gezien als het belangrijkste risicogebied met betrekking tot cybercrime bij deze banken. Daarbij zijn malware, phishing en ddos (distributed Denial of Service) de meest prominente verschijningsvormen. Malware De dreiging van malware op de computer van de klant speelt een belangrijke rol. Door middel van de Cybercrime Monitoring and Investigation Services (CMIS) dienst hebben de aangesloten klein banken zicht op de ontwikkelingen van malware op het internet. Deze informatie wordt gebruikt voor het treffen van additionele maatregelen, zoals geavanceerde detectiesystemen. Klein banken hebben tot op heden geen significante schade geleden als gevolg van malware. Cybercriminelen richten malware in toenemende mate op één van de klein banken. Daarbij verzamelt de malware gegevens over het internetbankieren van deze klein bank, maar wordt er tot op heden niet actief misbruik gepleegd. Malware is een externe dreiging die buiten de directe beïnvloedingssfeer van de banken ligt. Een additionele maatregel die klein banken, maar mogelijk ook grootbanken, kunnen treffen om misbruik door malware te mitigeren, is het toepassen van transactiegegevens in het autorisatieproces van transacties. Dit kan worden aangevuld met dual channel communicatie voor het versturen van notificaties en/of de autorisatie van een transactie. Zo kan bijvoorbeeld een SMS (Short Message Service) met het totaalbedrag van de transactie, zoals deze door de bank is ontvangen, naar de klant worden gestuurd. Daarbij kan een autorisatiecode voor de transactie worden verstuurd, die de klant kan gebruiken om de transactie te autoriseren en signeren. Hierbij is het principe van see what you sign van belang, waarbij het voor de klant duidelijk is waaruit de transactie bestaat die wordt gesigneerd. Indien van dual channel communicatie via SMS gebruik wordt gemaakt, is het belangrijk dat het betreffende telefoonnummer voor de SMS niet zonder notificatie kan worden aangepast. Het treffen van additionele geavanceerde detectiemaatregelen voor het (tijdelijk) blokkeren en/of vertragen van transacties kan tevens bijdragen aan het mitigeren van het risico van malware op de computer van de klant. Daarnaast kan een flexibele technische inrichting van het internetbankieren het mogelijk maken om snel wijzigingen door te voeren, zoals het wijzigen van de (technische) veldvolgorde, waardoor malware (tijdelijk) niet meer werkt. Phishing De dreiging van phishing geldt voor zowel de klein banken als de referentdoelgroep. In toenemende mate wordt phishing in combinatie met social engineering door cybercriminelen gebruikt. Het toepassen van social engineering wordt versterkt door het gebruik van social media. Cybercriminelen verzamelen daarbij gericht 26 de IT-Auditor nummer 4 2011

informatie over personen en gebruiken dat voor social engineering of het achterhalen van authenticatiegegevens. Bewustwordingscampagnes van de Nederlandse Vereniging van Banken (NVB) gericht op bancaire klanten, het Notice-and-Take-Down (NTD) en technische maatregelen zoals Extended Validation (EV) SSL kunnen bijdragen in het bestrijden van phishing. Additionele detectieve technische maatregelen, zoals het monitoren van backscatter e-mailberichten en het filteren van de referrer headers van de internetbankieren website, kunnen inzicht gegeven in een mogelijke phi shing aanval. Deze maatregelen inclusief de procedurele aspecten omtrent deze monitoring en filtering, kunnen de gevolgen van phishing mogelijk beperken en bieden de mogelijkheid om passende additionele maatregelen voor een specifieke situatie te treffen. In essentie is phishing geen technisch probleem en uiteindelijk blijven educatie en bewustwording van de klanten over de veiligheid van internetbankieren de meest essentiële maatregelen om phishing te voorkomen. ddos De dreiging van een ddos aanval wordt versterkt door het gebruik van social media. Social media vergroten het bereik en de snelheid van informatiedeling. Een landelijke storing bij de ING heeft voor lange rijen bij de pinautomaten gezorgd doordat via Twitter het gerucht was verspreid dat er kon worden gepind zonder dat het geld van de rekening werd afgeschreven [NOSN10]. Indien via social media berichten verschijnen dat er een run on the bank (bank run) plaatsvindt, in combinatie met een ddos aanval, kan dit grote gevolgen hebben voor de reputatie van de betreffende bank. Het uitvoeren van een ddos aanval op één van de klein banken als middel voor afpersing met als oogmerk financieel gewin, lijkt onder de huidige economische omstandigheden niet zeer waarschijnlijk. Tevens vereist dit van de cybercriminelen een actieve interactie met de betreffende bank. De huidige modus operandi van cybercriminelen wijkt daar vanaf en wordt gekenmerkt door de gerichtheid op de zwakste schakel, namelijk de klanten, en niet direct de bank. Een ddos aanval vanuit activistische overwegingen lijkt eerder voor de hand liggend, gezien recente voorvallen. Gezien een succesvolle ddos aanval op een grote bank in Nederland kan de vraag worden gesteld of klein banken dergelijke aanvallen kunnen pareren. Immers de capaciteit van de groot bank is op een groot aantal klanten gebaseerd en vermoedelijk heeft een dergelijke bank meer financiële middelen om passende (duurdere) maatregelen te treffen. Desondanks kunnen klein banken onderzoeken in hoeverre effectieve mitigerende maatregelen kunnen worden getroffen. Het filteren van het netwerkverkeer door een firewall en/of IDS/IPS kan worden gezien als mitigerende maatregel. Voor een kleinschalige ddos aanval kan dit voldoende effectief zijn, in geval van een significante ddos aanval zijn aanvullende maatregelen nodig. Daarbij kan worden gedacht aan technische maatregelen, maar ook aan communicatieve en organisatorische aspecten. GOVCERT.NL heeft recent een factsheet over de bescherming tegen ddos aanvallen uitgebracht [GOVC11]. Hierin is een aantal adviezen beschreven om het risico van een ddos aanval te mitigeren. Belangrijke aandachtspunten hierin zijn: Figuur 3: Financiële schade internetbankieren het monitoren van de infrastruc- adviseur, voor het bepalen van de - maatregelen. De klein banken doen er mijn inziens verstandig aan nader te onderzoeken in hoeverre de adviezen in de factsheet kunnen worden opgevolgd. SCHADE DOOR CYBERCRIME De NVB publiceert namens de Nederlandse banken de geleden financiële schade door fraude via internetbankieren. Fraude via internetbankieren bestaat daarbij uit diverse verschijningsvormen van cybercrime, zoals malware en phishing. Financiële schade die wordt geleden door vormen van cybercrime die niet aan het internetbankieren zijn gerelateerd en de indirecte schade, door bijvoorbeeld ddos aanvallen, defacing, maar ook insider threat door corrupt ICT-personeel, worden niet gepubliceerd. Daarmee is er geen totaalbeeld van de financiële schade door cybercrime in de bancaire sector in Nederland. Een differentiatie van de schade naar individuele banken wordt niet publiek gemaakt. Op basis van de interviews ontstaat het beeld dat klein banken banken een zeer beperkt aandeel hebben in het totale schade bedrag. Dit is logisch, aangezien de huidige cybercrime de IT-Auditor nummer 4 2011 27

dreigingen op het internetbankieren zich nog hoofdzakelijk richten op de grotere banken in Nederland en de inherent lagere financiële geldstroom bij klein banken. De ontwikkeling van de omvang van financiële schade door fraude via internetbankieren vertoont sinds 2008 een snel stijgende trend. Zie figuur 3. Het aandeel van de klein banken hierin is vermoedelijk zeer beperkt. De ontwikkelingen die samenhangen met cybercrime, geven aanleiding om te verwachten dat de financiële schade als gevolg van cybercrime bij klein banken de komende jaren zal stijgen. De mate waarin individuele klein banken de toename in financiële schade zullen ervaren, lijkt voor de komende jaren nog afhankelijk van de omvang van de clientèle van de betreffende bank. Daarbij moet de kanttekening worden geplaatst dat door de vervangen van de massacomponent in de modus operandi van de huidige cybercrime dreigingen, met een doelgericht karakter, banken met een kleinere clientèle interessanter worden voor cybercriminelen. Daarbij kan worden gedacht aan bijvoorbeeld een toenemende manifestatie van spear phishing gericht op vermogende klanten. Hierdoor is het aannemelijk dat de financiële en reputatieschade, als gevolg van de ontwikkelingen van cybercrime, bij klein banken zal stijgen. TOT SLOT Door de professionalisering van cybercrime is een underground economy ontstaan, waarbij sprake is van verdienmodellen en marktwerking, die bijdragen aan verdere innovaties binnen cybercrime. De druk op de risicobeheersing bij klein banken neemt toe door deze professionalisering, de toename van gerichte aanvallen, de toenemende afhankelijkheid van internet en de toename in straight through processing en internationaal gestandaardiseerd betalingsverkeer. Hierdoor wordt de kans op financiële en reputatieschade bij Nederlandse klein banken de komende jaren vergroot. Investeringen door klein banken, in de hiervoor beschreven aanvullende maatregelen, zijn daarom aan te bevelen. Het complexe onderzoeksgebied van cybercrime en de vele ontwikkelingen daarbij, vragen om nader onderzoek, zowel uit wetenschappelijk als uit praktisch perspectief. Daarbij kan onderzoek naar de directe en indirecte financiële schade als gevolg van cybercrime bijdragen aan de impactbepaling voor de bedrijfsvoering en besluitvorming. Niet alleen de financiële schade speelt een belangrijke rol in het besluitvormingsproces, maar ook de mogelijke imago- en reputatieschade. Nader onderzoek naar de relatie tussen cybercrime en het vertrouwen in internetbankieren door de klanten, is vanuit wetenschappelijk oogpunt maar ook vanuit de bancaire sector aan te bevelen. Met betrekking tot het IT-audit vakgebied, kan additioneel onderzoek plaatsvinden naar methoden voor het effectief beoordelen van complexe ketens, zoals het internetbankieren, in relatie tot de dreigingen van cybercrime. Daarbij kan aandacht zijn voor de auditaanpak, de toegevoegde waarde van een multidisciplinair auditteam, de totstandkoming van normenkaders en de verwachte organisatorische, procedurele en technische maatregelen. Literatuur [BOER06] Boerman, F., Mooij, A., Vervolgstudie nationaal dreigingsbeeld: Nadere beschouwing van potentiële dreigingen en witte vlekken uit het nationaal dreigingsbeeld 2004, KLPD DNRI, 2006. [BREN02] Brenner, S. W., Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships, North Carolina Journal of Law & Technology, Volume 4 Issue 1, 2002. [CLOU10] Clough, J., Principles of cybercrime, Cambridge University Press, 2010. [FABE10] Faber, W., Mostert, S., Faber, J., Vrolijk, N., Phishing, Kinderporno en Advance-Fee internet Fraud: Hypothesen van cybercrime en haar daders, Faber organisatievernieuwing b.v., 2010. [GOVC11] GOVCERT.NL, Factsheet FS 2010-03 - Bescherm uw online dienst(en) tegen (d)dosaanvallen, GOVCERT.NL, 2011. [HULS08] Hulst, R. C. van der, Neve, R.J.M., High-tech crime: Inventarisatie van literatuur over soorten criminaliteit en hun daders, WODC, 2008. [LEUK10] Leukfeldt, E.R., Domenie, M.M.L., Stol, W. Ph., Verkenning cybercrime in Nederland 2009, Boom Juridische Uitgevers, 2010. [NOSN10]. Nederlandse Omroep Stichting Nieuws, Geen gratis geld na pinstoring, http://nos.nl/artikel/177856-geen-gratis-geld-na-pinstoring.html, 12 augustus 2010. [VERI10] Verizon, 2010 Data Breach Investigations Report, Verizon Business, 2010. [WALL07] Wall, D.S., Cybercrime - The transformation of crime in the information age, Polity (Crime and society series), 2007. A. (Anne) Wouda BICT EMITA CISSP-ISSAP is sinds 2008 als IT-auditor werkzaam bij SNS REAAL. Dit artikel is gebaseerd op zijn afstudeerscriptie van de Postgraduate IT-audit opleiding aan de Vrije Universiteit en is op persoonlijke titel geschreven. 28 de IT-Auditor nummer 4 2011

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback