Cybersecurity is een strijd tegen criminelen die steeds professioneler te werk gaan. Tegelijkertijd gaan steeds meer consumenten leunen op de voordelen van internetbankieren. Midden in dit spanningsveld opereert Wim Hafkamp, Chief Information Security Officer bij de Rabobank. Een open gesprek met hem over cybercrime.
Caleb Barlow van IBM waarschuwde in een TED Talk: “cybercrime is out of control.” Hoe kijkt u naar die strijd?
Hafkamp: “Ik probeer niet mee te gaan in de strijd van steeds groter, steeds meer schades. Ik zie wel dat banken en grotere bedrijven vaker zelf worden aangevallen. Naast Phishing aanvallen zijn de aanvallen gerichter en langdurig voorbereid. Dan hebben ze zich verdiept in processen binnen de instellingen. En proberen ze stapje voor stapje dichter bij die processen te komen. Dat heet de Kill Chain Approach.Voor ons iets om extra alert op te zijn. Wij moeten onze security intelligence op orde hebben: als we beter weten wat er speelt, kunnen we onze uitgangspositie versterken. We moeten dan weten hoe er gewerkt wordt, met welke tools. En dat is lastig, omdat informatie lang niet altijd direct voor handen is. Ook de slachtoffers van een aanval delen niet graag hoe hun defensie is omzeild.”
De veiligheid van bankgegevens klanten
Is de veiligheid van de bankgegevens van je klanten een gegeven waar je concurrentie mee kunt bedrijven?
Hafkamp: “Concurreren is het nadrukkelijk benoemen van de verschillen in je uitingen. Dat doen we niet. We vinden dat we met andere banken en instellingen een gezamenlijke strijd voeren tegen cybercrime. Het gaat uiteindelijk om het vertrouwen van onze klanten in de veiligheid van hele bancaire systeem. Mijn beeld van de Nederlandse grootbanken is dat ze dit onderwerp goed op orde hebben. Dit is een thema waar je zeker klanten op kunt verliezen. Wellicht kun je er ook op winnen. Ik heb nog niet meegemaakt dat klanten om deze reden overstappen. Ook niet in 2011, toen we wat meer schade hadden rond internetbankieren. Wel krijgen we steeds vaker van zakelijke klanten de vraag hoe we de veiligheid geregeld hebben.”
Shared cybersecurity research programme
Welke mogelijkheden zijn er nu voor samenwerking en uitwisseling?
Hafkamp: “Er zijn besloten fora waar banken deze onderwerpen bespreken. En we zitten in overleggen met ook de politie en veiligheidsdiensten erbij. Consumenten kennen de gezamenlijke ‘awareness campagne’ – hang op, klik weg, bel uw bank! Als ik kijk naar andere landen doen we het hier helemaal niet zo slecht. Voor ons geldt primair dat de gegevens van onze klanten veilig zijn. Zorgen dat ze vertrouwelijk en integer zijn en blijven, en dat ze beschikbaar zijn wanneer ze nodig zijn. Wij hebben daarnaast in onze strategie staan dat we iets willen betekenen voor de samenleving. In 2016 werd een Coördinated Vulnerability Disclosure Manifesto opgesteld, dat er op neer komt dat ethische hackers hun ontdekkingen met ons kunnen delen en daarvoor een vergoeding kunnen krijgen. Het zou mooi zijn als ook andere bedrijven zich meer voor dergelijke signalen zouden open stellen. En ja, wij tippen ook weleens collega-banken als we daar een weeffoutje hebben gezien. De grootbanken werken samen met een ‘shared cybersecurity research programme.’ Dat is onderzoek tussen fundamenteel en toegepast onderzoek in, en daar kijkt men vooruit naar de situatie over een jaar, over drie jaar. Dat zou ik graag willen uitbreiden naar andere banken.”
Werken met nationale en internationale regelgeving
U moet werken met nationale en internationale regelgeving. Hoe beleeft u die regels?
Hafkamp: “Dat voelt als een steeds zwaarder wordende last. Zoveel landen waar je actief bent, zoveel toezichthouders. De compliance druk wordt zo steeds groter. Wij praten hier natuurlijk over met de Nederlandse en Europese toezichthouder. En we hopen dat ook instituten als de G20 in beweging komen richting meer harmonisatie.”
De groei van risico’s rond data en cybersecurity
Worden de risico’s rond data en cybersecurity groter, bijvoorbeeld door technologische ontwikkeling?
Hafkamp: “Vooral de nieuwe wereld maakt de risico’s groter. We gaan steeds meer naar een open internet samenleving, en banken gaan in die beweging mee. De Europese PSD-II richtlijnen vereisen dat ook derde partijen bij onze gegevens moeten kunnen. Zo wordt de te beveiligen keten steeds groter. En hoe zit dat met nieuwe markten? Heeft men daar de zaak even goed onder controle?”
De rol van de overheid
Welke rol ziet u weggelegd voor de overheid? Zou veiligheid van deze data niet een nutsfunctie moeten zijn?
Hafkamp: “Dat zou in strijd zijn met waar de overheid vooral op koerst, namelijk marktwerking. De overheid zorgt dat regelgeving up to date is en van toepassing op alle spelers. En ze zou ook moeten zorgen dat het onderwerp overal op de agenda staat. Vitale sectoren zijn er druk mee, maar het MKB heeft hier echt nog een stap te maken. En heel belangrijk: het onderwijs moet hier meer bewustzijn creëren. Nu ligt voor de overheid het primaat over cyber security bij Veiligheid en Justitie, en bij Economische Zaken. Maar bij het ministerie van Onderwijs zien we nog weinig gebeuren. Terwijl het hard nodig is om onze kinderen op te voeden in het bewust omgaan met de risico’s van gegevens op het internet.”
Wim Hafkamp zal spreken op 15 juni aanstaande tijdens de 18-de editie van het congres «Toekomst van het betalingsverkeer», waar het Risk & Compliance Platform Europe ook aanwezig zal zijn.
Wim Hafkamp over cybercrime: “Banken en grote bedrijven worden vaker targets”.
31 marzo 2017
Knowledge Base