Educatieve podcastserie vergroot kennis van cybersecurity in de financiële sector

De grootste bankroof ooit vond niet fysiek plaats, maar digitaal. Een internationaal hackerscollectief stal in 2004 naar schatting ruim $900 miljoen van onder meer Amerikaanse, Russische, Duitse en Chinese banken. Onderzoekers waren verbaasd over de professionaliteit van de cybercriminelen. Niet alleen omdat ze ruim zes maanden de tijd hadden genomen om hun digitale kraak tot in de puntjes voor te bereiden, maar ook omdat ze gebruikmaakten van 'top notch' instrumenten, technieken en processen.  

De Carbanak-zaak – zoals de roof bekend is komen te staan – is niet alleen één van de meest spraakmakende digitale bankovervallen uit de geschiedenis, maar vormt ook hét perfecte voorbeeld van hoe de wereld van cybercrime eruit kan zien.

In de nieuwste educatieve podcastserie laat Leaders in Finance Academy zien dat cybercrime ontzettend gecompliceerd en professioneel kan zijn, de zwakke plekken van een organisatie blootlegt en in staat is besturingssystemen over te nemen, met alle gevolgen van dien.

Carbanak

De hackers maakten namelijk gebruik van een bug in de Microsoft Office-software, waardoor het mogelijk was een kwaadaardige code in een Word-document te verbergen, die geactiveerd wordt zodra iemand het document aanklikt. In dit geval was dat een HR-medewerker van de bank die het cv van een sollicitant wilde checken; niet bepaald onlogisch dus om op zo’n link te klikken.

Opvallend genoeg sloegen de hackers niet gelijk toe nadat ze zichzelf toegang hadden verschaft tot de IT-systemen van de bank. Langzaam maar zeker vergrootten ze hun bereik: Ze kenden zichzelf steeds meer rechten toe tot ze uiteindelijk op databaseniveau binnengedrongen waren. De hackers hadden zichzelf twee opties gegeven: saldiaanpassingen doorvoeren op rekeningen en de controle overnemen van pinautomaten. Ze waren letterlijk in staat apparaten geld te laten spuwen.

Nationale veiligheid

Uiteraard zijn banken, vermogensbeheerders, pensioenfondsen en verzekeraars geen gewillige slachtoffers. Ze investeren miljoenen in het verbeteren van hun cybersecurity, waarbij onder meer gebruik wordt gemaakt van zogenoemde ethische hackers die zwakheden in het IT-systeem opsporen. Financiële instellingen die achterlopen worden middels steeds specifiekere wetgeving verplicht hun IT-zaken op orde te hebben.

Het is bepaald niet vreemd dat toezichthouders en wetgevers zich bemoeien met de cyberbeveiliging van financiële instellingen. Zo zijn hackers lang niet altijd uit op (alleen) geld, net zoals het lang niet altijd ‘simpele’ criminelen zijn. Soms zijn het zelfs ‘ambtenaren’, gestuurd door een statelijke actor om data van consumenten te stelen of financiële infrastructuur plat te leggen. Juist nu, in de context van de Oekraïens-Russische oorlog, is het cybergevaar vanuit soevereine staten op zijn hoogtepunt. Cybersecurity draait dan ook niet enkel om het beveiligen van de kluis – cybersecurity gaat  ook over het waarborgen van de nationale veiligheid.

Middels de Digital Operational Resilience Act heeft de EU banken daarom verplicht hun digitale weerbaarheid te vergroten. Algehele kennis over cyber security - onder alle uitvoerende én besturende afdelingen - is daarbij essentieel. En precies daar draait deze podcastreeks om: het vergroten van de kennis rond cybersecurity op een laagdrempelige en aantrekkelijke wijze.

Het speelveld

In zes afleveringen neemt de Leaders in Finance Academy je mee in het volledige speelveld van cybersecurity. Er wordt uitgelegd hoe breed de wereld van cybersecurity is. Er wordt uitgelicht hoe de samenleving, bedrijven en specifiek de financiële sector erdoor geraakt worden. Er wordt bekeken hoe een ethische hacker te werk gaat om de digitale weerbaarheid van bedrijven te vergroten en het menselijke aspect binnen de IT-wereld wordt belicht. Want uiteindelijk spelen hackers doelbewust in op persoonlijke eigenschappen die niemand geheel vreemd zijn.

Daarnaast wordt de rol van publieke partijen binnen het proces behandeld, én naar hoe de samenwerking binnen de financiële sector eruit ziet. Tot slot wordt er een blik geworpen op de toekomst; niet alleen om te achterhalen welke technieken de grootste bedreiging zullen vormen, maar ook hoe wij – als samenleving – omgaan met een steeds digitaler wordende criminele wereld.

Alle zes de afleveringen van de podcastserie over cybersecurity zijn vanaf nu te beluisteren. Benieuwd? Luister hieronder naar een voorproefje.

Aan het woord komen onder meer Rudrani Djwalapersad (Partner Cyber Security Financial Services bij EY), Rogier Besemer (Afdelingshoofd Cyber Beleid en TIBER testen DNB), Rob Havermans (voorheen CISO AEGON NL / nu Hoofd CISO Technology & Engineering ABN AMRO), Kelvin Rorive (Strategisch adviseur CISO Rabobank), Sam Berkhout (Ethisch hacker Fox-IT), Huib Modderkolk (auteur/onderzoeksjournalist de Volkskrant), Robert Schaap (Adviseur Team High Tech Crime Nationale Politie), Beate Zwijnenberg (CISO ING), Michel van Eeten (Lid van landelijk Cyber Security Raad en Hoogleraar Technische Universiteit Delft), Inge Bryan (Managing Director Fox-IT) en Marnix Dekker (Sectorhoofd bij het Europees Agentschap voor Cybersecurity).

Seizoen vijf

De Cybersecurity-podcast reeks is – na AML, Bijzonder Beheer, Open Finance en Sustainable Finance – de vijfde podcastserie van de Leaders in Finance Academy, een samenwerkingsverband van Banken.nl en Leaders in Finance.

Voor elke podcast werkt de Leaders in Finance Academy samen met kennispartners. Voor de Cybersecurity-serie zijn dat de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, DUFAS, de Pensioenfederatie, EY, Fox-IT en House of Bèta.

Interesse? Klik hier voor meer informatie.