‘Elke crimineel kan met AI een complexe cyberaanval ontwikkelen’
De klassieke bankovervaller maakt plaats voor de cybercrimineel. Met behulp van de nieuwste technieken – en soms zelfs steun van buitenlandse staatsactoren – vormen deze digitale aanvallers een steeds grotere bedreiging. Aan banken de uitdaging om hen een stap voor blijven. We spraken Vincent Zeebregts en Robert Tom van cybersecuritybedrijf Fortinet over het eindeloze kat-en-muisspel tussen banken en cybercriminelen.
De grootste bankroof ooit vond niet fysiek plaats, maar digitaal. In 2014 stal een internationaal hackerscollectief ruim $300 miljoen van onder meer Amerikaanse, Russische, Duitse en Chinese banken. Door zich op sluwe wijze toegang te verschaffen tot op databaseniveau, konden de aanvallers rekeningsaldi aanpassen en pinautomaten letterlijk geld laten spuwen.
Met recht is de zogeheten Carbanak-zaak een van de meest spraakmakende digitale inbraken uit de geschiedenis. Dat cybercriminelen graag banken aanvallen behoeft nauwelijks uitleg. “Ze vormen natuurlijk de spil in het financiële systeem”, aldus Zeebregts, Regional Director Netherlands. “Een geslaagde hack kan behoorlijk wat geld opleveren.”
En dan behoren banken ook nog eens tot de kritieke infrastructuur. “Geopolitieke spanningen lopen op. Kwaadwillenden die onze samenleving willen ontwrichten, kunnen ervoor kiezen om het financiële systeem plat te leggen”, vertelt Tom, Business Development Manager Netherlands. “De impact daarvan zou niet te overzien zijn. Niet voor niets wordt tegenwoordig geadviseerd om €200 aan cash in huis te hebben – voor het geval dat.”
En alsof dat niet genoeg is, blijken banken ook nog eens relatief ‘makkelijke’ doelwitten. “Ze hebben de afgelopen jaren een enorme digitaliseringslag doorgemaakt”, vertelt Zeebregts. “Maar het systeem kan simpelweg niet volledig worden afgesloten. Banken móéten blijven communiceren met hun klanten.”
“Dat bekent dat er altijd ingangen in het systeem aanwezig zullen zijn, legt hij uit. “Daarmee is elke klant een potentiële toegangspoort tot het IT-systeem, waardoor banken een enorm aanvalsoppervlak hebben.”
Nooit genoeg
Kortom: als bank vorm je een zeer aantrekkelijker doelwit, en niet alléén omdat je veel geld in de digitale kluis hebt. Uiteraard is dat ook de sector zelf – inclusief toezichthouders en politiek – niet ontgaan. De bankensector is namelijk ook één van de strengst gereguleerde branches.
“De sector moet aan flink wat wet- en regelgeving voldoen op het gebied van cybersecurity”, stipt Tom aan. “Denk bijvoorbeeld aan de Digital Operational Resilience Act of de NIS2-richtlijn, regelgeving die regelmatige controles vereist om te waarborgen dat banken hun cyberweerbaarheid op peil houden.”
Of de sector genoeg doet, vindt Zeebregts lastig te beoordelen. “Cybercriminaliteit ontwikkelt zich zó snel. Het is echt een wapenwedloop: je kan ze bijhouden, maar nooit écht verslaan, terwijl je wel van ze kan verliezen.”
“Daarnaast kun je jezelf afvragen of beleidsbepalers het innovatietempo van criminelen überhaupt wel kunnen bijbenen”, voegt Tom toe. “De wereld van cybersecurity verandert zo snel, dat ook wetgeving constant aangescherpt moet worden.”
Nooit waterdicht
De strijd met cybercriminelen wordt op vele fronten tegelijk uitgevochten. Ten eerste proberen banken aan de voorkant criminelen buiten de deur te houden.
“Voorkomen is natuurlijk beter dan genezen”, zegt Zeebregts. “Daarom zijn banken voortdurend op zoek naar nieuwe manieren en innovaties om hun cyberweerbaarheid te verhogen. Geen enkel systeem is echter waterdicht, of zal dat ooit worden.”
Het liefst pak je criminelen al aan vóórdat ze hun aanval beginnen, legt hij uit. “Als de hacker eenmaal binnen is begin je de wedstrijd met een 1-0 achterstand. Wil je de werkdruk van je cybersecurityteams verlagen, dan verdedig je niet alleen je digitale grachten, maar kijk je juist wat er achter de linies in het kamp van de hackers wordt voorbereid.”
“Met zogenoemde digital risk protection-technieken kun je bijvoorbeeld nepwebsites detecteren die worden klaargezet om klanten te lokken”, vertelt Tom. “Als je dat als bank op tijd weet, kun je snel schakelen – door klanten te waarschuwen of de website offline te halen.”
Kat-en-muisspel
We moeten cybersecurity vooral zien als een kat-en-muisspel, legt Zeebregts uit, waarbij banken waardevolle data en systemen zo goed mogelijk beveiligen, terwijl criminelen juist proberen die opgetrokken muren te omzeilen. “De vraag is daarbij niet óf het ze lukt, maar wanneer.”
“Het is onmogelijk voor banken om genoeg te doen.”
Banken doen er dan ook goed aan om preventieve maatregelen te nemen zodat – wanneer het onvermijdelijke toch een keer gebeurt – de schade zoveel mogelijk beperkt blijft.
“Bijvoorbeeld door het IT-systeem op te delen in verschillende compartimenten”, legt Zeebregts uit. “Net zoals een schip dat water maakt. Criminelen dringen zelden binnen op de plek waar ze uiteindelijk willen zijn. In de Carbanak-zaak gebeurde dat bijvoorbeeld via de HR-afdeling.”
“Door het systeem in compartimenten te verdelen, voorkom je dat indringers of malware zich ongehinderd door het hele netwerk kunnen verspreiden en mogelijk de volledige dienstverlening platleggen.”
Misleiden, misleiden, misleiden
Daarnaast wordt afleiding een steeds belangrijker wapen in de strijd tegen hackers. “Een crimineel beschikt natuurlijk niet over een blauwdruk van het IT-systeem van de bank”, legt Tom uit. “Dus zodra een hacker zichzelf toegang heeft verschaft, moet hij of zij op zoek naar waardevolle doelwitten – de zogeheten honeypot. “
“Dat betekent dat een cybercrimineel zich door het systeem moet bewegen. En precies dáár ligt een kans: je kunt een hacker namelijk manipuleren om niet richting je kroonjuwelen te gaan, maar juist naar een digitale mijn – bijvoorbeeld een nep-fileserver vol ogenschijnlijke waardevolle data of een gesimuleerd kassasysteem. Zodra de hacker daarop ‘trapt’, gaat een alarm af en kan de inbreker relatief eenvoudig uit het systeem worden gewerkt.”
Het is in de basis een eeuwenoude strategie. “In the Art of War benadrukte Sun Tzu 2.500 jaar geleden al dat oorlogsvoering draait om misleiding. Patton had in de Tweede Wereldoorlog zijn Ghost Army, en nu blijkt dat diezelfde tactiek nog altijd werkt. Ook deze strijd draait om misleiden, mislieden en nog eens misleiden. Met alle AI in de wereld kun je een goed ingericht digitaal mijnenveld niet voorspellen.”
Autonome AI-aanvallen
Daarmee stipt Tom gelijk het volgende belangrijke punt aan: de opkomst van artificial intelligence in de wereld van cybersecurity. Een ontwikkeling die – weinig verrassend in een wapenwedloop – een tweesnijdend zwaard blijkt.
“Aan onze kant van de schutting zetten we AI in om razendsnel grote hoeveelheden data te analyseren”, vertelt Zeebregts. “Daardoor functioneren detectiesystemen niet alleen sneller, maar ook nauwkeuriger. Bovendien helpt de automatisering die AI biedt ons deels het probleem van het tekort aan gekwalificeerd personeel op te vangen.”
“Het is cruciaal dat medewerken én klanten precies weten waar ze wel of juist niet op moeten klikken.”
Aan de andere kant zorgt AI juist weer voor een intensivering van het aantal aanvallen. “Waar je vroeger diepgaande technische kennis nodig had om malware te ontwikkelen, kan tegenwoordig vrijwel iedereen met behulp van AI kwalitatief goede malware genereren. Steeds meer criminelen kiezen voor het cyberpad, en daar lijkt voorlopig geen einde aan te komen.”
En dit lijkt nog maar het begin. “We zien een opkomst in autonome AI-aanvallen, waarbij een hacker een AI-model de opdracht geeft om zelfstandig een bank aan te vallen”, vertelt Tom.
“Stel je een AI-model voor dat 24/7, met de snelheid van het licht, zonder enige menselijke tussenkomst, probeert in te breken”, schetst hij. “Geen denkpauzes, geen creatieve processen – alleen pure, geautomatiseerde aanvallen. Hoe vaak gaat het dan mis? En met welke gevolgen? Het klinkt onheilspellend – en dat is het ook. Maar helaas is het wel de kant die we opgaan.”
Samen staan we sterker
Hoe belangrijk die voortdurende technologische wedloop echter ook is, uiteindelijk blijft een andere factor in de praktijk nog altijd belangrijker: de mens. “Het overgrote deel van de incidenten ontstaat door menselijk handelen”, benadrukt Zeebregts. “Daarom is het cruciaal dat medewerkers én klanten precies weten waar ze wel of juist niet op moeten klikken.”
Want het belang van bewustwording rond de gevaren van cybercrime reikt veel verder dat dan de interne organisatie. “Het besef groeit binnen de hele sector en de bredere samenleving”, geeft hij aan. “Om te voorkomen dat iedereen zelf het wiel opnieuw uitvindt, zie je ook dat financiële instellingen steeds vaker en intensiever samenwerken en informatie uitwisselen.”
“Ook onze rol als technologiepartner is veel breder geworden”, stelt Tom. “We delen onze wereldwijd opgedane kennis niet alleen op internationale bijeenkomsten zoals die van het WEF, maar geven ook actief trainingen aan klanten, partners, collega-bedrijven én op scholen. Zo worden studenten op hogescholen en mbo’s al opgeleid met door ons ontwikkeld lesmateriaal.”
“Die maatschappelijke verantwoordelijkheid wordt steeds belangrijker”, zegt hij. “Er komt veel op ons af en de dreigingen nemen alleen maar verder toe. Alleen door samen op trekken kunnen we cybercriminelen goed het hoofd bieden – want samen sta je altijd sterker dan alleen.”
Meer weten? Ricardo Ferreira (Field CISO, EMEA) zal namens Fortinet op het Leaders in Finance Cyber Security Event spreken. Klik hier voor meer informatie.
