In januari van dit jaar presenteerde de Europese Commissie het Kompas voor concurrentievermogen, dit is een nieuw stappenplan om de dynamiek van Europa te herstellen en de economische groei te stimuleren. “Voor financiële instellingen is operationele uitmuntendheid de sleutel om dit te bereiken”, zegt Ricardo Ferreira (EMEA Field CISO bij Fortinet). “Dit houdt in dat ze moeten zorgen voor de juiste platforms om hun doelstellingen op het gebied van risicobeheer en risicobeperking te bereiken.”
Een van de pijlers van het Kompas voor concurrentievermogen is ‘het dichten van de innovatiekloof’. De EU wil grote bedrijven helpen bij het invoeren van nieuwe technologieën, zoals AI en quantum computing.
AI zal financiële instellingen helpen om voordelen te benutten, van forensisch onderzoek en financiële prognoses en analyses tot verbeterde efficiëntie en toegankelijkheid van klantenservice. Quantumtechnologieën zullen dingen mogelijk maken die vandaag de dag nog niet kunnen, zoals sneller inzicht in financiële transacties of het uitvoeren van complexe rekenkundige taken.
Investeringen in security nemen ook toe
De kracht van AI en quantumtechnologie brengt echter ook risico’s met zich mee, vooral voor financiële instellingen. “Banken zijn zich hiervan bewust en investeringen in cybersecurity in de financiële sector nemen toe, met AI en quantumtechnologie als belangrijkste drijfveren”, zegt Ferreira.
Wat zijn deze risico’s? Ferreira: “Terwijl besturen en directeuren bijvoorbeeld generatieve AI als toekomstige toepassing bespreken, gebruiken werknemers deze technologie al in hun dagelijkse werkzaamheden. Daarom moeten CISO’s niet alleen beleid opstellen voor verantwoord gebruik van AI, maar er ook voor zorgen dat er robuuste cybersecuritysoplossingen zijn om te voorkomen dat AI-toepassingen beveiligingsrisico’s worden.”
Het classificeren en opschonen van data
Generatieve AI is gebaseerd op Large Language Models (LLM’s). Queries naar databases zijn niet ingebed in door code gegenereerde commando’s, zoals SQL-injecties, maar in zogenaamde prompts – vragen die in natuurlijke taal worden gesteld. Onderzoek toont aan dat er momenteel geen manier is om systemen te beschermen tegen foutieve of kwaadaardige prompts.
“Het is belangrijk dat organisaties trainingen en systemen inzetten om te voorkomen dat gebruikers onbedoeld prompts creëren – bijvoorbeeld om vertrouwelijke, gevoelige of geheime gegevens op te vragen.”
Organisaties moeten gegevens met terugwerkende kracht classificeren en opschonen om te voorkomen dat databases worden besmet of aangetast. “Dit is absoluut noodzakelijk voor AI-toepassingen en quantumtechnologie. Gegevens zullen nu goed worden beschermd door klassieke encryptie, maar dat is niet meer het geval wanneer quantumdecryptie haalbaar wordt”, zegt Ferreira.
“Dit wordt de ‘Harvest now, decrypt later’ (HNDL) cybersecurity threat genoemd. Dit is vooral relevant voor banken, omdat financiële gegevens in de loop van de tijd relatief weinig veranderen. Als ze vandaag worden versleuteld en opgeslagen, zijn ze waarschijnlijk over vijf jaar of meer nog steeds waardevol voor cybercriminelen.”
Investeren in menselijk kapitaal
Opslagsystemen die door AI worden gebruikt voor het ophalen van gegevens, moeten worden beschermd met DLP-oplossingen en maatregelen die de integriteit van gegevens waarborgen. “Financiële instellingen moeten echter ook investeren in hun menselijk kapitaal”, zegt Ferreira. “Train gebruikers in de juiste manier van classificeren en opslaan van gegevens. Het cyberbewustzijn, met name onder werknemers, moet voortdurend worden verbeterd.”
”Fortinet helpt financiële instellingen natuurlijk helpen op technisch gebied, maar we ondersteunen organisaties ook met het menselijke aspect. We investeren enorm veel in de opleiding van cybersecurityprofessionals en eindgebruikers. We werken samen met onderwijsinstellingen en overheden nóg betere security experts op te leiden, en bieden onze cursussen en lesprogramma’s gratis aan."
Governance en compliance vereist proactieve houding
Training is één aspect om ervoor te zorgen dat medewerkers op de juiste manier omgaan met nieuwe technologieën; beleid is een ander aspect. Terwijl financiële instellingen zich haasten om innovaties te implementeren, zijn CISO’s druk bezig met het opzetten van kaders voor governance en beleidsregels die hun organisaties tegen risico’s beschermen.
“Daarbij dienen zij rekening te houden met nieuwe en bijgewerkte wet- en regelgeving die nieuwe toepassingen weerspiegelt, vaak met strengere eisen voor gegevens-, systeem- en privacybescherming”, zegt Ferreira. "Voor financiële instellingen zijn sommige wetten en regels van bijzonder belang, zoals de Digital Operational Resilience Act (DORA) en de NIS2-richtlijn."
“Richtlijnen die specifiek van toepassing zijn op AI zijn onder meer ISO 42001:2023, het NIST AI Risk Management Framework en de EU AI Act, die richtlijnen biedt voor de implementatie van verantwoorde en transparante AI-processen.”
"Het is voor organisaties van cruciaal belang om hun weg te vinden in de complexe wet- en regelgeving op het gebied van cybersecurity. Nu deze steeds strenger wordt, is een proactieve houding van cruciaal belang. Alleen naleving is niet voldoende, goede cybersecurity vereist voortdurende toewijding."
"Dit betekent een platformbenadering die verschillende oplossingen voor gegevens-, systeem- en privacybescherming integreert, gebaseerd op realtime informatie, solide en toekomstbestendig beleid voor gebruikers, risico’s, naleving en governance, en training en opleiding om het bewustzijn van alle medewerkers en belanghebbenden voortdurend te vergroten. Deze maatregelen vormen de basis van een veerkrachtige organisatie die voldoet aan wet- en regelgeving."
Conclusie
Het Kompas voor concurrentievermogen van de EU is meer dan alleen een stappenplan voor beleid: het is een oproep tot actie. In een wereld die snel verandert, wil Europa de achterstand in innovatie inhalen door te investeren in nieuwe technologieën.
Tegelijk moet het ervoor zorgen dat gevoelige gegevens op alle niveaus betrouwbaar en veilig blijven, om zo beter en efficiënter te opereren. Fortinet helpt financiële instellingen die zich richten op het verminderen van risico’s en zorgt ervoor dat cyberrisico’s door de hele organisatie verkleind worden.