Financieel

Adobe Stock 144656895


Submarkten

  • Banken
  • Verzekeraars
  • Pensioenfonds
  • Financiële dienstverleners


Kennis over de motivatie en de tactiek van dreigingsactoren

Door NCSC-data en het MITRE ATT&CK-raamwerk weten we welke actoren zich richten op financiële organisaties en wat gangbare tactieken, technieken en procedures zijn.

Cloud Initiatieven van EU-instellingen

Wij bieden ondersteuning bij de implementatie van cloudbeveiliging in overeenstemming met het European Banking Forum.

Vele jaren ervaring met TIBER

Als onderdeel van de eerste golf van TIBER-NL heeft Secura goed inzicht in TIBER-EU en volgen wij het MITRE ATT&CK raamwerk ter ondersteuning van verdere blue team training.

Vertrouwen is essentieel in de financiële sector. Of u nu een (inter)nationale bank, een verzekeringsmaatschappij of een pensioenfonds bent, u beheert zowel grote bedragen als fraude- en privacygevoelige informatie. Dit maakt u een aantrekkelijk doelwit.

Realistisch gezien gebeurt een aanzienlijke hoeveelheid data-inbreuken echter via interne actoren (ongeveer 1/3), meestal veroorzaakt door een verkeerde configuratie of een fout. Ongeveer 2/3 van de inbreuken is afkomstig van externe actoren onder leiding van de financieel gemotiveerde georganiseerde misdaad. De meeste eerste invoer gebeurt via een web-applicatie-aanval of een eenvoudige fout in systemen (misconfiguraties). Het voorkomen van een hacker om geld van uw rekeningen over te maken, uw vertrouwelijke gegevens te stelen of grootschalige DDOS-aanvallen te overwinnen is de sleutel tot het behoud van het vertrouwen van klanten. U moet voorop blijven in uw beveiliging om u te beschermen tegen bedreigingen van binnen en buiten. Belangrijke gebieden om te winnen in de CIS-basislijnen zijn: 1) Beveiligingsbewustzijn onder medewerkers (CSC 17), 2) Grensverdediging (CSC12) en Veilige configuraties (CSC5 en CSC 11).

De financiële wereld wordt gereguleerd via overheidsinstanties en gezamenlijke organisaties. Bijvoorbeeld:

  • Centrale banken eisen van financiële instellingen dat zij de risico's met betrekking tot de beveiliging van hun systemen onder controle hebben. Dit impliceert dat er regelmatig audits en tests moeten worden uitgevoerd op al hun systemen. Een daarvan is TIBER: Threat Intel Based Ethical Red-Teaming. Dit begon met banken, maar is geldt ook voor verzekeraars en pensioenfondsen.
  • Als financiële instellingen gebruik maken van (derde partij) cloudinfrastructuur, dient dit gemeld te worden bij de centrale bank van dat land, zoals de Nederlandse Centrale Bank, of op Europees niveau zoals de richtlijnen van de EBF.
  • De Payment Services Directives (PSD2) van de EU hielpen bij het creëren van de Single European Payments Area (SEPA) en dwingen banken momenteel om hun infrastructuur open te stellen voor externe dienstverleners.
  • Het betalingsdomein is sterk afhankelijk van SWIFT (en de SWIFT-betalingsgateway).
  • Het domein voor kaartbetalingen wordt beheerst door Payment Card Industry (PCI).

Al deze voorschriften bevatten beveiligingseisen en eisen om te controleren, testen en bewijzen dat de risico's op een acceptabel niveau zijn.

Hoe beveiligen we de financiële sector?

Van het testen van fysieke geldautomaten tot het creëren van geld door het aanpassen van de wisselkoersen, van het benadrukken van inzicht in al uw pensioenontvangers tot het hacken van uw mobiele app of van het doen van een TIBER-oefening bij een verzekeringsmaatschappij tot het testen van uw nieuwe cloudoplossing die gekoppeld is aan het SWIFT-netwerk, wij gaan de uitdaging graag aan! Wij kunnen u helpen het volwassenheidsniveau van de beveiliging binnen uw organisatie en de beveiliging van uw producten en diensten te verbeteren. Wij kunnen u helpen met een verscheidenheid aan (compliance) testen & audits. Dit doen we door de volgende diensten aan te bieden.

Adobe Stock 259972712

Mens

Recente gevallen van phishing en social engineering zijn het bewijs dat zelfs organisaties met Chief Information Security Officers (CISO's) en Data Protection Officers (DPO's) aan het hoofd van beveiliging, de realiteit onder ogen moeten zien dat de menselijke factor een kritieke factor blijft. Werknemers hebben toegang tot belangrijke gegevens, wisselen belangrijke bestanden uit. Al hebben ze de kennis en zijn ze op de hoogte van beveiligingsaspecten, maar om ze zich ook daadwerkelijk zo te laten gedragen, is een uitgebreid security awareness & behavior programma vereist.

Adobe Stock 191955575

Proces

Procesmatig wordt vaak een Information Security Management System (ISMS) geïmplementeerd. De meeste hiervan zijn gebaseerd op processen en controles zoals gedefinieerd in ISO 27001 of COBIT naast Best Practices van DNB en een volledige integratie van de beveiliging in de CI/CD-processen. Zekerheid over hun effectiviteit, van GRC-niveau's van organisatorische controle tot aan het operationele controleniveau, vereist state-of-the-art audit mogelijkheden met diepgaande security kennis zoals Secura die heeft.

Voor organisaties in de financiële sector is security management voor leveranciers en partners van groot belang. Dit geldt zowel voor cloud-dienstverleners als voor softwareleveranciers en bijvoorbeeld ook voor het schoonmaakbedrijf. Wanneer uw leveranciers een minder rigoureuze beveiligingsaanpak hebben, kan dit u in gevaar brengen. Beveiliging moet deel uitmaken van het leveranciersbeheer.

Adobe Stock 238462607

Techniek

Met de enorme digitale voetafdruk die financiële organisaties hebben, vereist dit een continue update en patching van uw systemen om te allen tijde voorop te blijven lopen. Allerlei cloud- en mobiele app-oplossingen worden gecombineerd om klanten steeds betere diensten aan te bieden, maar ze moeten wel veilig zijn. Niet alleen moet elk van deze systemen afzonderlijk worden (pen)getest en gecontroleerd op kwetsbaarheden, vaak schuilen de echte risico's in de grijze gebieden tussen de verschillende platformen. Zelfs met gerenommeerde SIEM/SOC's zijn deze controlesystemen niet blindelings te vertrouwen. Ons Red Team beoordeelt de beveiliging grondig, terwijl onze trainingen uw team ondersteunen om te leren hoe u beveiliging zelfstandig kunt integreren.

Neem contact op

Heeft u een vraag? Bel of email ons en we nemen binnen 24u contact met u op.

Email Kathelijn keyboard_arrow_right
Kathelijn van Hooff Senior Account Manager call +31 (0) 88 888 31 00
Secura Contact Shape
Partners van Secura

Cybersecurity is meer dan alleen techniek. Secura werkt daarom samen met partners op het gebied van compliance en risicomanagement, integrale applicatieveiligheid, privacy, IT- en internetrecht en certificering.