SWIFT-beveiligingslekken: Datalekken bij banken zijn de bankovervallen van de toekomst

Tegenwoordig kun je, als je een bank wilt beroven, het wel vergeten om een regenjas, pruik, goedkope zonnebril en een briefje over de balie te schuiven naar een geschrokken baliemedewerker. Datalekken bij banken leveren daarentegen gemiddeld een opbrengst op die 10.000 keer hoger ligt dan bij een traditionele bankoverval (een schamele $7.500 in de Verenigde Staten). En het risico om gepakt te worden lijkt tot nu toe laag. (Doe dit natuurlijk niet. We keuren diefstal in geen enkele vorm goed; dit is slechts ter illustratie.)

In februari van dit jaar bijvoorbeeld infiltreerden hackers, mogelijk namens een natiestaat, het SWIFT-netwerk en probeerden ze een reeks transacties uit te voeren waarmee ze bijna $1 miljard van de Centrale Bank van Bangladesh wilden stelen. Een typefout in hun transacties waarschuwde een beveiligingsmedewerker, waardoor de Federal Reserve Bank of New York 30 transacties kon blokkeren, goed voor $850 miljoen. Toch gingen de dieven er vandoor met $101 miljoen, waarvan slechts $38 miljoen is teruggevonden. Op het moment van schrijven zijn de verantwoordelijken voor dit verwoestende datalek bij de bank nog steeds voortvluchtig.

SWIFT in naam, maar niet in (beveiligings)praktijk

De Society for Worldwide Interbank Financial Telecommunication, beter bekend als SWIFT, werd opgericht in 1973 en is een veilig internationaal berichtenplatform voor financiële transacties. In de afgelopen decennia is het netwerk gegroeid van 239 klantbanken naar meer dan 11.000 financiële instellingen in 200 landen. Banken vertrouwen op SWIFT voor het uitvoeren van financiële transacties, waaronder miljoenenoverboekingen. In 2015 verstuurde het netwerk meer dan 6,1 miljard berichten.

Maar de beveiliging is ongelijk en in sommige gevallen hopeloos ondermaats. Bij de overval op de Centrale Bank van Bangladesh werkte de bank zonder firewall en gebruikte men netwerk-switches van $10 uit tweedehandswinkels. Tot enkele maanden geleden vereiste het netwerk geen tweefactorauthenticatie (2FA) of extra authenticatiecontroles voor transacties met hoge waarde of afwijkende transacties. Niet verrassend dus dat SWIFT-inloggegevens eenvoudig konden worden gecompromitteerd zonder dat iemand het merkte. Gezien de enorme rijkdom die het netwerk uiteindelijk beheert, zijn de beveiligingsstandaarden schokkend laag geweest.

SWIFT stelt dat het niet haar verantwoordelijkheid is om klanten te beschermen tegen een datalek bij banken. Hoewel het netwerk zichzelf aanprijst als “de toonaangevende aanbieder van veilige financiële berichtendiensten ter wereld“, stellen sommige SWIFT-bestuursleden zoals Arthur Cousins dat SWIFT simpelweg een netwerk is; het zijn de SWIFT-klanten die verantwoordelijk zijn voor het correct implementeren van beveiligingsmaatregelen en tools. Als instellingen hierin tekortschieten, moeten toezichthouders de instellingen straffen, niet SWIFT.

Leonard Schrank, CEO van SWIFT van 1992 tot 2007, is het daar niet mee eens. Schrank vond dat beveiliging onderdeel was van SWIFT’s takenpakket. Hij vertelde Reuters: “Het bestuur heeft de bal uit het oog verloren. Ze waren met andere zaken bezig en niet met de fundamentele, heilige taak van SWIFT, namelijk de beveiliging en betrouwbaarheid van het systeem.”

Het datalek bij de Centrale Bank van Bangladesh stond niet op zichzelf. Er zijn de afgelopen jaren meer succesvolle datalekken bij banken via het SWIFT-systeem geweest. In januari 2015 sluisden dieven $12 miljoen weg bij het Ecuadoraanse Banco del Austro. In december probeerden dieven bijna $1,4 miljoen te stelen bij het Vietnamese Tien Phong Bank.

Deze datalekken bij banken die kwetsbaarheden in SWIFT uitbuiten, zouden een wake-upcall moeten zijn—niet alleen voor het SWIFT-management en de financiële instellingen die klant zijn bij SWIFT. Het moet ook aanbieders van kritieke diensten in alle sectoren, van de financiële sector tot energie en zorgprocessen, eraan herinneren dat hackers toeslaan zodra ze waarde zien in een aanval. Gelaagde beveiliging is essentieel om elk IT-systeem of waardevol middel te beschermen.

Voorkom datalekken bij banken met beveiligde bestandsoverdracht

De grootste bedreigingen van vandaag komen niet meer via de voordeur met de eis om de kassalade te legen. De dreiging werkt tegenwoordig dag en nacht vanuit onbekende locaties en maakt stilletjes gebruik van de kleinste IT-fout om er met miljoenen of zelfs honderden miljoenen vandoor te gaan.

En geld is niet het enige waardevolle dat in en uit banken stroomt. Vertrouwelijke bestanden zoals leningaanvragen en rekeningoverzichten vol persoonlijk identificeerbare informatie (PII) worden regelmatig uitgewisseld tussen banken en hun klanten, maar ook tussen banken onderling, vaak zonder voldoende aandacht voor beveiliging.

Beveiligde bestandsoverdracht-oplossingen, zoals het Kiteworks platform voor beveiligde bestandsoverdracht en governance, bieden professionals in de financiële sector de mogelijkheid om financiële gegevens, klantoverzichten en andere gevoelige informatie te delen met het hoogste niveau van gegevensbeveiliging en compliance. Bankiers, verzekeringsagenten en beleggingsadviseurs verwerken nu veilig leningaanvragen met klanten en derden, werken in realtime samen aan documenten met collega’s en verhogen de productiviteit op alle apparaten.

Het helpen van klanten bij het behalen van hun financiële doelen is gebaseerd op vertrouwen. Met beveiligde bestandsoverdracht verdienen en behouden professionals in de financiële sector het vertrouwen van hun klanten en beperken ze het risico op kostbare datalekken bij banken aanzienlijk.