Het risico van bankieren
Ik heb net een grote Zoom-call gehad met traditionele bankiers waarin ze spraken over veranderingen in klantgedrag en de impact van nieuwe technologieën die de traditionele Europese bankmodellen fundamenteel uitdagen.
Eind 2019 publiceerde Boston Consulting Group een whitepaper getiteld “The Race for Relevance and Scale” waarin ze analyseerden hoeveel digitale technologie in de diverse regio’s wordt gebruikt. Ze concludeerden dat digitale transformatie al in volle gang is. Eind 2019 werd slechts 12% van alle banktransacties uitgevoerd binnen bankfilialen met lokale bankmedewerkers.
Een grote meerderheid van de deelnemers sprak echter over de toenemende risico’s van elektronisch bankieren en wees specifiek op cyberrisico’s. Terwijl COVID-19 de verschuiving naar digitale kanalen in 2020 heeft versneld, heeft het ook aanzienlijke veranderingen gebracht in het algemene klantgedrag. Maar zijn de cyberrisico’s echt veranderd?
Onderzoek toont aan dat het algemene kanaalgebruik tijdens COVID-19 is veranderd. Meer dan 18% van de klanten heeft bijvoorbeeld hun gebruik van mobiele bankapps verhoogd. Het aanvalsoppervlak en het aantal mensen dat slachtoffer kan worden van een cyberaanval op een bankapplicatie is echter ook toegenomen. Toch geeft 87% van alle ondervraagde klanten aan evenveel vertrouwen in hun bank te hebben als voor de crisis, ongeacht het kanaal dat ze gebruiken.
“Deze gebruikers willen de controle over hun data en staan bedrijven alleen toe hun data te gebruiken als ze daar duidelijke waarde voor terugkrijgen.”
Waarom geloven mensen dat cyberrisico’s de afgelopen 10 jaar exponentieel zijn toegenomen? Als we kijken naar typische cyberrisico’s rond web- of cloudgebaseerde applicaties, zien we vaak bepaalde clusters van risico’s. Exfiltratie en/of manipulatie van klantgegevens, diefstal van financiële middelen en beschikbaarheid van systemen en resources zijn goede voorbeelden. Deze clusters zijn de laatste tijd echter nauwelijks veranderd en ondanks de evolutionaire veranderingen in technologie zijn deze risico’s in de kern hetzelfde gebleven.
Technologie heeft zich zeker razendsnel ontwikkeld. Mobiele apparaten en applicaties hebben de manier waarop we zakendoen drastisch veranderd. Er komt nog meer verandering aan nu spraakherkenning, virtual en augmented reality en kunstmatige intelligentie nieuwe klantinterfaces en zakelijke platforms creëren. Zulke technologieën en platforms zullen sleutelrol spelen voor nieuwe diensten en zullen de digitale transformatie en de concurrentie tussen product- en dienstverleners zeker intensiveren. Zorgt nieuwe technologie voor het toegenomen gevoel van risico?
Klantvoorkeuren zijn ook in de loop der tijd veranderd. Meer dan 21% van de bankklanten is van plan het gebruik van filialen voor hun bankzaken te beperken of zelfs volledig te stoppen. Jongere consumenten stimuleren tegelijkertijd de deeleconomie (denk aan AirBnb en Uber), gekenmerkt door veranderende opvattingen over kopen en bezitten (of juist niet). Dit heeft traditionele bankproducten zoals leningen aanzienlijk beïnvloed. Hebben deze veranderingen het gevoel van toegenomen cyberrisico veroorzaakt?
“Ik geloof dat al deze trends verantwoordelijk zijn voor het gevoel van toegenomen cyberrisico. Ze delen allemaal één gemeenschappelijk thema: VERTROUWEN. Net als in elke relatie betekent het afnemen van vertrouwen het einde van de samenwerking.”
De pandemie heeft ook veranderingen gebracht in klantverwachtingen en digitale adoptie. Gemiddeld heeft 8% van de respondenten in Zwitserland zich in 2020 aangemeld voor online bankieren, bovenop de 78% die al was aangemeld. Deze digitale gebruikers noemden twee redenen voor hun overstap naar online bankieren: ze wilden hun digitale identiteit bezitten en het gebruik en de mogelijkheid tot directe winst van hun data beheren. Deze gebruikers willen de controle over hun data en staan bedrijven alleen toe hun data te gebruiken als ze daar duidelijke waarde voor terugkrijgen. Zorgt het verlies van controle voor het gevoel van toegenomen cyberrisico?
Wat is het juiste antwoord? Ik geloof dat al deze trends verantwoordelijk zijn voor het gevoel van toegenomen cyberrisico. Ze delen allemaal één gemeenschappelijk thema: VERTROUWEN. We hechten meer waarde aan het doel en de waarden van bedrijven. We vertrouwen erop dat onze bankpartners onze data en informatie veilig houden, zowel in rust als onderweg. We vertrouwen erop dat ze onze context begrijpen en de inhoud monitoren zodat ze altijd in ons belang en tot ons voordeel handelen. We vertrouwen erop dat ons geld veilig en beschikbaar is, ongeacht het medium dat we gebruiken. Net als in elke relatie betekent het afnemen van vertrouwen het einde van de samenwerking. Wat doet u als bankier om het kostbare vertrouwen van uw klanten te behouden?
Veelgestelde Vragen
Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen, zoals hardware, systemen, klantgegevens en intellectueel eigendom, te identificeren, beoordelen en prioriteren. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste dreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en organisatorische veranderingen. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de algehele risicobeheerstrategie van elke organisatie.
De belangrijkste onderdelen van een programma voor risicobeheer cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.
Organisaties kunnen cyberrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus en antimalwareprogramma’s, helpt bij het detecteren en elimineren van dreigingen, terwijl regelmatige back-ups van data schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan kan schade tijdens een cyberincident minimaliseren en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden identificeren en aanpakken. Tot slot kan naleving van industriestandaarden en regelgeving, zoals Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-normen, organisaties verder helpen bij het beperken van cyberrisico’s.
Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële dreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en -respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele niet-naleving kunnen aanpakken. Door het volgen van systeemprestaties helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvormingsprocessen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.