In dit tweede artikel van een tweedelige serie, gaan we in op twee uitdagingen voor de Europese bankensector, de risico's die organisaties tegenkomen op weg naar transformatie, en waarom er reden is voor optimisme als de sector wendbaarder wordt en de backoffice op dezelfde manier digitaliseert als waarop klantgerichte activiteiten zijn gerevolutioneerd.

Cyberdreigingen bestrijden en frauderisico's beheersen

Volgens een artikel over cyberbeveiliging zal de internationale schade door cybercriminaliteit in 2025 naar verwachting 10,5 biljoen dollar bedragen. Er zijn geavanceerde social-engineeringsaanvallen en bedreigingen door vijandige natiestaten die vooral risicovol zijn voor banken buiten de landsgrenzen. Maar het zijn juist de dreigingen van binnenuit die de afgelopen twee jaar zijn toegenomen.

Bijna 20 jaar geleden zei Bruce Schneier, beveiligingsexpert en CTO bij IBM Resilient: "Alleen amateurs vallen machines aan; professionals richten zich op mensen." Een uitspraak die vandaag de dag actueler lijkt dan ooit. Cyberdreigingen blijven op wereldwijde schaal toenemen en daardoor vormen mensen, en niet de technologische infrastructuur, het voornaamste doelwit.

"De manier waarop banken en financiële instellingen omgaan met technologie moet schaalbaar zijn en duidelijk aangeven hoe deze aansluit op de routekaart van het bedrijf."

Viren Patel Industry Advisor, Financial Services Workday

In de nasleep van de COVID-pandemie zijn banken door het toegenomen aantal thuiswerkende werknemers steeds vatbaarder voor phishing en andere cyberscams. Zo kan blootstelling aan malware op gedeelde thuisapparaten risico's opleveren voor banken als processen en controles niet in goede banen worden geleid.

In het rapport 'Banking Banana Skins 2021' van het Centre for the Study of Financial Innovation staat: "COVID dwingt banken tot operationele veranderingen, zoals werkverdeling en technologische aanpassing. Hierdoor ontstaan er nieuwe mogelijkheden voor cybercriminaliteit en beveiligingsinbreuken. Een ernstig incident kan rampzalige gevolgen hebben. In het meest ongunstige (maar zeer onwaarschijnlijke) geval zou het internationale betalingsverkeer stil kunnen vallen".

Banken beschikten vaak al over de infrastructuur om werken op afstand gedeeltelijk te faciliteren, maar de onverwacht grote interesse kwam voor velen als een verrassing. Banken moeten de identiteit van gebruikers kunnen achterhalen en moeten hun gedrag kunnen koppelen aan hun profiel. Gebruiken ze hun eigen devices? Wat is het beleid aangaande telefoons, tablets en andere devices?

Zoals altijd ligt de oplossing daar waar mensen, processen en technologie elkaar kruisen. Viren Patel, Strategic Industry Advisor voor Financial Services bij Workday, legt uit hoe banken deze bedreiging van binnenuit tegengaan met een drieledige aanpak: preventie, detectie, en reactie en analyse.

"Begin altijd met preventie. Dit betekent verificatie direct bij de drempel, het gebruik van wachtwoordmanagers om veilige wachtwoorden te genereren en duidelijke richtlijnen bij fouten. Maar ook multifactor-authenticatie (MFA)", zegt Patel.  

"Organisaties moeten begrijpen wie hun gebruikers zijn, wat hun rollen zijn en hoe de authenticatie-eisen per rol verschillen. Het is belangrijk dat bedrijven inzien dat beleidsbeoordelingen en -updates op de lange termijn essentieel zijn."

"Aanpassingsvermogen en adaptief talentmanagement zijn nu van cruciaal belang. Als banken het hoofd willen bieden aan permanente veranderingen, moeten ze hun talentenpool uitbreiden door aanvullende vaardigheden te benutten en werknemers proactief te helpen om snel nieuwe vaardigheden te ontwikkelen."

Aurelie L’Hostis Senior Analyst Forrester

Als preventie mislukt, is detectie de volgende verdedigingslinie. Het is cruciaal om inlogpatronen te kunnen identificeren. Hiermee kunnen organisaties rapporteren over inloggegevens: IP-adres, gebruikersnaam en of de inlogpoging al dan niet geslaagd was (en waarom).

"In mijn ogen is inzicht in de gebruikersactiviteit ook essentieel. Zowel IT-beheerders als auditors moeten begrijpen hoe gebruikers met hun systemen omgaan. Het is belangrijk om de context te begrijpen en te kunnen inzoomen op de aanmeldingsinformatie achter inlogpogingen", zegt Patel.

Organisaties hebben waarschuwingssystemen nodig om verdachte activiteiten te detecteren op basis van vooraf gedefinieerde regels. Deze waarschuwingen moeten leiden tot passende wijzigingen in de gebruikersmachtigingen om de verdachte activiteiten zo snel mogelijk te stoppen.

Tot slot zijn respons en analyse cruciaal voor de IT-risicostrategie van elke bank. Hieronder valt het scheppen van een bewustzijnscultuur waarbij werknemers voortdurend opleiding en training krijgen over cyberbeveiliging. Denk hierbij aan phishing-tests om te kijken hoeveel werknemers op verdachte links te klikken.

ESG-kwesties (Environmental, Social & Governance) krijgen een prominente plaats bij banken

In de nieuwe realiteit na COVID-19 worden kwesties op het gebied van milieu, maatschappij en ondernemingsbestuur (ook wel ESG) steeds meer een aandachtsgebied voor Europese banken. Banken staan op allerlei vlakken onder druk. Investeerders en klanten zijn de twee belangrijkste stakeholders die om gerichte actie vragen. Investeerders maken zich zorgen over de tastbare gevolgen van de klimaatverandering en het effect daarvan op het risicobeheer. Klanten kijken bij de keuze van een bank steeds meer naar de ethische reputatie van het bedrijf.

CEO's bij banken moeten dus actie ondernemen. In een internationale survey door KPMG onder CEO's bij banken zei bijna driekwart dat de toekomstige groei voornamelijk zal afhangen van hun vermogen om te anticiperen en over te stappen naar een economie van koolstofarme en schone technologie. De meesten vinden het echter moeilijk om te vatten wat dat nou werkelijk betekent voor de toekomst van hun bank.

Banken en hun executives zijn zich volledig bewust van de noodzaak om te transformeren en om echt voor digitaal te gaan. De sector gooit er elk jaar miljarden euro's tegenaan, maar er blijven problemen bestaan rond de vraag hoe dergelijke digitale transformatie-inspanningen zijn afgestemd op de bedrijfsdoelstellingen.

Het verzamelen van data en het verschaffen van bruikbare inzichten staan centraal bij ESG in de bankensector. Instellingen weten dat duurzamere investeringen onvermijdelijk zijn, maar er moet kortetermijnwinst worden gemaakt en plots stoppen met niet-duurzame financiële activa is geen optie. Het ontwikkelen van de ervaring, het inzicht en de data om al die potentiële gevolgen in kaart te brengen is echter niet eenvoudig.

Het goede nieuws is dat andere technologieën, zoals artificial intelligence en machine learning (AI/ML), ook van pas komen bij het analyseren van bedrijfsdata en het uitvoeren van de vereiste processen bij ESG. Bovendien wordt AI/ML inherent ingezet als onderdeel van veel cloudgebaseerde oplossingen.

De combinatie van cloudtechnologie, data-analytics en AI/ML, zal van cruciaal belang zijn voor de transformatie van de bankensector en de hernieuwde aandacht voor ESG.

Meer om te lezen