KPN, uw digitale bodyguard Veiligheid & betrouwbaarheid in de financiële sector Inleiding Veiligheid essentieel voor digitaal vertrouwen Digitale veiligheid is cruciaal voor de financiële wereld. De sector doet er dan ook alles aan om ervoor te zorgen dat klanten veilig kunnen opereren via online kanalen. KPN biedt oplossingen voor deze steeds complexere materie en versterkt daarmee het vertrouwen dat financiële transacties veilig digitaal kunnen worden afgehandeld. Financiële instanties moeten net als andere bedrijven hun klanten centraal stellen; zowel consumenten als bedrijven en instellingen. Die klanten beleven beschikbaarheid, continuïteit, privacy en weerbaarheid als één integraal vraagstuk. Het is daarom verstandig voor de financiële sector om die zaken tegelijk met compliancy integraal aan te pakken. Dat is niet eenvoudig, aangezien klanten onder meer door het geschade vertrouwen in de financiële sector wel kritisch en veeleisend, maar weinig loyaal zijn. Zij verlangen bijvoorbeeld transparante en begrijpelijke diensten, gebruikersgemak en veiligheid. Dat deze laatste twee aspecten op gespannen voet met elkaar kunnen staan, is wat de klanten betreft een zorg voor de banken en verzekeraars zelf. Dit toont aan dat de financiële sector in hoge mate afhankelijk is van ICT. De vitale processen van deze sector kunnen niet functioneren zonder integere voorzieningen op dit gebied. In een eerder stadium heeft KPN samen met een aantal banken de risico’s van internetbankieren in kaart gebracht en bekeken hoe onze processen voor incidentmanagement daarop aansluiten. Wat op dit moment nog steeds ontbreekt, is een goed inzicht in de technische ketenafhankelijkheid en in hoeverre bestaande afspraken borgen dat deze afhankelijkheid niet tot problemen leidt bij incidenten. Inhoud Hoofdstuk 1 Veiligheid complexer én noodzakelijker 3 Hoofdstuk 2 Cruciale balans tussen veiligheid en beleving 5 Hoofdstuk 3 Veiligheid voor iedereen beschikbaar 6 Hoofdstuk 4 Good guys én bad guys dwingen compliancy af 8 Hoofdstuk 5 KPN helpt u op weg 9 Hoofdstuk 1 Veiligheid complexer én noodzakelijker Klanten van financiële organisaties zoals banken en verzekeraars verwachten zorgvuldigheid, stabiliteit en betrouwbaarheid. Maar ook dat ze met hun tijd meegaan, snel reageren op nieuwe ontwikkelingen in de markt en technologische mogelijkheden zoals mobiel betalen en online beleggen omarmen. Daarbij rekenen de klanten erop dat hun gegevens in veilige handen zijn. De complexiteit van de digitale wereld is echter zó groot geworden, dat er gespecialiseerde teams voor nodig zijn om dat te overzien. Hoewel voor dit fenomeen niet één enkele oplossing bestaat, is de behoefte aan integrale veiligheid juist groter dan ooit. Groeiende complexiteit Het internet deed in de jaren ’90 zijn intrede in het dagelijks leven. Al snel ontdekten consumenten en bedrijven de mogelijkheden van de nieuwe digitale wereld; ook al was die aanvankelijk vrij statisch. Zelfs in dat stadium roken cybercriminelen al hun kansen. En die werden aanzienlijk groter toen het internet explosief begon te groeien en interactief werd. Daarmee namen behalve de mogelijkheden ook de complexiteit en de risico’s enorm toe. Gemak versus privacy Bedrijven en (overheids)instellingen zijn snel aan de slag gegaan met die interactiviteit om beter met klanten of burgers te communiceren en hen van dienst te zijn. Consumenten bleken dat gemak op prijs te stellen en dus nam het aanbod van interactieve diensten en de marketingcommunicatie die daarbij hoort snel toe. Het duurde niet lang of dat werd allemaal steeds slimmer gemaakt. Maar daaraan kleven dus ook nadelen. Wie online op zoek gaat naar een hypotheek, nieuwe schaatsen of supermarkten met een ruim aanbod aan biologisch vlees, wordt wel belaagd met aanbiedingen, maar lang niet altijd geholpen met het juiste antwoord. Nu begint op dit front een knelpunt te ontstaan tussen de aanbieders en de gebruikers, omdat het in veel gevallen niet mogelijk is om als gebruiker onderscheid te maken tussen malafide en bonafide bedoelingen. Zo is niet alleen ‘de achterkant’ van het internet voortdurend uitgebreider en ingewikkelder geworden, maar rijzen er ook vragen over de privacy van internetgebruikers. Die is duidelijk niet gegarandeerd. Wie het internet opgaat, laat voetsporen na en die worden opgepikt door bedrijven die er gebruik van maken voor marketingdoeleinden. Maar helaas ook door criminelen die mensen en bedrijven op slinkse wijze geld of informatie afhandig willen maken. ‘Niets te verbergen’ Dit heeft geleid tot een opmerkelijk fenomeen: ondanks de maatschappelijke en politieke discussie die hierover is gevoerd, heeft zich een soort collectieve, laconieke houding van ons meester gemaakt. Met argumenten als ‘ik heb toch niets te verbergen’ accepteren consumenten (en in mindere mate ook bedrijven en instellingen) dat hun contactgegevens en gedrag online worden geregistreerd en doorverkocht. De financiële sector is zich bewust van de risico’s en tracht die laconieke houding te veranderen. Zo heeft de Nederlandse Vereniging van Banken (NVB) de Veilig Bankieren televisiespot ‘Hang, op, klik weg, bel uw bank!’ gelanceerd om mensen bewust te maken dat het verstandig is om hun online zelfverdediging te verbeteren. De meeste mensen komen namelijk bij diefstal pas in actie – bijvoorbeeld als er door skimmen geld van de rekening wordt gehaald. Maar zelfs dan troosten consumenten zich nog met de gedachte dat de banken standaard de kosten daarvan voor hun rekening nemen. Het is echter de vraag of dat altijd zo zal blijven. Nu al is in de VS een kentering te zien en is er sprake van omgekeerde bewijslast. Dit wil zeggen dat de gedupeerde moet aantonen dat hij of zij er alles aan heeft gedaan om misbruik van gegevens te voorkomen en dus niets te verwijten valt. Gebruikers worden zich daardoor meer bewust van het feit dat privacy niet alleen gaat over wel of niet iets te verbergen hebben, maar te maken heeft met het recht om met rust te worden gelaten. Nieuwe regels Ook in ons land zijn hiervoor nieuwe regels geïntroduceerd; in eerste instantie alleen nog voor consumenten. Eind vorig jaar heeft de NVB samen met de Consumentenbond regels opgesteld om ervoor te zorgen dat particuliere klanten van alle Nederlandse banken veilig elektronisch kunnen bankieren en betalen. Als consumenten schade lijden, maar deze veiligheidsregels hebben nageleefd, kunnen zij erop rekenen dat zij het gestolen bedrag vergoed krijgen. Als een klant zich niet aan de veiligheidsregels houdt, hoeft de bank daar in principe niet voor op te draaien. Ook al is de schade door fraude met internetbankieren door eerder genomen maatregelen in 2012 (laatst bekende cijfers) gedaald, dit toont des te meer het nut en de noodzaak van digitale veiligheid aan. Hoofdstuk 2 Cruciale balans tussen veiligheid en beleving De economische en financiële crisis dwingt de financiële sector tot concurrentie op basis van service en toegevoegde waarde; onder meer via interactieve, gebruiksvriendelijke websites. De snelle ontwikkeling van de digitale mogelijkheden om klanten te trekken en te binden, verandert ook de inzichten over hoe dat het beste kan worden aangepakt. Klantbeleving is een van de speerpunten. De beleving van de gebruikers staat echter op gespannen voet met de veiligheid. We staan nu op het kruispunt waar belangrijke beslissingen moeten worden genomen: het is van cruciaal belang om een goede balans te vinden tussen het bieden van een optimale gebruikerservaring en een maximum aan veiligheid. Beleving versus veiligheid Financiële apps van banken zijn bijvoorbeeld bijzonder populair onder gebruikers van smartphones en tablets. Logisch: het werkt snel, gemakkelijk, altijd en overal. Als je samen overwerkt en een pizza bestelt die door een van de collega’s cash wordt afgerekend, kunnen de anderen hun deel direct overmaken op diens rekening. Hebben ze toevallig dezelfde bank, dan is het geld ook direct bijgeschreven. Aangezien dat in een handomdraai voor elkaar is, is de gebruikersbeleving dus optimaal. Maar het gebruik van apps is nog niet veilig genoeg. Waar de veiligheid voor laptops al in fase vijf of zes van volwassenheid is beland, staan de apps wat dat betreft nog in de kinderschoenen. Dit is slechts één voorbeeld. Veiligheid en beleving zijn in veel meer gevallen nog in onbalans. Dit geldt ook voor veel niet-financiële apps die in de appstores te koop zijn. Het is namelijk zo dat wel de eerste versies van alle apps die in de stores komen worden getest, maar niet de latere versies. Daar kunnen dus allerlei eigenschappen aan worden toegevoegd die mogelijk schadelijk zijn of inbreuk maken op de privacy van de gebruikers. De vraag is bijvoorbeeld waarom zaklamp apps toegang vragen tot internet en contacten… Hoofdstuk 3 Veiligheid voor iedereen beschikbaar Consumenten, bedrijven en (overheids)instellingen worden nog te veel belast met de complexiteit van het interactieve internet en de risico’s die dat met zich meebrengt. Aanbieders van digitale diensten hebben in het verleden vaker bewustwordingscampagnes over de gevaren gelanceerd, maar die blijken in de praktijk slechts zelden effectief. Er zijn voor iedereen beschikbare veiligheidsoplossingen nodig. De problematiek is te groot en te ingewikkeld om met bewustwordingscampagnes te verhelpen. Het vergt zeker van consumenten, maar ook van veel organisaties te veel technische kennis om zich afdoende te beschermen tegen de gevaren; temeer daar ze zich er vaak niet eens bewust van zijn. De meeste mensen staan er bijvoorbeeld niet bij stil dat ze buiten het kantoor lang niet zo veilig kunnen handelen als binnen een bedrijfsinfrastructuur die door deskundigen goed is beveiligd. In de ideale situatie zou er ook geen onderscheid bestaan tussen ICT-gebruik binnen (bijvoorbeeld op kantoor) of buiten (bijvoorbeeld op straat), maar de praktijk is anders. Veiligheid afgestemd op gedrag Ondanks de enorme complexiteit moet met specifieke oplossingen toch worden gestreefd naar de hoogst haalbare veiligheid op ICTgebied. Bijvoorbeeld door centrale, zeer kostbare veiligheidsvoorzieningen te creëren en die vervolgens op te splitsen in kleinere, apart te gebruiken onderdelen. Daarmee wordt veiligheid niet alleen voor bedrijven beschikbaar en toegankelijk, maar ook voor consumenten. De huidige technologische ontwikkelingen op dit gebied kunnen ruwweg in drie niveaus worden onderverdeeld: reactief (bijvoorbeeld een firewall), proactief of anticiperend (intrusion prevention detection system) en adaptief (rekening houdend met de context, bijvoorbeeld een personal bodyguard – een agent in je devices die anticipeert op gebruikersgedrag). KPN streeft op termijn naar adaptieve oplossingen die zich aanpassen aan het menselijk gedrag. Bijvoorbeeld: banken kunnen hun klanten veiligheid bieden door de algemene voordeur (de website) te vervangen door exclusieve voordeuren voor elke klant. Door een agent te pushen naar de klant die zich aanmeldt om financiële zaken te regelen, ontstaat een unieke gesloten tunnel tussen de bank en de klant. Adaptieve technologie creëert veiligheid voor beide partijen en elimineert/reduceert ook andere kwetsbaarheden zoals DDoS-aanvallen (distributed denial of service). Denken over de toekomst De snelheid waarmee ontwikkelingen op ICT-gebied zich voltrekken, vormt een extra moeilijkheidsgraad bij het slaan van een ambitiepaal voor de toekomst. Dit betekent namelijk dat we ook moeten nadenken over devices die over vijf of tien jaar algemeen in gebruik zullen zijn, maar die nu nog niet bestaan. De ontwikkelingen rond draagbare technologie zoals slimme horloges of brillen leiden tot volstrekt nieuwe inzichten en uitdagingen. Hierop anticiperen is essentieel om straks niet te worden geconfronteerd met onvoorziene bedreigingen. Hoofdstuk 4 Good guys én bad guys dwingen compliancy af Financiële organisaties investeren in een hoog tempo in online kanalen. Particuliere én zakelijke klanten verwachten immers van hun bank of verzekeraar dat zij met de tijd meegaan en faciliteiten bieden die de technologie mogelijk maakt, zoals werken op afstand. Dat is een noodzakelijke bedrijfskundige reden. Overwegingen vanuit compliance management en -rapportage zijn zeker zo belangrijk. Enerzijds brengen nieuwe wet- en regelgeving ook nieuwe compliance-eisen met zich mee, die een enorme belasting voor de bedrijfsvoering in de financiële sector betekenen. Anderzijds is de groei van online cybercriminaliteit een duidelijke trend en vormen financiële stromen favoriete doelwitten. Populair gesteld wordt de financiële sector dus zowel door de ‘good guys’ als de ‘bad guys’ gedwongen om op dit gebied de nodige maatregelen te nemen. Maar de veiligheid is alleen in het geding als de ‘bad guys’ in actie komen. In feite wordt het internet ecosysteem op drie manieren bedreigd: door misdaad (treft banken, klanten en ketenpartners), door activisten (die vaak handelen vanuit ideologische motieven of die een statement willen maken) en door zogenoemde state driven acts (de tegenwoordig veelbesproken acties van inlichtingendiensten). dienstverlening voor de financiële wereld. We hebben een uitstekende ICT-infrastructuur en betrouwbare netwerken en bovendien zijn onze Nederlandse datacenters aantoonbaar beveiligd volgens de hoogste standaarden. KPN beschouwt veiligheid als een van belangrijkste strategische thema’s van deze tijd en heeft daarom zijn veiligheidsactiviteiten ondergebracht in een kenniscentrum op het gebied van identiteit, veiligheid en continuïteit. Doel is om financiële klanten met geïntegreerde diensten op dit gebied te ontzorgen. Diensten voor de financiële wereld Deze bedreigingen brengen grote uitdagingen met zich mee. KPN anticipeert daarop met nieuwe Hoofdstuk 5 KPN helpt u op weg Als beheerder van vitale netwerken streven wij naar zo veel mogelijk zekerheid voor onze klanten. Mede om die reden heeft veiligheid de hoogste prioriteit binnen onze bedrijfsvoering. Daarnaast investeren we actief in research en innovatie en participeren we in diverse belangrijke, aan veiligheid gerelateerde ontwikkelingen. KPN is leidend in de Benelux op het gebied van infrastructuren en netwerk gerelateerde ICT-oplossingen. Wij maken ICT persoonlijk, relevant en waardevol voor onze klanten en hun medewerkers door ervaring, kennis en innovatie te verbinden. Ons streven is dat onze klanten ons zien als partner die hen helpt om succesvol te zijn. We focussen daarbij op het bieden van vooruitstrevende en veilige ICT-oplossingen. Drie aandachtvelden Daarnaast is KPN medeoprichter van initiatieven zoals onder meer het European Network for Cyber Security (ENCS, verleent vier geïntegreerde diensten: Research & Development, Cyber Testing, Training en Information & Knowledge Sharing), Cyber Security Raad (CSR), The Hague Security Delta en eID Stelselraad. Onze aandacht gaat uit naar drie belangrijke onderdelen in het werkveld van de veiligheid: •Identity – het binden van elektronische identiteitsmiddelen aan personen en organisaties. •Veiligheid – het beveiligen en bewaken van netwerkinfrastructuren en toepassingen. •Continuity – het beschikbaar houden van infrastructuren en optreden bij calamiteiten. KPN richt zich als identity service provider op het identificeren en autoriseren van gebruikers en veilige toegang tot bedrijfsapplicaties. Als Managed Security Service Provider beschermen en bewaken wij ICT-infrastructuren en de veilige distributie van bedrijfsgegevens. KPN waarborgt vanuit het Business Continuity Centre de continuïteit van de bedrijfsvoering, ook in geval van calamiteiten. Dit past bij ons streven naar de volgende fase met een aanpak via adaptieve technologie. Complexe reis eenvoudig KPN staat als betrouwbare en transparante dienstverlener met beide benen in de samenleving. Dat vraagt om een modern en gedegen beleid, waarmee we op trends in de samenleving en veranderingen in de financiële sector kunnen inspelen. De diensten die wij daar tot nu toe voor hebben ontwikkeld, organiseren we met een sterk team van gespecialiseerde consultants en projectmanagers. Zij hebben een aantoonbaar track record opgebouwd in het organiseren van grootschalige en vitale oplossingen binnen dit domein. Wij helpen u als KPN graag om deze complexe reis eenvoudig te maken. Meer informatie over dit onderwerp vindt u op kpn.com/finance. U kunt ook een afspraak maken, dan kunnen wij tijdens een persoonlijk contact inventariseren wat voor u de beste oplossingen zijn. Meer informatie kpn.com/finance kpn.com/finance
© Copyright 2024 ExpyDoc