Veiligheid en betrouwbaarheid in de financiële sector

KPN,
uw digitale bodyguard
Veiligheid & betrouwbaarheid
in de financiële sector
Inleiding
Veiligheid
essentieel voor
digitaal vertrouwen
Digitale veiligheid is cruciaal voor de financiële wereld. De sector doet
er dan ook alles aan om ervoor te zorgen dat klanten veilig kunnen
opereren via online kanalen. KPN biedt oplossingen voor deze steeds
complexere materie en versterkt daarmee het vertrouwen dat financiële
transacties veilig digitaal kunnen worden afgehandeld.
Financiële instanties moeten net als andere
bedrijven hun klanten centraal stellen; zowel
consumenten als bedrijven en instellingen. Die
klanten beleven beschikbaarheid, continuïteit,
privacy en weerbaarheid als één integraal
vraagstuk. Het is daarom verstandig voor de
financiële sector om die zaken tegelijk met
compliancy integraal aan te pakken.
Dat is niet eenvoudig, aangezien klanten onder
meer door het geschade vertrouwen in de
financiële sector wel kritisch en veeleisend, maar
weinig loyaal zijn. Zij verlangen bijvoorbeeld
transparante en begrijpelijke diensten,
gebruikersgemak en veiligheid. Dat deze laatste
twee aspecten op gespannen voet met elkaar
kunnen staan, is wat de klanten betreft een zorg
voor de banken en verzekeraars zelf.
Dit toont aan dat de financiële sector in hoge
mate afhankelijk is van ICT. De vitale processen
van deze sector kunnen niet functioneren zonder
integere voorzieningen op dit gebied. In een
eerder stadium heeft KPN samen met een aantal
banken de risico’s van internetbankieren in kaart

gebracht en bekeken hoe onze processen voor
incidentmanagement daarop aansluiten. Wat op
dit moment nog steeds ontbreekt, is een goed
inzicht in de technische ketenafhankelijkheid
en in hoeverre bestaande afspraken borgen dat
deze afhankelijkheid niet tot problemen leidt bij
incidenten.
Inhoud
Hoofdstuk 1
Veiligheid complexer én noodzakelijker
3
Hoofdstuk 2
Cruciale balans tussen veiligheid en beleving
5
Hoofdstuk 3
Veiligheid voor iedereen beschikbaar 6
Hoofdstuk 4 Good guys én bad guys dwingen compliancy af
8
Hoofdstuk 5 KPN helpt u op weg
9

Hoofdstuk 1
Veiligheid complexer
én noodzakelijker
Klanten van financiële organisaties zoals banken en verzekeraars
verwachten zorgvuldigheid, stabiliteit en betrouwbaarheid. Maar ook
dat ze met hun tijd meegaan, snel reageren op nieuwe ontwikkelingen
in de markt en technologische mogelijkheden zoals mobiel betalen en
online beleggen omarmen. Daarbij rekenen de klanten erop dat hun
gegevens in veilige handen zijn.
De complexiteit van de digitale wereld is echter
zó groot geworden, dat er gespecialiseerde teams
voor nodig zijn om dat te overzien. Hoewel voor
dit fenomeen niet één enkele oplossing bestaat,
is de behoefte aan integrale veiligheid juist groter
dan ooit.
Groeiende complexiteit
Het internet deed in de jaren ’90 zijn intrede
in het dagelijks leven. Al snel ontdekten
consumenten en bedrijven de mogelijkheden
van de nieuwe digitale wereld; ook al was die
aanvankelijk vrij statisch. Zelfs in dat stadium
roken cybercriminelen al hun kansen. En die
werden aanzienlijk groter toen het internet
explosief begon te groeien en interactief werd.
Daarmee namen behalve de mogelijkheden ook
de complexiteit en de risico’s enorm toe.
Gemak versus privacy
Bedrijven en (overheids)instellingen zijn snel
aan de slag gegaan met die interactiviteit om
beter met klanten of burgers te communiceren
en hen van dienst te zijn. Consumenten bleken
dat gemak op prijs te stellen en dus nam
het aanbod van interactieve diensten en de
marketingcommunicatie die daarbij hoort snel
toe. Het duurde niet lang of dat werd allemaal
steeds slimmer gemaakt. Maar daaraan kleven
dus ook nadelen.
Wie online op zoek gaat naar een hypotheek,
nieuwe schaatsen of supermarkten met een ruim
aanbod aan biologisch vlees, wordt wel belaagd
met aanbiedingen, maar lang niet altijd geholpen
met het juiste antwoord. Nu begint op dit front
een knelpunt te ontstaan tussen de aanbieders
en de gebruikers, omdat het in veel gevallen
niet mogelijk is om als gebruiker onderscheid te
maken tussen malafide en bonafide bedoelingen.
Zo is niet alleen ‘de achterkant’ van het internet
voortdurend uitgebreider en ingewikkelder
geworden, maar rijzen er ook vragen over de
privacy van internetgebruikers. Die is duidelijk
niet gegarandeerd. Wie het internet opgaat,
laat voetsporen na en die worden opgepikt
door bedrijven die er gebruik van maken voor
marketingdoeleinden. Maar helaas ook door
criminelen die mensen en bedrijven op slinkse
wijze geld of informatie afhandig willen maken.
‘Niets te verbergen’
Dit heeft geleid tot een opmerkelijk fenomeen:
ondanks de maatschappelijke en politieke
discussie die hierover is gevoerd, heeft zich een

soort collectieve, laconieke houding van ons
meester gemaakt. Met argumenten als ‘ik heb
toch niets te verbergen’ accepteren consumenten
(en in mindere mate ook bedrijven en
instellingen) dat hun contactgegevens en gedrag
online worden geregistreerd en doorverkocht.
De financiële sector is zich bewust van de risico’s
en tracht die laconieke houding te veranderen.
Zo heeft de Nederlandse Vereniging van Banken
(NVB) de Veilig Bankieren televisiespot ‘Hang, op,
klik weg, bel uw bank!’ gelanceerd om mensen
bewust te maken dat het verstandig is om hun
online zelfverdediging te verbeteren. De meeste
mensen komen namelijk bij diefstal pas in actie
– bijvoorbeeld als er door skimmen geld van de
rekening wordt gehaald. Maar zelfs dan troosten
consumenten zich nog met de gedachte dat de
banken standaard de kosten daarvan voor hun
rekening nemen.
Het is echter de vraag of dat altijd zo zal blijven.
Nu al is in de VS een kentering te zien en is er
sprake van omgekeerde bewijslast. Dit wil zeggen
dat de gedupeerde moet aantonen dat hij of
zij er alles aan heeft gedaan om misbruik van
gegevens te voorkomen en dus niets te verwijten
valt. Gebruikers worden zich daardoor meer
bewust van het feit dat privacy niet alleen gaat
over wel of niet iets te verbergen hebben, maar te
maken heeft met het recht om met rust te worden
gelaten.
Nieuwe regels
Ook in ons land zijn hiervoor nieuwe regels
geïntroduceerd; in eerste instantie alleen nog
voor consumenten. Eind vorig jaar heeft de
NVB samen met de Consumentenbond regels
opgesteld om ervoor te zorgen dat particuliere
klanten van alle Nederlandse banken veilig
elektronisch kunnen bankieren en betalen.
Als consumenten schade lijden, maar deze
veiligheidsregels hebben nageleefd, kunnen
zij erop rekenen dat zij het gestolen bedrag
vergoed krijgen. Als een klant zich niet aan de
veiligheidsregels houdt, hoeft de bank daar in
principe niet voor op te draaien.
Ook al is de schade door fraude met
internetbankieren door eerder genomen
maatregelen in 2012 (laatst bekende cijfers)
gedaald, dit toont des te meer het nut en de
noodzaak van digitale veiligheid aan.

Hoofdstuk 2
Cruciale balans
tussen veiligheid en
beleving
De economische en financiële crisis dwingt de financiële sector tot
concurrentie op basis van service en toegevoegde waarde; onder meer
via interactieve, gebruiksvriendelijke websites. De snelle ontwikkeling
van de digitale mogelijkheden om klanten te trekken en te binden,
verandert ook de inzichten over hoe dat het beste kan worden
aangepakt. Klantbeleving is een van de speerpunten.
De beleving van de gebruikers staat echter op
gespannen voet met de veiligheid. We staan nu
op het kruispunt waar belangrijke beslissingen
moeten worden genomen: het is van cruciaal
belang om een goede balans te vinden tussen het
bieden van een optimale gebruikerservaring en
een maximum aan veiligheid.
Beleving versus veiligheid
Financiële apps van banken zijn bijvoorbeeld
bijzonder populair onder gebruikers van
smartphones en tablets. Logisch: het werkt
snel, gemakkelijk, altijd en overal. Als je samen
overwerkt en een pizza bestelt die door een van
de collega’s cash wordt afgerekend, kunnen de
anderen hun deel direct overmaken op diens
rekening. Hebben ze toevallig dezelfde bank, dan
is het geld ook direct bijgeschreven. Aangezien
dat in een handomdraai voor elkaar is, is de
gebruikersbeleving dus optimaal. Maar het
gebruik van apps is nog niet veilig genoeg. Waar
de veiligheid voor laptops al in fase vijf of zes van
volwassenheid is beland, staan de apps wat dat
betreft nog in de kinderschoenen.
Dit is slechts één voorbeeld. Veiligheid en
beleving zijn in veel meer gevallen nog in
onbalans. Dit geldt ook voor veel niet-financiële
apps die in de appstores te koop zijn. Het is
namelijk zo dat wel de eerste versies van alle
apps die in de stores komen worden getest,
maar niet de latere versies. Daar kunnen dus
allerlei eigenschappen aan worden toegevoegd
die mogelijk schadelijk zijn of inbreuk maken
op de privacy van de gebruikers. De vraag is
bijvoorbeeld waarom zaklamp apps toegang
vragen tot internet en contacten…

Hoofdstuk 3
Veiligheid
voor iedereen
beschikbaar
Consumenten, bedrijven en (overheids)instellingen worden nog te veel
belast met de complexiteit van het interactieve internet en de risico’s
die dat met zich meebrengt. Aanbieders van digitale diensten hebben
in het verleden vaker bewustwordingscampagnes over de gevaren
gelanceerd, maar die blijken in de praktijk slechts zelden effectief. Er zijn
voor iedereen beschikbare veiligheidsoplossingen nodig.
De problematiek is te groot en te ingewikkeld om
met bewustwordingscampagnes te verhelpen.
Het vergt zeker van consumenten, maar ook van
veel organisaties te veel technische kennis om
zich afdoende te beschermen tegen de gevaren;
temeer daar ze zich er vaak niet eens bewust van
zijn. De meeste mensen staan er bijvoorbeeld
niet bij stil dat ze buiten het kantoor lang niet
zo veilig kunnen handelen als binnen een
bedrijfsinfrastructuur die door deskundigen goed
is beveiligd. In de ideale situatie zou er ook geen
onderscheid bestaan tussen ICT-gebruik binnen
(bijvoorbeeld op kantoor) of buiten (bijvoorbeeld
op straat), maar de praktijk is anders.
Veiligheid afgestemd op gedrag
Ondanks de enorme complexiteit moet met
specifieke oplossingen toch worden gestreefd

naar de hoogst haalbare veiligheid op ICTgebied. Bijvoorbeeld door centrale, zeer kostbare
veiligheidsvoorzieningen te creëren en die
vervolgens op te splitsen in kleinere, apart te
gebruiken onderdelen. Daarmee wordt veiligheid
niet alleen voor bedrijven beschikbaar en
toegankelijk, maar ook voor consumenten.
De huidige technologische ontwikkelingen
op dit gebied kunnen ruwweg in drie niveaus
worden onderverdeeld: reactief (bijvoorbeeld
een firewall), proactief of anticiperend (intrusion
prevention detection system) en adaptief
(rekening houdend met de context, bijvoorbeeld
een personal bodyguard – een agent in je devices
die anticipeert op gebruikersgedrag). KPN streeft
op termijn naar adaptieve oplossingen die zich
aanpassen aan het menselijk gedrag.
Bijvoorbeeld: banken kunnen hun klanten
veiligheid bieden door de algemene voordeur
(de website) te vervangen door exclusieve
voordeuren voor elke klant. Door een agent
te pushen naar de klant die zich aanmeldt om
financiële zaken te regelen, ontstaat een unieke
gesloten tunnel tussen de bank en de klant.
Adaptieve technologie creëert veiligheid voor
beide partijen en elimineert/reduceert ook
andere kwetsbaarheden zoals DDoS-aanvallen
(distributed denial of service).
Denken over de toekomst
De snelheid waarmee ontwikkelingen op
ICT-gebied zich voltrekken, vormt een extra
moeilijkheidsgraad bij het slaan van een
ambitiepaal voor de toekomst. Dit betekent
namelijk dat we ook moeten nadenken over
devices die over vijf of tien jaar algemeen in
gebruik zullen zijn, maar die nu nog niet bestaan.
De ontwikkelingen rond draagbare technologie
zoals slimme horloges of brillen leiden tot
volstrekt nieuwe inzichten en uitdagingen. Hierop
anticiperen is essentieel om straks niet te worden
geconfronteerd met onvoorziene bedreigingen.

Hoofdstuk 4
Good guys én bad
guys dwingen
compliancy af
Financiële organisaties investeren in een hoog tempo in online kanalen.
Particuliere én zakelijke klanten verwachten immers van hun bank
of verzekeraar dat zij met de tijd meegaan en faciliteiten bieden die
de technologie mogelijk maakt, zoals werken op afstand. Dat is een
noodzakelijke bedrijfskundige reden. Overwegingen vanuit compliance
management en -rapportage zijn zeker zo belangrijk.
Enerzijds brengen nieuwe wet- en regelgeving
ook nieuwe compliance-eisen met zich mee, die
een enorme belasting voor de bedrijfsvoering in
de financiële sector betekenen. Anderzijds is de
groei van online cybercriminaliteit een duidelijke
trend en vormen financiële stromen favoriete
doelwitten. Populair gesteld wordt de financiële
sector dus zowel door de ‘good guys’ als de ‘bad
guys’ gedwongen om op dit gebied de nodige
maatregelen te nemen.
Maar de veiligheid is alleen in het geding als
de ‘bad guys’ in actie komen. In feite wordt
het internet ecosysteem op drie manieren
bedreigd: door misdaad (treft banken, klanten
en ketenpartners), door activisten (die vaak
handelen vanuit ideologische motieven of die een
statement willen maken) en door zogenoemde
state driven acts (de tegenwoordig veelbesproken
acties van inlichtingendiensten).
dienstverlening voor de financiële wereld. We
hebben een uitstekende ICT-infrastructuur en
betrouwbare netwerken en bovendien zijn onze
Nederlandse datacenters aantoonbaar beveiligd
volgens de hoogste standaarden.
KPN beschouwt veiligheid als een van
belangrijkste strategische thema’s van deze
tijd en heeft daarom zijn veiligheidsactiviteiten
ondergebracht in een kenniscentrum op het
gebied van identiteit, veiligheid en continuïteit.
Doel is om financiële klanten met geïntegreerde
diensten op dit gebied te ontzorgen.
Diensten voor de financiële wereld
Deze bedreigingen brengen grote uitdagingen
met zich mee. KPN anticipeert daarop met nieuwe

Hoofdstuk 5
KPN helpt u op weg
Als beheerder van vitale netwerken streven wij naar zo veel mogelijk
zekerheid voor onze klanten. Mede om die reden heeft veiligheid de
hoogste prioriteit binnen onze bedrijfsvoering. Daarnaast investeren we
actief in research en innovatie en participeren we in diverse belangrijke,
aan veiligheid gerelateerde ontwikkelingen.
KPN is leidend in de Benelux op het gebied
van infrastructuren en netwerk gerelateerde
ICT-oplossingen. Wij maken ICT persoonlijk,
relevant en waardevol voor onze klanten en hun
medewerkers door ervaring, kennis en innovatie
te verbinden. Ons streven is dat onze klanten
ons zien als partner die hen helpt om succesvol
te zijn. We focussen daarbij op het bieden van
vooruitstrevende en veilige ICT-oplossingen.
Drie aandachtvelden
Daarnaast is KPN medeoprichter van initiatieven
zoals onder meer het European Network for
Cyber Security (ENCS, verleent vier geïntegreerde
diensten: Research & Development, Cyber Testing,
Training en Information & Knowledge Sharing),
Cyber Security Raad (CSR), The Hague Security
Delta en eID Stelselraad. Onze aandacht gaat uit
naar drie belangrijke onderdelen in het werkveld
van de veiligheid:
•Identity – het binden van elektronische
identiteitsmiddelen aan personen en
organisaties.
•Veiligheid – het beveiligen en bewaken van
netwerkinfrastructuren en toepassingen.
•Continuity – het beschikbaar houden van
infrastructuren en optreden bij calamiteiten.
KPN richt zich als identity service provider op
het identificeren en autoriseren van gebruikers
en veilige toegang tot bedrijfsapplicaties. Als
Managed Security Service Provider beschermen
en bewaken wij ICT-infrastructuren en de veilige
distributie van bedrijfsgegevens. KPN waarborgt
vanuit het Business Continuity Centre de
continuïteit van de bedrijfsvoering, ook in geval
van calamiteiten. Dit past bij ons streven naar
de volgende fase met een aanpak via adaptieve
technologie.
Complexe reis eenvoudig
KPN staat als betrouwbare en transparante
dienstverlener met beide benen in de
samenleving. Dat vraagt om een modern en
gedegen beleid, waarmee we op trends in de
samenleving en veranderingen in de financiële
sector kunnen inspelen. De diensten die wij daar
tot nu toe voor hebben ontwikkeld, organiseren
we met een sterk team van gespecialiseerde
consultants en projectmanagers. Zij hebben
een aantoonbaar track record opgebouwd in
het organiseren van grootschalige en vitale
oplossingen binnen dit domein.
Wij helpen u als KPN graag om deze complexe
reis eenvoudig te maken. Meer informatie over dit
onderwerp vindt u op kpn.com/finance. U kunt
ook een afspraak maken, dan kunnen wij tijdens
een persoonlijk contact inventariseren wat voor u
de beste oplossingen zijn.
Meer informatie
kpn.com/finance


kpn.com/finance