5 security-voorspellingen voor de bancaire sector in 2019

2019 wordt een belangrijk jaar voor de bancaire sector. Er gaat veel veranderen en security wordt belangrijker dan ooit. Will LaSala, OneSpan’s Director of Security Services, zet 5 belangrijke trends op een rij.

1. Strengere regelgeving zal aanzet geven tot initiatieven op het gebied van bestrijding van datalekken

Sinds enkele jaren wordt elk komend jaar ‘het jaar van de datalekken’ genoemd. Deze trend zal vooralsnog onveranderd blijven. De noodzakelijke initiatieven voor de aanpak van datalekken – en simpelweg niet alleen het naleven van de regels – zullen essentieel worden om de gegevens volledig te begrijpen. Aangezien het aantal en de ernst van datalekken blijft toenemen, is het van het allerhoogste belang dat organisaties op tijd kunnen reageren. Regelgeving zoals GDPR verplicht organisaties om onmiddellijk te reageren en inbreuken op persoonsgegevens te melden. Zes maanden na de inwerkingtreding van GDPR lijkt het heel ‘normaal’ dat de termijn van 72 uur voor het melden van datalekken niet wordt gehaald. En dat terwijl er toch boetes van maximaal 10 miljoen euro of twee procent van de wereldwijde jaaromzet kunnen worden opgelegd. Nu steeds meer landen strenge wetgeving op het gebied van gegevensbescherming aannemen, is het verrassend om te zien dat veel organisaties nog steeds onvoldoende zijn toegerust om te reageren op een datalek. Naarmate datalekken in omvang blijven toenemen, zullen ook de kosten voor de afhandeling van de nasleep ervan toenemen. Met inbegrip van de boetes die worden opgelegd voor het niet tijdig opsporen van en reageren op incidenten. Organisaties zullen zich met meer middelen moeten voorbereiden op een mogelijk datalek.

2. Open bancaire standaarden en nieuwe technologieën zullen innovatie in de financiële dienstverlening teweegbrengen

Een van de belangrijkste trends die we in 2019 zullen zien is de wereldwijde adoptie van Open Banking, vooral in het Verenigd Koninkrijk, de Europese Unie en Azië-Pacific (voornamelijk in Singapore, Hong Kong en Australië). Open Banking stelt ‘third-party payment service providers’ (TPP’s) in staat om consumentengegevens over hun financiële geschiedenis te verkrijgen van banken en rechtstreekse betalingen te initiëren via bankrekeningen. TPP’s hebben de mogelijkheid om innovatieve financiële diensten voor consumenten en ondernemingen te ontwikkelen, zoals toepassingen voor het samenvoegen van rekeningen en nieuwe betalingsmethoden rond API’s die door banken worden aangeboden. Dit zou moeten leiden tot meer uiteenlopende betalingsmechanismen, met lagere kosten en meer gebruikersgemak.

In het kader van Open Banking zullen we veel discussies tegenkomen over het gemak van het authenticatieproces. Wanneer de gebruiker toegang wil krijgen tot een bankrekeningapplicatie via de toepassing van een TPP, moet de gebruiker worden geauthenticeerd door de bank en moet de authenticatiestroom worden geïntegreerd in de toepassing van de TPP. De authenticatie moet gebeuren op een veilige manier die tegelijkertijd handig is voor de gebruiker. Anders zullen gebruikers de TPP-toepassingen niet adopteren. Er is nog steeds veel discussie tussen financiële instellingen, TPP’s en toezichthouders over de vraag hoe deze authenticatie dient te gebeuren. Er liggen verschillende benaderingen op tafel, bijvoorbeeld embedded, redirection en decoupled. Deze discussie zal vooral plaatsvinden in de Europese Unie, aangezien financiële instellingen tegen september 2019 Open Bank API’s moeten aanbieden, in overeenstemming met het tijdschema dat is vastgelegd in de technische reguleringsnormen van PSD2.

3. Macht van de consument dwingt banken en financiële instellingen tot betere veiligheid en ervaringen

Het meest waardevolle bezit van een financiële instelling is haar klanten. In 2019 wordt intelligente authenticatie een noodzaak voor financiële instellingen om betere ervaringen op te doen, de kosten te verlagen, de risico’s te verminderen en de inkomsten te verhogen. Dit alles zorgt voor een concurrentievoordeel. Consumenten willen de beveiliging niet meer zien of ervoor betalen, ze verwachten het gewoon. Vandaag de dag zijn banken en financiële instellingen al op zoek naar manieren om de online en mobiele transacties van hun klanten te vereenvoudigen en tegelijkertijd te beveiligen. Dit begint met het gebruik van adaptieve authenticatie en controle binnen hun platformen en infrastructuur. De volgende stap is volledige en continue intelligente authenticatie die misstappen voorkomt, zoals het tegenhouden van een gebruiker bij de voordeur tijdens het inloggen of het vragen van gebruikers om dezelfde handeling te verrichten ongeacht het potentiële risico dat aan de transactie verbonden is. Klanten verwachten dat hun bankapplicaties beveiligd zijn vanaf het moment dat ze de applicatie downloaden. Door het dagelijks gebruik van de applicatie en het gebruik van nieuwe functies en producten zullen banken en FI’s geen andere keuze hebben dan hun core-systemen en -technologieën zoals alledaagse bankapps te versterken met slimme technologie die zorgt voor het juiste niveau van authenticatie op het juiste moment.

4. DevSecOps zal een belangrijke rol spelen in Enterprise Security Applications

De rol van DevOps en DevSecOps is verder geëvolueerd dan slechts het beschermen van apps voor consumenten en onderzoekt nu hoe interne bedrijfsapplicaties, zoals de single sign-on applicaties van een organisatie, kunnen worden beschermd. We zullen zien dat DevSecOps gebruik zal maken van intelligente authenticatie-technologie om de potentiële risico’s verbonden aan de applicatieplatforms van werknemers te beschermen en te vereenvoudigen. Met ongeveer 30 procent van alle aanvallen die het gevolg zijn van een kwetsbaarheid in de applicatielaag, zullen organisaties een volwassen, veilig software-ontwikkelingsproces moeten invoeren dat verder gaat dan alleen maar scannen en het verhelpen van beveiligingsfouten. Geavanceerde technologieën zoals intelligente authenticatie zorgen voor de juiste werknemers, gebruiken het juiste niveau van authenticatie op het juiste moment, zijn de sleutel tot een succesvolle beveiligingsinfrastructuur en voorkomen toekomstige kwetsbaarheden in de organisatie. We zullen de rol van DevSecOps volledig ingebed zien in enterprise security-teams en volgend jaar zullen we zien dat deze teams snel groeien binnen organisaties om enterprise applicaties te beschermen.

5. Het beveiligen van het gsm-kanaal zal een riskante onderneming blijven, terwijl overlay- en phishing-aanvallen evenals malware-bedreigingen voor mobiele apps nog gevaarlijker worden.

2019 zal waarschijnlijk een nog rooskleurigere toekomst voor de ontwikkeling van mobiele apps met zich meebrengen. Hoewel het niets nieuws is voor de app-wereld, zijn verschillende spraakmakende bedrijven aangevallen en zijn gebruikers meer dan ooit bezorgd over privacy. Nieuwe en oude aanvallen op mobiele apparaten en toepassingen lijken dagelijks te verschijnen, maar financiële instellingen en organisaties ondernemen nog steeds geen proactieve stappen om de apps van de gebruiker op hun apparaten te beschermen. Verwacht dat sommige van de beste koppen in de industrie nog harder zullen werken om de beste bescherming te bieden tegen hacking en phishing-aanvallen om deze prangende zorg te beteugelen. In 2019 zal applicatiebeveiliging een belangrijke rol blijven spelen bij de bescherming van mobiele applicaties. De afscherming van mobiele apps kan elke manipulatie met een mobiele app detecteren en beperken om de kwaadaardige code te stoppen voordat deze schade kan veroorzaken.

Daarnaast zien we een aantal van de meest serieuze bedreigingen in mobiele aanvallen, phishing-aanvallen en mobiele app-bedreigingen alleen nog maar gevaarlijker worden. Studies tonen aan dat gebruikers drie keer meer kans lopen om te worden getroffen door phishing-aanvallen via mobiele apparaten dan via andere manieren en we zullen deze trend in 2019 zien oplaaien. Ransomware-aanvallen op mobiele apparaten zullen ook blijven toenemen, evenals een toename van het aantal code-injectieaanvallen. Deze multi-payload-aanvallen zullen in 2019 een van de engste bedreigingen zijn en helaas zijn ze voor iedereen ook nog eens gemakkelijk te ontwikkelen.

Will LaSala, Director of Security Services, Security Evangelist, OneSpan