Klantcase


Wim Hafkamp, CISO bij de Rabobank:

‘Continu aanpassen aan de nieuwe wereld’

De financiële sector heeft de afgelopen jaren grote stappen gezet op het gebied van ICT-security. “Security is een onderwerp geworden aan de bestuurstafel”, concludeert CISO Wim Hafkamp van de Rabobank tevreden. De digitalisering van de samenleving zorgt echter ook weer voor nieuwe ‘beertjes op de weg’. “Voorlopig ben ik niet werkloos.”

We spreken Hafkamp op het hoofdkantoor van de Rabobank Groep in Utrecht, exact vijf jaar na een eerder interview met de CISO in Motivator Magazine. “In het geval van banken zijn de aanvallen vooral fraudegerelateerd”, zo stelde hij destijds. “Het draait om het financiële gewin dat de crimineel probeert te krijgen via de producten die wij aanbieden.”

Speelveld veranderd
Vijf jaar later is het ‘hele speelveld veranderd’, zegt Hafkamp. “Fraude en de dreiging van phishing zien we nog steeds, maar veel minder dan vijf jaar geleden.” Dit blijkt ook uit cijfers van de Betaalvereniging en de Nederlandse Vereniging van Banken. De schade als gevolg van fraude in het betalingsverkeer daalde in 2016 met 43 procent van 17,9 miljoen naar 10,2 miljoen euro.

“We anticiperen beter op nieuwe ontwikkelingen en zijn beter in staat om uit de betalingstransacties de ‘rotte appels’ te halen”, constateert Hafkamp. Ook bewustwordingscampagnes als ‘Hang op! Klik weg! Bel uw bank!’ werpen hun vruchten af. Daarnaast dragen een goede onderlinge samenwerking en het delen van kennis en informatie tussen financiële instellingen, cybersecuritybedrijven en overheidsinstanties bij aan de daling van het aantal fraudegevallen.

Volgens Hafkamp zijn dit allemaal voorbeelden van de professionalisering die het vakgebied security de afgelopen vijf jaar heeft doorgemaakt. “Security is een onderwerp geworden aan de bestuurstafel. Dat betekent ook dat securityprofessionals een professionaliseringsslag moeten maken en dat CISO’s de taal van het bestuur moeten spreken. Omgekeerd geldt dat het bestuur zich in het onderwerp moet verdiepen.”

Nieuwe dreigingen
De geboekte resultaten op het gebied van fraudebestrijding zijn voor Hafkamp echter geen reden om tevreden achterover te leunen. “Eigenlijk ga ik voor de nul. Dat is zeg maar mijn persoonlijke ambitie: het aantal fraudegevallen met betalingstransacties tot nul terugdringen.” Met een lach: “Voorlopig ben ik niet werkloos. De digitalisering van de samenleving zorgt bovendien ook weer voor nieuwe uitdagingen aan de dreigingskant.”

Waar geld is, zijn criminelen. Hoe manifesteert cybercrime zich voor een bancaire instelling als de Rabobank nu het aantal fraudegevallen daalt?
Hafkamp: “Waar phishingaanvallen en banking trojans voornamelijk waren gericht op de digitale kluizen van onze klanten, zien we nu steeds meer gerichte aanvallen op de digitale kluizen bij de banken zelf. Zo is de bancaire sector enige tijd geleden opgeschrikt door een aanval op de SWIFT-omgeving van de centrale bank van Bangladesh. De impact van zo’n aanval is enorm. Een cybercrimineel kan met één aanval tientallen miljoenen euro’s buitmaken.”

Zien we dergelijke gerichte aanvallen ook in Nederland?
“Daar kan ik niet op ingaan. Dit soort informatie heeft een vertrouwelijk karakter, want we willen aanvallers niet wijzer maken dan nodig is. Maar het feit dat Rob Bertholee, als hoofd van de AIVD, in een interview met de Volkskrant uitgebreid ingaat op de digitale dreiging zegt genoeg. We moeten scherp zijn, en scherp blijven.”

Wat doet de Rabobank om scherp te blijven op nieuwe bedreigingen voor de eigen digitale kluis?
“Belangrijk is het verzamelen van voldoende security intelligence door aan te sluiten op openbare en niet-openbare bronnen. Dat netwerk is het resultaat van jaren werk. De beschikbare informatie moeten we absorberen, analyseren en vertalen naar onze eigen situatie. Ons Cyber Defense Center en het Computer Security Incident Response Team spelen daar een belangrijke rol in. Daarnaast coördineert het CSIRT het ‘Red Team’ dat op basis van de beschikbare informatie onze eigen organisatie hackt door aanvallen te simuleren. Dat is zeer leerzaam en waardevol. Het laat zien hoe goed je bestand bent tegen verschillende soorten aanvallen.”

Worden kwetsbaarheden ook weleens door externe ethical hackers gemeld?
“Ja, daarvoor hebben we al sinds 2013 een responsible-disclosurebeleid waar we inmiddels veel ervaring mee hebben opgedaan. Veruit de meeste ervaringen zijn positief. Zo wees een klant ons op een situatie waarbij iets niet helemaal goed was gegaan in het changeproces in een van onze applicaties. Daar waren we die klant toen zeer dankbaar voor. Zelf ben ik ook mede-initiatiefnemer van het Coordinated Vulnerability Disclosure Manifesto van het Global Forum on Cyber Expertise. Doel van het manifest is om meer van elkaar te leren als het gaat om het verantwoord melden van kwetsbaarheden.”

Heeft de Rabobank ook zijn beveiliging aangepast aan het veranderende dreigingslandschap?
“Ja, maar die moet je continu aanpassen aan de nieuwe wereld. Beveiliging wordt niet alleen als een kostenpost gezien, maar ook als blokkerend ervaren. Onze uitdaging is om de beveiliging op een hoger niveau te brengen en tegelijkertijd de gebruiksvriendelijkheid te verbeteren. Naar die balans zoeken we continu.”

“Bij de Rabobank is de totale information security-organisatie de afgelopen vijf jaar in omvang verviervoudigd. Binnen dat team hebben we specialisten in dienst die altijd op zoek zijn naar innovaties op het gebied van security waarmee nieuwe mogelijkheden ontstaan. We werken hierbij ook samen met innovatieve start-ups en met universiteiten. Zo hebben we enige tijd geleden een inbraakdetectiesysteem ontwikkeld waarmee we aanvallen kunnen herkennen die ons anders niet waren opgevallen.”

Niet alleen het dreigingslandschap verandert. Banken ondergaan een digitale transformatie waardoor eveneens nieuwe kwetsbaarheden en dreigingen ontstaan. Hoe gaat de Rabobank daarmee om?
“De Rabobank is natuurlijk geen ICT-bedrijf, maar ICT is wel heel erg belangrijk voor een bank. Al onze diensten zijn gebaseerd op digitale processen en moeten veilig, integer en beschikbaar zijn. Maar er zijn ontwikkelingen die vanuit securityoogpunt ook weer voor nieuwe ‘beertjes op de weg’ zorgen. De nieuwe Payment Service Directive 2 verplicht financiële instellingen bijvoorbeeld om klantdata beschikbaar te stellen aan derde partijen als de klant daar om vraagt. Dan moet je er wel zeker van zijn dat de aanbieder van het financiële huishoudboekje die toegang tot de klantdata wil hebben ook echt die aanbieder is, en niet een crimineel. De wereld is fors aan het veranderen en daar moet je op anticiperen.”

In die veranderende wereld wordt de cloud steeds dominanter. Hoe staat de Rabobank tegenover het gebruik van cloudcomputing?
“Ook wij zien cloudcomputing als een manier om de efficiëntie van bepaalde processen te verbeteren en innovatie te versnellen. Maar vooralsnog hebben we geen grote bewegingen naar de cloud gemaakt. En als we die wel gaan maken, dan doen we dat zeer zorgvuldig en gedoceerd. Klantdata zijn ons belangrijkste goed. Die beheren we namens onze klanten en daar gaan we heel zorgvuldig mee om. Een cloudprovider moet dus voldoende mogelijkheden bieden om de beveiliging van klantdata op een hoog niveau te brengen en bijvoorbeeld gehoor geven aan een ‘right to audit’.”

“We zijn nu bezig met een verkenning naar Office 365. Dat is dan wel een grote beweging. Je hele mailomgeving, die veilig en 24x7 beschikbaar moet zijn en relaties heeft met bancaire diensten, komt dan in de cloud terecht. Ook die beweging zullen we daarom in stapjes doen, al zou het me verbazen als de complete migratie naar Office 365 langer dan twee jaar gaat duren.”


Dit interview is eerder verschenen in Motivator Magazine, voorjaar 2017

Lees meer over