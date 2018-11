Maar het voortdurende succes van de fintech-markt zal afhangen van de mate waarin organisaties investeren in beveiliging.

Cloud is de sleutel tot modern bankieren

Traditionele, vooraanstaande banken proberen allemaal, door meer 'agile' te werken eruit te springen in de huidige, zeer competitieve markt. Klantenbinding krijgt steeds meer aandacht en businessmodellen verschuiven van productgericht naar klantgericht. Maar of het nu om een traditionele partij of een nieuwe, kleinere speler (ook wel de 'challenger bank' genoemd) gaat, cloud computing zou vandaag de dag de basis moeten vormen van het gehele bankenlandschap.

Het IDG Contributor Network geeft jou als IT-professional of opiniemaker een platform als je je kennis of mening wil delen met collega's via de websites van IDG: CIO.nl, CSO.nl, Computerworld.nl, Webwereld.nl en CxO.nl. Analisten, experts en IT-professionals kunnen deelnemen aan het platform als zij hun collega's van originele content kunnen voorzien. We accepteren geen promotionele bijdragen of herschreven content. Deelname kan worden aangevraagd via contributor@idg.nl

Voor IT-leiders is de cloud van cruciaal belang omdat het de snelle, continue ontwikkeling van applicatie-gebaseerde diensten mogelijk maakt, met als gevolg dat bedrijven snel met een innovatieve oplossing kunnen komen als antwoord op de vraag vanuit de markt. De schaalbaarheid en rekbaarheid bieden ondersteuning voor de flexibiliteit van een bedrijf en stellen fintech-bedrijven in staat om efficiënter te werken, waardoor ze meer doen met minder.

Met de opkomst van 'challenger banks' zoals bunq, Monzo, Revoult en Sterling is een beslissende verschuiving zichtbaar geworden naar mobiel- en internetbankieren. Nogmaals, de cloud biedt de mogelijkheid om gebruikers op elk gewenst moment te ondersteunen - overal en op elk apparaat - wat van vitaal belang is voor de huidige mobiele wereld die gefundeerd is op app-gebruik.

Op het gebied van regelgeving heeft de cloud-technologie banken en fintechs geholpen met GDPR-compliance. Nieuwe regels geven klanten het recht om inzicht te krijgen in welke persoonlijke gegevens gebruikt worden (en deze indien nodig te laten verwijderen). De traditionele server-infrastructuur in het bankwezen is vaak omslachtig, waardoor het veel moeilijker is om inzicht te krijgen in deze klantgegevens. Met gebruik van de cloud kunnen banken datalekken en verdachte situaties rondom klantgegevens - die de afgelopen tijd meermaals hebben plaatsgevonden - gemakkelijker en sneller lokaliseren en aanpakken.

Beveilig nu uw API's!

Maar innovatie mag niet ten koste gaan van veiligheid. De ontwikkelingen in technologie en regelgeving betekenen dat beveiliging in de kern van cloud-technologieën zou moeten zitten. Financiële diensten dienen ook rekening te houden met het beveiligingsrisico wat betreft de ontwikkeling van bancaire apps in de open bancaire omgeving - in het bijzonder API-beveiliging. Als ontwikkelaars binnen banken en fintech-bedrijven gebruik maken van API's om technologieën met elkaar te verbinden (meestal apps, maar ook platforms en systemen), creëren ze nieuwe digitale bancaire innovaties en verminderen ze het aantal drempels. Zo ontstaan er efficiëntere, eenvoudigere manieren die innovatieve programma's een vliegende start bezorgen.

Terwijl de toegevoegde waarde van onderling verbonden applicaties niet te ontkennen is, brengen ze grote risico's met zich mee. API's openen verbindingen tussen platforms. Wanneer deze verbindingen niet goed worden beveiligd, krijgen hackers de mogelijkheid om API-diensten aan te vallen met zowel gestolen als ongeldige autorisaties. Het is essentieel dat ontwikkelaars en security teams binnen deze organisaties veel aandacht besteden aan het beveiligen van API's.

Vergelijk de IT-infrastructuur van een onderneming met een hotel. U wilt er als eigenaar van het hotel zeker van zijn dat al uw gasten alleen die sleutel krijgen, waarmee zij toegang krijgen tot hun eigen hotelkamer. Hiervoor heeft een hotel personeel bij de receptie, dat hiervoor zorg draagt. In uw IT-omgeving kunt u dit doen door voorwaarden te stellen aan de toegangsrechten van de te ondernemen acties, waardoor u nauwkeurige en betrouwbare controle over uw API's heeft en houdt. Bovendien kan de integratie en de identificatie van de contextuele factoren, zoals IP-adressen, geolocatie, en apparaatidentificatie, de veiligheid verhogen en risico's van autorisatie-gebaseerde aanvallen verlagen.

Onderschat de dreiging van binnenuit niet

Met de grote groei in online bankieren en mobiele apps is en wordt identity access management (IAM) essentieel voor het beveiligen van financiële diensten. Externe bedreigingen, zoals hackers, worden meestal geassocieerd met identiteitsdiefstal en fraude, maar interne bedreigingen worden vaak genegeerd. Banken en fintechs dienen zich bewust te zijn van het risico van cybergevaren die gerelateerd zijn aan hun eigen werknemers. Zowel menselijke fouten als kwade bedoelingen zouden kunnen leiden tot schadelijk verlies of diefstal van gegevens. Volgens een Brits onderzoek uit 2016 zijn fouten die door personeel gemaakt worden in het Verenigd Koninkrijk verantwoordelijk voor 62% van alle incidenten die gemeld zijn aan de Britse Information Commissioner's Office (ICO).

Personeel kon zodanig worden misleid dat ze zouden klikken op overtuigend uitziende phishing- links die zijn ontworpen om hun inloggegevens te stelen. Schadelijke insiders zijn, als ze hun best doen om hun sporen uit te wissen, nog moeilijker te herkennen. Sommigen kunnen zelfs gegevens meenemen naar een concurrent wanneer ze vertrekken. Het Insider Threat Report uit 2018 schat dat 90% van de wereldwijde organisaties zich kwetsbaar voelt voor risico's van binnenuit. De belangrijkste factoren die hieraan bijdragen en door IT-managers worden benadrukt, zijn het te hoge aantal medewerkers dat buitensporig veel toegangsrechten heeft (37%) en het toenemend aantal apparaten dat toegang tot gevoelige data heeft (36%). Voor financiële dienstverleners zijn deze problemen bijzonder urgent.

Het antwoord ligt in het veranderen van de manier waarop bedrijven IAM inregelen zodat medewerkers alleen toegang hebben tot de systemen, applicaties en platforms die ze nodig hebben - en dat deze toegang wordt verleend op een veilige manier. Een belangrijk uitgangspunt is dat mensen niet langer afhankelijk moeten zijn van wachtwoorden alleen. Het gebruik van risico-gebaseerde multi-factor authenticatie op alle infrastructuur is een belangrijke stap. Pas een sterker authenticatiebeleid toe dat ervoor zorgt dat medewerkers alleen toegang hebben tot de informatie die ze nodig hebben om hun werk te doen.

Beveiliging leidt tot succes

In de strijd om marktdominantie in het huidige bankentijdperk beseffen de spelers in de financiële sector dat ze flexibel en schaalbaar dienen te zijn, en dat ze bereid moeten zijn om samen te werken. Ze staan onder druk om met regelmaat te innoveren en aantrekkelijk te zijn voor een klantenkring die niet langer afgaat op bankloyaliteit. Maar banken en fintechs kunnen de risico's van cybersecurity niet negeren ten koste van innovatie.

Stefan Sijswerda is Adviseur IAM (Identity & Access Management) bij Okta. Zijn expertise ligt op het gebied van Identity & Access Management / Governance en optimalisatie van End user experience. Hij studeerde bedrijfskunde in Rotterdam en heeft zich na zijn studie verder ontwikkeld op het vlak van bedrijfsprocesautomatisering, onder andere bij Pinewood en Dell Security. Bij Okta, waar hij bijna 3 jaar geleden begon, doorloopt Stefan samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.

De opkomst van digitaal bankieren betekent dat de consument meer persoonlijke gegevens en informatie uit handen geeft aan bedrijven. Cybersecurity, met name identiteits- en toegangsbeheer, wordt een belangrijke factor bij het aantrekken en behouden van oude en nieuwe klanten. Om in de toekomstige bankensector succesvol te blijven, dienen financiële dienstverleners te zorgen dat het IAM-beleid grondig is, terwijl API-beveiliging op hetzelfde moment ook wordt gegarandeerd. Elke misstap op dit gebied zal een bedrijf duur komen te staan.