Financiële instellingen zetten Cyber Security in top 3 grootste risico’s

Het aantal geavanceerde cyberaanvallen neemt de laatste jaren sterk toe en financiële instellingen blijken steeds vaker het doelwit te zijn. Vandaar dat maar liefst 67 procent van de financiële instellingen Cyber Security nu een van de drie belangrijkste risico’s voor zijn organisatie noemt.

Ook in 2016 werd Cyber Security een groot risico gevonden. Maar toen noemde nog slechts 18 procent van de financiële instellingen Cyber Security het allergrootste risico, terwijl nu maar liefst 40 procent dat doet. Het belang van Cyber Security neemt dus sterk toe. Dit blijkt uit de elfde editie van de Global Risk Management Survey van Deloitte, waarvoor dit keer 94 financiële dienstverleners wereldwijd werden ondervraagd.

Vier keer vaker doelwit

Toezichthouders en financiële instellingen beginnen zich wereldwijd te beseffen dat Cyber Security topprioriteit moet krijgen. De cijfers liegen er namelijk niet om. In 2016 hebben cyberaanvallen naar schatting in alle sectoren in totaal 445 miljard dollar gekost[1]. En financiële instellingen blijken maar liefst vier keer vaker het doelwit dan organisaties in andere sectoren. Cyberdreigingen worden verfijnder en hackers kunnen nu niet alleen online systemen ontwrichten en ransomware installeren, maar ook gevoelige klantdata verkrijgen en ongeautoriseerde betalingen verrichten. Het risico neemt toe, benadrukken organisaties wereldwijd.

Niet-financiële risico’s blijven achter

Financiële instellingen hebben echter nog een weg te bewandelen. De afgelopen jaren hebben ze weliswaar hun risicomanagement-programma’s met succes verbeterd. Van de traditionele risicotypen zoals markt-, krediet- en liquiditeitsrisico’s zegt nu respectievelijk 92 procent, 89 procent en 87 procent van de organisaties deze buitengewoon effectief of zeer effectief te beheren. Maar de niet-financiële risico’s blijven achter. Zo noemt een veel kleiner deel zich net zo goed in het beheren van reputatie (57 procent), gedrag en cultuur (50 procent) en data-integriteit (34 procent). En slechts 52 procent van de instellingen noemt zich buitengewoon effectief of zeer effectief in het managen van Cyber Security.

Minder vertrouwen

Het beheren van cyberdreigingen en -risico’s op het gebied van ontwrichtende aanvallen (58 procent), fraude of financiële verliezen (57 procent), cyberaanvallen vanuit klanten (54 procent) en verlies van gevoelige data (54 procent) gaat volgens de meeste instellingen prima. Minder vertrouwen heeft men echter in de inspanningen op het gebied van cybersecurityrisico’s vanuit leveranciers (31 procent), cyberaanvallen van binnenuit (44 procent), dreigingen van bekwame hacktivisten (43 procent) en cyberdreiging door statelijke actoren (37 procent).

De respondenten noemen daarbij verschillende uitdagingen. Het moeilijkst blijkt ‘vooruit blijven lopen op veranderende bedrijfsbehoeften’ (58 procent) en ‘dreigingen van geraffineerde spelers, zoals hacktivisten en andere statelijke actoren, kunnen adresseren’ (58 procent). Maar omdat cyberdreigingen steeds geavanceerder en verfijnder worden, wordt het ook steeds moeilijker om getalenteerde professionals te vinden met de juiste ervaring (56 procent). Vandaar dat dit inmiddels op nummer drie van de top 3-uitdagingen wordt genoemd.

Toch blijken de ondervraagde instellingen wel vooruitgang te boeken. Zo vindt nu nog maar 31 procent het lastig om de bedrijven hun rol in Cyber Security te laten begrijpen, ten opzichte van 47 procent in de vorige editie. En worstelt 18 procent (voorheen 38 procent) van de instellingen nog maar met het voor elkaar krijgen van de financiering voor Cyber Security.

Opkomende technologieën benutten

De rode draad in de survey-uitslagen? Het aanpakken van risico-data en IT-systemen. De komende twee jaar is het verbeteren van de kwaliteit, beschikbaarheid en tijdigheid van risico-data (79 procent) en het verbeteren van risico informatiesystemen en IT-infrastructuur (68 procent) topprioriteit voor de meeste instellingen. Opkomende technologieën bieden de mogelijkheid om de efficiëntie en effectiviteit van risicobeheer drastisch te verbeteren. Maar een groot deel van deze kansen moet nog worden gerealiseerd. Slechts weinigen passen het al toe in hun organisatie.

De opkomende technologieën die momenteel het vaakst worden gebruikt, zijn cloud computing (48 procent), big data en analytics (40 procent) en Business Process Modeling (BPM)-tools (38 procent). Alhoewel Robotic Process Automation (RPA) de laatste jaren veel aandacht heeft gekregen voor het verlagen van de kosten en het verbeteren van de nauwkeurigheid, zet slechts 29 procent van de ondervraagde instellingen dit in. Het automatiseren van herhaalde handmatige taken zonder menselijke betrokkenheid wordt met name gebruikt in risico-data (25 procent), risicorapportage (21 procent) en rapportage door regelgevende instanties (20 procent).

Alhoewel de adoptie van opkomende technologieën momenteel nog vrij laag is, gelooft men wel dat dit in de nabije toekomst veel voordelen zal opleveren. Met name op het gebied van operationele efficiëntie (68 procent), verbetering van risicoanalyse en –detectie (67 procent) en verbetering van tijdige rapportage (60 procent). Een verlaging van de kosten (45 procent) wordt beduidend minder vaak genoemd als voordeel van het gebruik van opkomende technologieën.

Scope verbreden

Het wordt met de dag belangrijker voor financiële instellingen om de risicomanagement-programma’s op orde te hebben. De scope moet daarbij verbreed worden van traditionele risico’s naar niet-financiële risico’s, die immers even schadelijk kunnen zijn. Bovenaan de prioriteitenlijst staat daarbij het vermogen om geavanceerde cyberaanvallen te kunnen identificeren en te voorkomen. Van zowel individuen als statelijke actoren.

Om dat te kunnen doen moeten organisaties een risicobewuste cultuur ontwikkelen. Van het senior management dat een strategie bedenkt tot de bedrijfsafdelingen die de dagelijkse beslissingen nemen. Risicobeheer moet top of mind zijn en digitale hulpmiddelen maken dat mogelijk. Hulpmiddelen als RPA, machine learning en analytics kunnen een vroegtijdige waarschuwing geven, inzicht bieden en risk-professionals bevrijden van repetitieve taken. Zo kunnen de professionals zich concentreren op het identificeren van nieuwe risico’s. En kan risicomanagement weer een niveau hoger komen.

Het hele rapport kan je hier zien

*) Voetnoot:

[1] McAfee, Economic impact of cybercrime—No slowing down, February 2018; Stacy Cowley, “Banks adopt military- style tactics to fight cybercrime”, New York Times, May 20, 2018