EU-richtlijn moet risico cloudgebruik financiële sector verminderen

Beheersing van digitale risico’s is in het cloudtijdperk cruciaal voor de financiële sector. Dat stelt Richard Harmon, topbestuurder bij de internationale open source ontwikkelaar Red Hat.

• Sector financiële dienstverlening moet Europese richtlijn implementeren
• Toenemend gebruik van cloud vergroot risico’s financieel dienstverlener
• Cloudsamenwerking met Microsoft, Google en Amazon valt onder DORA

Financiële dienstverlening moet strategie opstellen
Volgens Harmon moeten bedrijven in de financiële sector de Europese richtlijn voor het veiliger en stabieler maken van hun activiteiten (Digital Operational Resilience Act), als leidraad zien om de eigen cybersecurity te verbeteren. In een bericht aan FM.nl schrijft hij: “Een branchebrede strategie is nodig om de vereisten te implementeren.” Volgens de topman van Red Hat kunnen met name een hybride cloud en open source platforms de implementatie van de eisen, ondersteunen.

Voorkomen van schade door risico’s
DORA verplicht financiële dienstverleners de weerbaarheid van alle gebruikte technologieën én de operationele stabiliteit van digitale systemen te waarborgen. Dit betekent dat alle spelers in de financiële sector adequate maatregelen moeten nemen, om hun weerbaarheid tegen alle soorten digitale verstoringen en bedreigingen op peil te brengen. Met deze eisen hoopt de EU bovendien de risico’s op forse economische schade, te voorkomen – de geschatte jaarlijkse kosten van incidenten voor de Europese financiële sector lopen uiteen van 2 miljard euro tot maar liefst 27 miljard euro.

DORA geldt voor cloudproviders en cloudgebruikers
Volgens Red Hat’s expert open source financial services is DORA een reactie op de toenemende digitalisering van de financiële wereld en de bijkomende veiligheidsrisico’s, met name wat betreft de uitbesteding van IT-diensten aan “offshore”-partners of het gebruik van cloudmodellen. Ook grote cloudproviders zoals Microsoft, Amazon en Google vallen dus binnen de scope van DORA. In hoeverre dit gevolgen gaat hebben voor partners van deze bedrijven, noemt Red Hat niet. Onlangs schreef de IT-website AG Connect een artikel over het verzet van een Europese digitale retailer tegen de Europese Digital Services Act.

Risico’s aan toenemend gebruik cloud
Volgens Red Hat wordt de richtlijn verplicht, in een periode waarin veel instellingen de complexiteit van hun technologieketen vergroten. Zo noemt Harmon het ‘hoogstwaarschijnlijk dat steeds meer bedrijfskritische workloads naar de cloud worden verplaatst’. Deze ontwikkeling brengt risico’s met zich mee. Hij noemt ‘cloudconcentratie’ dan ook een risico. Dat wil zeggen dat bedrijfskritische functionaliteiten van meerdere financiële instellingen bij één cloudprovider worden belegd. Een verstoring bij een dergelijke provider treft dan ook al deze instellingen, wat aanzienlijke schade kan aanrichten. Eerder schreef CFO.nl over de onderschatting van deze risico’s (Cybercrime nog niet genoeg op radar financials).

Risico’s hyperverbondenheid financiële bedrijven
Harmon stelt in zijn brief dat met ‘meer complexiteit ook meer security-risico’s komen’. Meer cloudgebruik leidt namelijk tot een hyperverbonden financiële sector en dus met een groter en potentieel kwetsbaarder aanvalsoppervlak. Omdat instellingen steeds vaker dezelfde public clouddiensten gebruiken, kan één kwetsbare organisatie gevolgen hebben voor alle anderen.

Gevolgen val Silicon Valley Bank
De recente val van de Silicon Valley Bank en de resulterende onzekerheid in het wereldwijde financiële stelsel onderstreept de verbondenheid en bewijst bovendien dat er niet eens sprake hoeft te zijn van een cyberaanval om schade te berokkenen. Dit geval zou dan ook moeten gelden als waarschuwing voor de gevaren van een daadwerkelijke succesvolle systeemaanval.

Amerikaanse toezichthouder test digitale aanval
In 2021 simuleerde de Amerikaanse Federal Reserve een cyberaanval op het financiële stelsel. Het bleek dat wanneer de vijf meest actieve banken zouden worden uitgeschakeld, het overloopeffect zo’n 38% van het gehele financiële netwerk zou treffen. En wanneer banken vervolgens zouden reageren door uit voorzorg geld op te potten, zou het financiële stelsel tot ruim 2,5 keer het dagelijkse BBP aan betalingen kunnen mislopen.

Aantal cyberincidenten stijgt
Volgens Red Hat’s topman Harmon neemt het aantal cyberincidenten in de financiële sector jaarlijks toe: “In 2020 alleen al zag de ECB 54% meer cyberaanvallen dan het voorgaande jaar, en de groei is er nog lang niet uit.” Gezien de mogelijke schade is het dan ook zorgelijk dat het aantal incidenten wereldwijd fors stijgt.

Veiligheid financieel dienstverleners is teamwork
Gezien het feit dat cyberaanvallen steeds geraffineerder worden, is een sterke gemeenschappelijke aanpak nodig. Omdat het financiële stelsel zo innig is verbonden, zijn ‘veerkracht en veiligheid’ volgens Red Hat’s topman ’teamsport geworden’. Maar volgens Harmon heeft niemand het volledige overzicht heeft van de verbondenheid.

Geheimhouding
In zijn brief schrijft Harmon dat zowel de financiële sector als de academische wereld momenteel in kaart brengen hoe de wereldwijde financiële sector technologisch met elkaar verbonden is. Dit is nodig om de systeemrisico’s te identificeren. Maar dan moeten de instellingen hun strategie van geheimhouding achter zich laten: “Alleen dan kan een holistisch overzicht van de sector ontstaan waar alle organisaties en bedrijven in het ecosysteem van kunnen profiteren.”