Informatiebeveiliging in de bankensector: van ‘onemanshow’ naar (internationale) samenwerking.
07/11/23 • 43 min
Eddy Willems in gesprek met Michael Samson, oud-adviseur Informatiebeveiliging NVB.
In maar weinig sectoren zal het onderwerp cybersecurity zoveel aandacht krijgen als in de bankenwereld. Het is in deze tijd van online bankzaken regelen bijna niet voor te stellen, maar dat was ooit heel anders.
In de nieuwste aflevering van de podcastserie My Precious Data gaat Eddy Willems, Security Evangelist bij G DATA CyberDefense, in gesprek met Michael Samson, die twaalf jaar lang Adviseur Informatiebeveiliging was bij de Nederlandse Vereniging van Banken (NVB). In het gesprek gaat het onder andere over zijn begintijd bij NVB, toen informatiebeveiliging eigenlijk nog in de kinderschoenen stond.
Inmiddels is Samson alweer bijna vijf jaar met pensioen, maar van 2002 tot 2014 was hij bij de NVB werkzaam als Adviseur Informatica en informatiebeveiliging, waarna hij in 2014 de overstap maakte naar de Betaalvereniging Nederland als Beleidsadviseur Risk Management.
Samenwerking
In de aflevering vertelt Samson dat hij aan het begin van deze eeuw zich als enige binnen de NVB bezighield met informatiebeveiliging. Maar omdat alle aangesloten banken met dezelfde uitdagingen en bedreigingen kampten, werd er al snel een systeem opgetuigd om informatie over kwetsbaarheden eenvoudiger met elkaar te kunnen delen.
Openheid (tot op zekere hoogte) was hierbij het sleutelwoord, zo blijkt uit het verhaal van Samson. De bedoeling was dat er van elkaar geleerd werd. Ook werd er aan de hand van het Traffic Light Protocol een gradatie aangebracht in of en hoe informatie over (mogelijke) kwetsbaarheden gedeeld mocht worden. Bij TLP:RED mag informatie bijvoorbeeld niet schriftelijk of via mail gedeeld worden, maar alleen mondeling.
Eerste grote DDoS-aanval
Ook komt de eerste grootschalige DDoS-aanval op Nederlandse banken ter sprake, een voor alle betrokkenen geheel nieuwe ervaring die er uiteindelijk voor heeft gezorgd dat er een verdere professionalisering plaats heeft gevonden rondom informatiebeveiliging binnen de Nederlandse bankensector.
Uit het gesprek tussen Eddy Willems en Michael Samson blijkt maar weer eens hoe gebaat cybersecurity is bij openheid en overleg. En dat hoeft zich niet te beperken tot de landsgrenzen, ook in internationaal opzicht valt er veel van elkaar te leren.
Eddy Willems in gesprek met Michael Samson, oud-adviseur Informatiebeveiliging NVB.
In maar weinig sectoren zal het onderwerp cybersecurity zoveel aandacht krijgen als in de bankenwereld. Het is in deze tijd van online bankzaken regelen bijna niet voor te stellen, maar dat was ooit heel anders.
In de nieuwste aflevering van de podcastserie My Precious Data gaat Eddy Willems, Security Evangelist bij G DATA CyberDefense, in gesprek met Michael Samson, die twaalf jaar lang Adviseur Informatiebeveiliging was bij de Nederlandse Vereniging van Banken (NVB). In het gesprek gaat het onder andere over zijn begintijd bij NVB, toen informatiebeveiliging eigenlijk nog in de kinderschoenen stond.
Inmiddels is Samson alweer bijna vijf jaar met pensioen, maar van 2002 tot 2014 was hij bij de NVB werkzaam als Adviseur Informatica en informatiebeveiliging, waarna hij in 2014 de overstap maakte naar de Betaalvereniging Nederland als Beleidsadviseur Risk Management.
Samenwerking
In de aflevering vertelt Samson dat hij aan het begin van deze eeuw zich als enige binnen de NVB bezighield met informatiebeveiliging. Maar omdat alle aangesloten banken met dezelfde uitdagingen en bedreigingen kampten, werd er al snel een systeem opgetuigd om informatie over kwetsbaarheden eenvoudiger met elkaar te kunnen delen.
Openheid (tot op zekere hoogte) was hierbij het sleutelwoord, zo blijkt uit het verhaal van Samson. De bedoeling was dat er van elkaar geleerd werd. Ook werd er aan de hand van het Traffic Light Protocol een gradatie aangebracht in of en hoe informatie over (mogelijke) kwetsbaarheden gedeeld mocht worden. Bij TLP:RED mag informatie bijvoorbeeld niet schriftelijk of via mail gedeeld worden, maar alleen mondeling.
Eerste grote DDoS-aanval
Ook komt de eerste grootschalige DDoS-aanval op Nederlandse banken ter sprake, een voor alle betrokkenen geheel nieuwe ervaring die er uiteindelijk voor heeft gezorgd dat er een verdere professionalisering plaats heeft gevonden rondom informatiebeveiliging binnen de Nederlandse bankensector.
Uit het gesprek tussen Eddy Willems en Michael Samson blijkt maar weer eens hoe gebaat cybersecurity is bij openheid en overleg. En dat hoeft zich niet te beperken tot de landsgrenzen, ook in internationaal opzicht valt er veel van elkaar te leren.
Previous Episode
Security is een gedeelde verantwoordelijkheid, een gesprek met Ulrich Seldeslachts van LSEC.
Cybersecurity is een breed en belangrijk thema waar steeds meer (media)aandacht voor is. Maar nog elke dag stellen we onszelf bloot aan de gevolgen van cybercriminaliteit door te klikken op phishinglinks, updates niet uit te voeren, volop gebruik te maken van gekraakte wachtwoorden en tweefactorauthenticatie links te laten liggen. Hoe krijgen we een daadwerkelijke gedragsverandering voor elkaar?
Dat is één van de onderwerpen waarover Eddy Willems, Security Evangelist bij G DATA, in gesprek gaat met Ulrich Seldeslachts, CEO van de organisatie LSEC (Leaders In Security) in deze aflevering van de podcastserie My Precious Data.
LSEC is ruim twintig jaar geleden ontstaan aan de Universiteit Leuven, toen de opgebouwde expertise op het gebied van security teveel in afzonderlijke kenniseilandjes terecht dreigde te komen. LSEC ontstond simpelweg uit noodzaak om de aanwezige kennis te borgen en bij elkaar te houden. Twintig jaar later is er een hoop veranderd, maar in de kern is dit nog steeds wat LSEC doet: verschillende domeinen binnen het security-netwerk aan elkaar koppelen en bij elkaar brengen. LSEC verbindt experts uit de security-industrie, onderzoeksinstellingen en universiteiten, overheidsinstellingen, eindgebruikers en technische experts die de nationale en Europese onderzoekagenda’s aansturen.
Daarbij draait het volgens Seldeslachts om meer dan alleen security, het gaat om de digitalisering. LSEC organiseert dan ook niet alleen evenementen (meer dan 100 per jaar), maar ondersteunt ook startups bij het ontwikkelen van innovaties en helpt bedrijven zich beter te onderscheiden ten opzichte van hun concurrentie. Of, in de woorden van Seldeslachts: “Het gaat niet alleen om de kar trekken, maar ook om de kar duwen.”
In hun gesprek concluderen Willems en Seldeslachts dat er een constante nood is om te blijven innoveren en te anticiperen op mogelijke nieuwe uitdagingen. En dat is niet alleen de taak van security-organisaties, overheden of eindgebruikers: het is een gedeelde verantwoordelijkheid.
Beluister het volledige gesprek tussen Willems en Seldeslachts en ontdek bijvoorbeeld welke soort tweefactorauthenticatie het beste gebruikt kan worden en hoe Seldeslachts zijn eigen e-maildomeinnaam beschermt.
Next Episode
AI, ChatGPT en Security: de impact van kunstmatige intelligentie op onze cyberveiligheid.
We konden er het afgelopen jaar niet omheen: AI was overal. Plotsklaps zijn AI-toepassingen overal in ons leven aanwezig. Dit brengt naast mogelijkheden ook uitdagingen met zich mee. Niet in de laatste plaats voor beveiliging. Want ja, ook hackers gebruiken AI-tools.
In deze aflevering gaat Security Evangelist Eddy Willems dieper in op de vraag welke invloed de ontwikkelingen in AI hebben op security-gebied. Want sinds de openbare beschikbaarheid van ChatGPT, nu ruim een jaar geleden, gaan de ontwikkelingen snel. We gebruiken ChatGPT (en vergelijkbare tools) inmiddels als hulpmiddel bij allerlei taken: van het samenvatten van artikelen tot het schrijven van code.
En daar schuilt een gevaar in, zo vindt Eddy. Want waar niet iedereen bij stilstaat is dat het risico bestaat dat de gegevens die je deelt met zo’n tool in verkeerde handen komen. Niet zo slim dus om bedrijfskritische informatie in een AI-tool te laden met de vraag er een coherent verhaal van te maken. Hetzelfde geldt voor developers die interne code delen met een LLM, wat dat betreft zijn we nog te naïef.
Maar er zijn ook gevaren van buitenaf: phishing e-mails zijn inmiddels zo goed geschreven dat taalfouten inmiddels niet meer als rode vlag dienen. Gelukkig zijn er nog wel andere zaken waar je op kunt letten om een phishingmail van een gewone, veilige e-mail te onderscheiden. Eddy geeft in de podcast enkele tips.
Uiteraard gaat de aflevering ook dieper in op enkele science fiction-scenario’s: wat kunnen we in de toekomst verwachten van AI-gedreven cybercrime? Is de hacker van de toekomst een robot?
If you like this episode you’ll love
Episode Comments
Generate a badge
Get a badge for your website that links back to this episode
<a href="https://goodpods.com/podcasts/my-precious-data-228230/informatiebeveiliging-in-de-bankensector-van-onemanshow-naar-internati-31504451"> <img src="https://storage.googleapis.com/goodpods-images-bucket/badges/generic-badge-1.svg" alt="listen to informatiebeveiliging in de bankensector: van ‘onemanshow’ naar (internationale) samenwerking. on goodpods" style="width: 225px" /> </a>
Copy