“Securitypolitiek van banken verschuift van enkel physical security naar een mix met digital security”

23/02/2015

"Zoals de maatschappij evolueert, zo evolueert de economie en zoals de economie evolueert, zo evolueert het bankwezen. We zien zeer duidelijk enkele grote veranderingsstromen. Zo wordt de maatschappij alsmaar digitaler."

In een interview met het vakblad Top Security heeft Michel Vermaerke het over de toekomst van de digitale maatschappij en de impact die dat heeft op de beveiliging van zowel digitaal als fysiek bankieren:

Klik op het beeld om het artikel in layout te lezen.

Michel Vermaerke staat sinds de oprichting van Febelfin in 2003 aan het hoofd van de federatie. We ontmoeten hem in de Febelfin kantoren in Brussel voor een gesprek over de bewegingen en uitdagingen binnen de bancaire wereld op het vlak van beveiliging.

Febelfin is de Belgische federatie/spreekbuis van de financiële sector, met uitzondering van de verzekeringsmaatschappijen. Begin 2014 werd ze ongevormd tot vzw. Momenteel telt de federatie een 270-tal leden: grootbanken, niet-grootbanken, nichespelers, niet-bancaire financiële instellingen en organisaties en dergelijke meer.

Febelfin bestaat tien jaar. U was er van in het begin bij als Gedelegeerd Bestuurder. Hoe kijkt u terug op deze periode?

Michel Vermaerke: “We werden in 2008 getroffen door een belangrijke crisis, waarbij meer dan ooit de vraag werd gesteld welke de rol is van de financiële instellingen en hoe die zich moeten opstellen. Alles wat met de sector te maken heeft, is zowel op Belgisch als op internationaal niveau in vraag gesteld.

Ik ben enkele illusies armer, maar een aantal ervaringen rijker. De illusie is dat de markt steeds het antwoord zou weten te bieden. De ervaring: de financiële sector is, misschien meer dan ooit, een essentieel ondersteunende sector die echt ten dienste moet staan van de maatschappij en de economie. Alle ervaring van de laatste zeven à acht jaar is er op gericht dit aspect opnieuw scherp te stellen.”

Banken worden met veel veiligheidsrisico’s geconfronteerd. Hoe zijn die, afgaand op wat Febelfin vanuit het werkveld opvangt, de laatste jaren geëvolueerd?

Michel Vermaerke: “Zoals de maatschappij evolueert, zo evolueert de economie en zoals de economie evolueert, zo evolueert het bankwezen. We zien zeer duidelijk enkele grote veranderingsstromen. Eerst en vooral: de maatschappij wordt alsmaar digitaler. Digital is the new normal. Je ziet dat ook in de financiële sector. De klant maakt meer en meer gebruik van digitale oplossingen. Ten tweede: de klant is mondiger dan ooit en bepaalt wat het dienstenaanbod moet zijn. Een derde fenomeen is: vertrouwen is essentieel. Dit zijn drie permanente uitdagingen voor banken.

Teruggekoppeld naar veiligheid kunnen we stellen dat 10 à 15 jaar geleden de hoofdfocus op fysieke veiligheid lag. Momenteel zien we dat de fysieke aanvallen dalen en de virtuele bedreigingen stijgen. Dit vertaalt zich in een afname van het aantal hold-ups op bankkantoren. Waar er in de periode 2000-2010 vaak sprake was van 100 of meer overvallen per jaar is het aantal de laatste jaren teruggevallen naar circa 20 à 30 per jaar.

Daarnaast stellen we vast dat internetbankieren een van de veiligste manieren is om te bankieren. De Belgische banken investeren dan ook heel wat tijd en middelen om de veiligheid van hun systemen te garanderen.”

Hoe veilig is internetbankieren eigenlijk?

Michel Vermaerke: Tussen januari en september 2014 werden 231 fraudegevallen genoteerd voor een bedrag van 534.000 euro. Tegenover dezelfde periode een jaar eerder is dat een terugval van meer dan 80%. Toen vonden er nog 1.467 fraudegevallen plaats met een buitgemaakt bedrag van meer dan 4,5 miljoen euro. Als we kijken naar het totale aantal geregistreerde sessies - 490 miljoen in 2013 - dan kunnen we stellen dat het aantal fraudegevallen gelukkig heel beperkt blijft.

Het aantal fraudegevallen dat wel plaatsvindt, is vooral toe te schrijven aan phishing waarbij criminelen de persoonlijke gegevens van burgers proberen te achterhalen. In België hebben we het voordeel dat we een zeer internationale bancaire maatschap zijn. Meer dan 80% van onze banken hebben een beslissingscentrum buiten België. Wanneer er in Europa een nieuwe vorm van fraude opduikt, weten we dat vrij snel omdat die informatie via Febelfin wordt uitgewisseld.”

Welke invloed hebben deze evoluties op de organisatie en beveiliging van de banken?

Michel Vermaerke: “De focus van de securitypolitiek van een bank ligt niet enkel meer op puur physical security maar steeds meer op security op het vlak van internetbankieren. Elke bank zal, specifiek voor haar situatie, een veiligheidsbeleid uitwerken waarbij naar een evenwicht wordt gezocht tussen fysieke en digitale beveiliging.

De impact op de klantenrelatie staat hierbij steeds centraal. Hoewel de focus de jongste jaren steeds meer naar digitale beveiliging uitgaat, blijft physical security uiteraard een belangrijk aandachtspunt. Banken nemen verschillende veiligheidsmaatregelen - ik denk hierbij aan het installeren en beheren van bewakingscamera’s, alarmsystemen, het gebruik van sasdeuren en dergelijke meer - die duidelijk een verhoogd veiligheidsniveau met zich meebrengen voor de medewerkers en klanten.

Dit kunnen we alleen maar toejuichen want laat ons eerlijk zijn: de emotionele schade ten gevolge van een overval is vaak veel erger dan het puur financieel verlies. Daarnaast wordt ook de fysieke inrichting van de bankkantoren herdacht, in die zin dat “kantoren achter veel glas” verdwijnen en cashless kantoren in de plaats komen."

En wat betreft het internetbankieren?

Michel Vermaerke: “Ik haalde daarnet al aan dat banken heel wat tijd en middelen investeren om de veiligheid van hun systemen te garanderen. Cruciaal in dit verhaal is dat er echter niet alleen geïnvesteerd moet worden in hard- en software-oplossingen, maar ook in opleiding en sensibilisering. De veiligheidsproblematiek van een fysiek agentschap is niet hetzelfde als die van een digitale omgeving. Veiligheid begint in een digitale omgeving vaak bij de consument thuis. Vandaar dat we de afgelopen jaren meerdere awareness campagnes in de taal van de burger gerealiseerd hebben.”

Welke nieuwe beveiligingsoplossingen deden hun intrede in de wereld van de banken?

Michel Vermaerke: “Met betrekking tot physical security wordt er de laatste jaren meer en meer naar gestreefd om het probleem bij de kern aan te pakken - met name de toegang tot cash voor de medewerkers beperken - waardoor het ook geen zin heeft om bankmedewerkers te overvallen.

Het cashless concept heeft twee grote voordelen: de veiligheid van de medewerkers wordt versterkt en tegelijk verhoogt de dienstverlening naar cliënten aangezien automaten “ruimere openingsuren” hebben. De banken blijven ook verder inzetten op een veralgemeende invoering van het “two-factor authentication”. Alleen de juiste combinatie van een bankkaart en een pincode kunnen aanleiding geven tot een betaaltransactie.”

Evolueren we onder invloed van de grote investeringen die hiermee gepaard gaan meer en meer naar grotere banken? Is er nog voldoende ruimte/overlevingskans voor nichebanken?

Michel Vermaerke: “Dat is een enorme uitdaging, die natuurlijk ook zijn financiële berekeningen kent. Wanneer je door een storm aan nieuwe wetgeving en regelgeving moet, is de last niet altijd even proportioneel om dat te verwerken. In 2013 hadden wij 7.144 pagina’s aan nieuwe wet- en regelgeving.

En iedereen wordt verondersteld de wet te kennen. In welke mate is dat nog allemaal mogelijk voor kleine banken? Het business model van banken staat onder een ongelofelijke conjuncturele druk. Toch moet je vooruitkijken en mee zijn met de klantenverwachtingen en technologieën.”

Banken worden geconfronteerd met een nieuwe vorm van bedreiging op het vlak van veiligheid: de virtuele. Criminelen gaan alsmaar creatiever tewerk. In welke mate kunnen banken zich beschermen tegen cyberrisico’s?

Michel Vermaerke: “Het blijft een wedren tussen de crimineel en de bankinstelling, waarbij de fraudeur telkens weer nieuwe bedreigingen uit zijn hoed tovert. De banken moeten dan ook blijvend alert en proactief dienen te zijn in deze permanente cyberoorlog. Zij volgen de evoluerende cyberrisico’s op de voet en voorzien een optimale mix van tegenmaatregelen.”

Wat is de stand van zaken omtrent de regulering met betrekking tot cyberrisico’s?

Michel Vermaerke: “De wet betreffende de betalingsdiensten van 10 december 2009 omvat al heel wat verplichtingen waaraan banken moeten voldoen om zich te wapenen tegen dergelijke dreigingen en biedt bovendien een ruime bescherming voor de consument. Zo wordt de klant in geval van fraude terugbetaald, tenzij grove nalatigheid op frauduleus opzet kan worden aangetoond. Nieuwe wetgevende initiatieven zitten in de pijplijn.”

Welke rol speelt Febelfin in de ondersteuning van banken op het gebied van veiligheid?

Michel Vermaerke: “Wij bieden in de eerste plaats ondersteuning aan onze leden. Dit vertaalt zich onder meer in het bevorderen van het imago van de bankensector, ook op het vlak van veiligheid. Ook de brugfunctie tussen de banken en de diverse stakeholders zoals toezichthouders, overheid en politie is zeer belangrijk. Het is onze taak om te capteren wat leeft in de maatschappij en dit om te zetten in duurzame toepassingen met een toegevoegde waarde.

Wij streven ernaar dat de investeringen die gedaan worden op het vlak van gebruisgemak, veiligheid en kostenefficiëntie ook zo door de maatschappij worden ervaren. We waken ten slotte mee over het brede kader, zodat betaaltoepassingen ontwikkeld worden met respect voor de principes van privacy en vrije concurrentie.”

Welke zijn volgens u anno 2015 samengevat de uitdagingen voor banken op het vlak van veiligheid?

Michel Vermaerke: “Fraudeurs actief in “cyberspace” zijn enorm creatief in het genereren en organiseren van nieuwe bedreigingen. Op de lauweren rusten is dan ook niet aan de orde in deze context. De banken dienen de “cyberterroristen” telkens een stap voor te zijn. Voor de bankensector is het vertrouwen van de gebruiker van cruciaal belang.

Blijf inzetten op preventie, zowel in het fysieke als digitale gebeuren. Wees binnen dat kader niet “penny wise and pound foolish”. Banken dienen volgens mij ook te focussen op opleiding van hun personeel en last but not least: werk samen, want samen ben je sterk.”

Door Tilly Baekelandt

Meer over: