Innovaties in de financiële sector | FinanceInnovation
advert

“Organisaties met een bankfunctie moeten echt op hun tellen passen”

De innovatiegolf in de financiële sector zet meer dan ooit druk op security. Fintech-bedrijven willen maximale veiligheid bieden en het liefst ook zo snel mogelijk. Die veiligheid wordt geborgd door compliance. Maar compliant worden, blijkt nog niet zo eenvoudig.

“Het was vrij schokkend om te zien hoe weinig bedrijven van DSS op de hoogte waren”

De sense of urgency om te innoveren, lijkt nog nooit zo groot te zijn geweest. Start-ups zetten innovatieve oplossingen in de markt, reguliere banken versterken hun online dienstverlening en steeds vaker treden start-ups en banken ook samen op. Succesvolle fintech-oplossingen zijn niet alleen veilig en gebruiksvriendelijk, maar tevens snel in de markt te zetten. “Maar wie zich op de transactionele markt begeeft, moet ook voldoen aan de eisen die de toezichthouders stellen”, vertelt Marcel Ravenshorst, Country Manager Basefarm Nederland. Om dat te combineren met snelheid blijkt vaak een grote uitdaging.

Aanvallen afwenden
Basefarm is een Noors bedrijf met vestigingen in Zweden en Nederland. Het IT-bedrijf ondersteunt organisaties bij hun applicatiebeheer in het primaire proces, de voorkant, en bij hosting van bedrijfskritische processen. Twee jaar geleden trad Basefarm als eerste Nederlandse hostingorganisatie toe tot de wereldwijde veiligheidsorganisatie FIRST (Forum for Incident Response and Security Teams) en schaart zich daarmee tussen partijen als Google en Apple. “Banken, softwaremakers en veiligheidsorganisaties delen hier technieken en best practices om beveiligingsincidenten effectiever te bestrijden”, vertelt Ravenshorst. “Zo kunnen we onze kennis delen en van elkaar leren.”

Het delen van kennis blijkt hard nodig. “Het risico voor een high-profile organisatie om bijvoorbeeld getroffen te worden door een DDoS-aanval (Distributed Denial of Service) is de afgelopen jaren sterk toegenomen. De complexiteit ervan is gegroeid en we hebben in Nederland maar ook in de VS ervaren wat de gevolgen zijn. Het is dus zaak elkaar op de hoogte te houden en te blijven werken aan oplossingen om dit soort aanvallen zo snel mogelijk af te wenden.” In maart maakte Basefarm bekend dat het een samenwerking is aangegaan met Infradata, om applicatiegerichte aanvallen te voorkomen, botnets te ontmantelen en grootschalige (volumetric) DDoS-aanvallen nog eerder te herkennen en te voorkomen.

Grootste compliancy-uitdagingen
Gezien de ontwikkelingen in de financiële sector is er in de markt een grote behoefte aan ondersteuning bij het compliant worden. Ravenshorst signaleert over het algemeen twee struikelblokken bij zijn klanten in de financiële sector. “De toezichthouders stellen op procesniveau eisen aan de manier van werken en op technologisch gebied is veiligheid veruit het grootste issue. Dat betekent dat de systemen veilig moeten zijn en er van alle activiteiten een soort logboek moet worden bijgehouden. Dus een netwerkfirewall moet niet alleen verkeer filteren, maar ook in een rapportage weergeven wat er allemaal is gebeurd, wat er is tegengehouden en doorgelaten, et cetera. Je moet het hele proces aan de auditor kunnen tonen.”

Waarschuwing
Voor start-ups vormen de compliancy-eisen dikwijls een obstakel. “Dat is in beginsel natuurlijk niet hetgeen waarmee zij zich bezighouden. Zij investeren maar weinig in technologie en opereren juist meer aan de businesskant. Maar als je je in de markt van online betalen begeeft, moet je wel voldoen aan bijvoorbeeld de Wet op het Financieel Toezicht.” Ook voor de traditionele banken die willen innoveren, is compliancy een uitdaging. “Bij hen staat de omvang vaak in de weg. Ze hebben een solide basis, maar kunnen lang niet altijd snel genoeg opereren.”

Maar wie te langzaam opereert of de kat uit de boom kijkt, loopt het risico marktaandeel te verliezen. Ravenshorst waarschuwt dan ook voor ondernemende partijen die wel in staat zijn snel te schakelen, op te schalen en compliant te worden. “We hebben gezien hoe factoring-bedrijven ineens concurrenten van banken werden. Incassobureaus kochten verkoopfacturen van hun klanten over en gingen het geld van derden beheren. Wij hielpen hen dan om helemaal compliant te worden. En vanaf dat punt kon het ineens heel snel gaan, want toen bedachten ze zich dat ze het geld dat ze hadden geïncasseerd, ook weer konden uitlenen. Ja, en dan zijn ze ineens een soort bank geworden. Diezelfde beweging zien we hier ook. De partijen die dus echt op hun tellen moeten passen, zijn de (traditionele) banken.”

Weinig kennis
Hoewel we bij compliancy vaak denken aan wetten en regels van toezichthouders, kan het ook gaan om eisen die marktpartijen stellen. Zo kwam het consortium van Visa, Master Card, American Expres, JCB en Discover gezamenlijk met veiligheidsregels voor bedrijven die online betalingen met creditcards faciliteren. Het samenwerkingsverband Payment Card Industry Security Standards Council (PCI) kwam in 2013 met de Data Security Standard (DSS) en gaf e-commercebedrijven een jaar de tijd om aan de nieuwe regels te voldoen. Recent onderzoek van Basefarm toonde echter aan dat bijna geen enkel e-commercebedrijf op de hoogte is van de nieuwe eisen. “We hebben 150 bedrijven gebeld met de vraag in hoeverre ze bezig zijn met DSS. De meeste hadden geen idee waar we het over hadden. Slechts vijf bedrijven hadden DSS geïmplementeerd. Vrij schokkend.”

Tandeloze tijger
Als Level 1 PCI-DSS Service Provider beschikt Basefarm over het hoogst haalbare niveau voor het beveiligen van creditcardgegevens. Het bedrijf was een van de Nederlandse organisaties die actief betrokken waren bij de ontwikkeling en evaluatie van de nieuwe standaard. De boete die bedrijven riskeren wanneer ze niet voldoen aan de regels, vindt Ravenshorst wel fors. Die varieert namelijk van 5.000 tot 100.000 dollar per maand. Overigens is volgens hem de pakkans in Nederland niet zo groot. “Het is nu nog een tandeloze tijger, want de handhaving laat nog te wensen over. Maar als ze je in de smiezen hebben, dan ben je echt de klos.” Ondanks de hoge boete, onderschrijft Ravenshorst de inhoud van de standaard volkomen. “Ik vind dat bedrijven hun verantwoordelijkheid moeten nemen. En voor wie dat zelf niet kan of wil, nemen we de verantwoordelijkheid desgewenst over. Maar hoe dan ook, actie is noodzakelijk. Veiligheid is per slot van rekening geen stempel, maar een mindset.”

Dit artikel verscheen eerder in de FinanceInnovation die op 28 maart bij Banking Review verscheen.

Over de schrijver

Related Articles