Zoals elke andere sector ligt ook de verzekeringssector onder digitaal vuur. Meer en meer Europese verzekeringsmaatschappijen hebben af te rekenen met een toenemend aantal cyberdreigingen. Door de ernst van de aanval kregen sommige maatschappijen zelfs te maken met een downtime. De aanvallen op supply-chains nemen toe, maar ransomware blijft met stip de grootste cyberbedreiging. AG is tot nu toe gespaard gebleven van grote cyberaanvallen. Hier is hoe we dat bereikt hebben.
Patrick Sergysels
Head of Data Management &
Chief Information Security Officer
In dit artikel
Aanvallers gaan nog een stap verder
Traditioneel kregen aanvallers gevoelige informatie in handen, versleutelden ze die en eisten losgeld van hun slachtoffers om de informatie weer vrij te geven. De afgelopen jaren gaan cybercriminelen daarnaast echter nog een stap verder. Ze hebben een tweede wapen toegevoegd aan hun arsenaal, namelijk exfiltratie. Aanvallers versleutelen niet alleen de gegevens van de organisatie, maar dreigen er ook mee om de informatie openbaar te maken, waardoor de organisatie dreigt aansprakelijk gesteld te worden voor GDPR-overtredingen.
Dezelfde aanvallen maar met een extra risico
Aanvallers gebruiken een breed scala aan tactieken om in te breken in de systemen van een organisatie. In de financiële sector gebruiken ze vaak credential stuffing, man-in-the-middle- en MFA fatigue-aanvallen. Phishing blijft echter nog steeds de toon zetten. Het is een immers een toegankelijke aanvalstechniek die de voorkeur geniet vanwege kostenefficiëntie en effectiviteit.
Vandaag de dag kan men makkelijk een phishing-as-a-service provider inhuren. Deze providers maken harde phishing-campagnes toegankelijk voor iedereen. Met lage instapkosten en de beperkte technische vaardigheden die vereist zijn om er gebruik van te maken, hebben deze providers cybercriminaliteit gedemocratiseerd. De winst is aanzienlijk: vorig jaar werd in België online bijna 40 miljoen euro buitgemaakt door phishing.
Phishing maakt gebruik van de zwakste schakel in de cyberbeveiliging van een organisatie: de menselijke factor. Hoe ze ook uitgevoerd worden, phishing-aanvallen slagen omdat de gebruiker zich onvoldoende bewust is van het gevaar en zich daardoor laat verrassen of door een onzorgvuldig gebruik van gegevens zoals wachtwoorden en gebruikersnamen.
Cybersecurity is geen bijzaak bij AG
Veel chief (information) security officers zijn gefrustreerd omdat hun vakgebied als een bijzaak wordt behandeld. Managers die niet met cyberbeveiliging bezig zijn, beschouwen het eerder als een kostenpost dan als een bedrijfsmiddel, met karige budgetten en gebrek aan middelen als gevolg. Ook dreigt er heel wat achterstand te moeten worden ingehaald bij de ontwikkeling van nieuwe risicovolle bedrijfsprojecten.
Niet zo bij AG Insurance. Door de gevoelige aard van onze sector en het belang ervan voor de Belgische economie - we beheren meer dan 65 miljard aan activa - maken we van cybersecurity al jaren een absolute prioriteit. En dat uit zich op verschillende manieren. AG Insurance heeft medewerkers in huis die zich bewust zijn van de gevolgen van cyberaanvallen en die bereid zijn om nieuwe, strengere beveiligingsmaatregelen te nemen. Dit bewustzijn vertaalt zich in de procedures binnen ons bedrijf.
Het beleid rond informatiebeveiliging is geïntegreerd in het risicoraamwerk van ons bedrijf. We maken deel uit van de teams die nieuwe bedrijfsprojecten ontwikkelen en werken nauw samen met onze collega’s bij het analyseren van risico's en het definiëren van beveiligingsmaatregelen. Deze constante wisselwerking stelt ons in staat om onze stempel te drukken en projectspecifieke beveiligingsmaatregelen te ontwikkelen, die de waarde van een project eerder verhogen dan belemmeren.
Dit blijkt ook als we nieuwe beveiligingsmaatregelen ontwikkelen. Terwijl veel cyberbeveiligingsprofessionals klagen over het gebrek aan betrokkenheid en acceptatie van noodzakelijke maatregelen, moeten we onze mensen zelden overtuigen om nieuwe maatregelen te omarmen. Hierdoor hebben we talloze antiphishing-tactieken kunnen implementeren.
De maatregelen die AG neemt
Het vergroten van het bewustzijn is onze eerste prioriteit. Phishing maakt misbruik van mensen die zich er niet bewust van zijn, die het niet herkennen of die de risico’s ervan niet vatten. Omdat 8% van de Belgen er nauwelijks iets over weet, informeren we onze gebruikers eerst over het bestaan van phishing en de vele vormen ervan. Recent hebben we een antiphishing-campagne gelanceerd om gebruikers te waarschuwen voor de gevaren van phishing en hoe ze het kunnen onderkennen.
Daarnaast voeren we frequente en willekeurige tests uit. We sturen regelmatig mails naar onze medewerkers om te peilen of ze phishing herkennen en er op de gepaste manier op reageren. Dat onze medewerkers deze mails regelmatig rapporteren, bewijst dat deze manier om hen bewust te maken van deze problematiek, werkt. Als aanvulling hierop hebben we een aantal technische maatregelen geïmplementeerd.
Daarnaast hebben we single sign-on-technologie ingevoerd om in te spelen op cyberbedreigingen die worden versterkt door thuiswerk. Onze collega’s gebruiken 15 of meer applicaties per dag. Vroeger moesten ze voor elke applicatie complexe en unieke wachtwoorden aanmaken, maar in de praktijk deden veel collega’s dat niet. Een aanvaller moet slechts één van deze applicaties kraken om toegang te krijgen tot alle applicaties.
In plaats daarvan hebben we een mechanisme voor eenmalige aanmelding geïmplementeerd, waardoor gebruikers eenvoudig toegang hebben tot hun applicaties. Terwijl we geleidelijk aan cloudgebaseerde applicaties in onze organisatie uitrollen, zullen we SSO voor de cloud ontwikkelen.
Daarnaast hebben we 2FA geïntroduceerd. De wachtwoordcombinatie van onze collega's was gekoppeld aan een pincode op laptops en een Authenticator-app op mobiele apparaten, wat onze beveiligingspositie verbeterde. Toch voorkomt het phishing van wachtwoorden niet. Dus in plaats van wachtwoorden af te schermen voor potentiële aanvallers, willen we ervan afstappen.
We evolueren naar een wachtwoordloze IAM-installatie zodat onze collega's met een biometrische scan en een apparaatspecifieke pincode kunnen inloggen . Door een kennisfactor te vervangen door een inherente factor verkleinen we het aanvalsveld van phishers aanzienlijk.
Conclusie
Als cybersecurity-experts lopen we vaak achter de feiten aan als het gaat om potentiële cyberaanvallers. Gelukkig kunnen we op de bedrijfsbrede ondersteuning en middelen van AG, en op de technische kennis en betrokkenheid van mijn collega's rekenen. We ontwikkelen nieuwe maatregelen en technologieën om steeds een stap voor te blijven op de op de loer liggende cybercriminelen. Blijf deze blog volgen voor regelmatige updates.
-