Maandenlang van een afstand geobserveerd en geanalyseerd worden, en pas na weken doorhebben dat je op slinkse wijze beroofd bent. Het klinkt als een spannende film, maar werd realiteit voor het Noorse staatsfonds Norfund, dat er medio mei achter kwam slachtoffer te zijn van een grootschalige cyberaanval. De hack van Norfund bewijst dat vermogensbeheerders en investeringsfondsen hoog op de radar staan van cybercriminelen. Wat kunnen we leren van deze cyberaanval en hoe voorkomt u dat u zelf slachtoffer wordt?
Hoe gingen de hackers te werk?
Norfund is een fonds dat de Noorse overheid helpt bij het ontwikkelen van duurzame oplossingen in ontwikkelingslanden door hen te voorzien van (micro)financieringen. Als ’s werelds grootste staatsfonds is Norfund een mooie prooi voor cybercriminelen. Voor een opbrengst van maar liefst 10 miljoen dollar zijn cybercriminelen graag bereid om hun best te doen.
Na te hebben ingebroken op de mailserver van Norfund, hebben hackers maandenlang het mailverkeer tussen Norfund en haar partners bestudeerd en informatie verzameld. Op deze manier hebben ze zich verdiept in de processen van de vermogensbeheerder en geleerd hoe men werkt en zich gedraagt, tot aan de toon van de e-mailberichten aan toe:
“The defrauders manipulated and falsified information exchange between Norfund and the borrowing institution over time in a way that was realistic in structure, content and use of language. Documents and payment details were falsified.” –Norfund press release, 13 mei 2020.
Na het aanmaken van een ‘eigen’ mailaccount bij Norfund, konden de cybercriminelen contact opnemen met een gegadigde voor een lening in Colombia. In de mail schreven zij dat de lening vertraagd was in verband met de coronacrisis. Norfund zelf ontving (via een nepmail, ook wel e-mail spoofing genoemd) berichten van de leningnemer uit Colombia, maar dan met valse informatie van de criminelen. Zo leek het voor Norfund alsof er niets aan de hand was, terwijl er ondertussen geld overgemaakt werd naar een Mexicaanse rekening beheerd door de cybercriminelen.
Hoewel de fraude plaatsvond op 16 maart werd deze pas op 30 april, bij een tweede fraude poging, ontdekt.
Mitigerende maatregelen
Ook u loopt als vermogensbeheerder het risico om slachtoffer te worden van cybercriminaliteit. Het is dan ook niet voor niets, dat de AFM financiële ondernemingen regelmatig oproept om extra aandacht te hebben voor beveiligingsrisico’s. Consultant Niels Huijpen: ‘’Als ex-toezichthouder weet ik dat organisaties het lastig vinden om een risicoanalyse concreet te maken. Mijn tip is om te blijven redeneren vanuit risico’s naar duidelijke scenario’s, zoals de hack in deze casus.’’
Enkele concrete maatregelen die u kunt treffen ter voorkoming van cybercriminaliteit:
- Leid uw personeel op en informeer hen over de bedreigingen van ‘Business Email Compromise’ zoals de hack bij Norfund;
- Beveilig e-mail accounts met ‘two-factor authentication’;
- Evalueer regelmatig de ingezette technologie, het beleid en procedures op mitigerende maatregelen;
- Als u uw IT heeft uitbesteed is beveiliging niet vanzelfsprekend. Beoordeel daarom ook uw afspraken (en periodieke) rapportage op de aanwezigheid van specifieke mitigerende maatregelen.
Naast het feit dat de gevolgschade van cybercrime enorm kan zijn en u daarom wilt weten wat de mate van beheersing is binnen uw organisatie, hebben ook de toezichthouders verwachtingen van financiële ondernemingen wat betreft informatiebeveiliging. Zowel de AFM als DNB hebben documenten gepubliceerd met richtlijnen. Zo publiceerde de AFM eind 2019 de ‘principes voor informatiebeveiliging’ en werkt de DNB al jaren met haar Good Practice Informatiebeveiliging.
Cyber Security Awareness
Het creëren van awareness binnen de organisatie kan helpen de ‘human firewall’ van de organisatie te versterken en zo de kans verkleinen dat u slachtoffer wordt van cybercriminaliteit. Via ons opleidingsinstituut The Ministry of Compliance bieden wij een Cyber Security Awareness training aan. Deze is op ieder gewenst moment online te volgen.
Meer weten?
In samenwerking met een expert op het gebied van informatiebeveiliging, (cloud) uitbestedingen en IT Beheersing hebben wij een IT Quick Scan ontwikkeld. Door middel van een korte vragenlijst, aangevuld met enkele interviews heeft u al na één dag een indruk van uw mate van compliance op het gebied van IT en Informatiebeveiligingsvereisten. Op basis van de praktische adviezen die daaruit volgen, kunt u passende maatregelen nemen.
Wilt u meer informatie of ondersteuning op het gebied van informatiebeveiliging? De IT-Compliance specialisten van Charco & Dique helpen u graag. Neem gerust contact op.
Contact