Therese McCarthy Hockey, lid van de raad van bestuur van de Australian Prudential Regulation Authority, de Australische waakhond voor financiële diensten, heeft woensdag een scherpe waarschuwing afgegeven over de nieuwe risico’s voor financiële instellingen.
De operationele risico’s voor banken zijn veranderd. Zulke instellingen maakten zich vroeger zorgen over fysieke risico’s zoals branden en gewapende overvallen. Nu zijn digitale risico’s zoals cyberaanvallen en technologische storingen een veel grotere zorg, zei ze.
Australische financiële instellingen slapen aan het stuur
Bovendien vertrouwen klanten meer dan ooit op digitale financiële diensten, en verstoringen van deze diensten kunnen de financiële stabiliteit in gevaar brengen. En toch is de Australische financiële sector zich niet volledig bewust van deze bedreigingen, zei ze. Als reactie hierop kan APRA extra kapitaalvereisten opleggen aan bedrijven die niet voldoen aan de vereiste cyberbeveiligingsstandaarden.
In haar toespraak van 23 augustus zei Hockey:
“Twaalf maanden geleden had APRA het er nog over dat het een kwestie was van ‘wanneer’ in plaats van ‘als’ een van onze gereguleerde entiteiten een grote cyberinbreuk zou hebben. We hebben er nu verschillende gehad. De impact van deze aanvallen werd door velen gevoeld…
De plaag van oplichting is drastisch verergerd nu is onthuld dat Australiërs in 2022 3,1 miljard dollar hebben verloren – een stijging van 80 procent ten opzichte van het voorgaande jaar.”
De nieuwe digitale risico’s voor het Australische financiële systeem worden alleen maar verergerd door de afhankelijkheid van het land van digitale financiële diensten. Volgens een rapport van de Australische Reserve Bank werd in 2022 slechts 13 procent van de transacties contant gedaan.
Enigszins verrassend zijn het de oudere Australiërs die het snelst afstand doen van bankbiljetten en munten.
FIS, een financieel technologiebedrijf, ontdekte in een rapport dat contant geld in 2022 nog maar zes procent van het marktaandeel van Australische verkooppunten vertegenwoordigt. Dit is het laagste percentage van het gebruik van contant geld in de regio Azië-Pacific en de op één na laagste in Noorwegen (vier procent) van de 40 markten die in het rapport zijn onderzocht.
Australische financiële toezichthouder wil strengere houding ten opzichte van cyberbeveiliging
APRA’s informatiebeveiligingsstandaard CPS 234, die in 2019 wordt geïntroduceerd, verplicht financiële instellingen om kwetsbaarheden op het gebied van informatiebeveiliging actief te beoordelen en te beperken. Dit houdt ook in dat bedrijven een robuuste verdediging moeten hebben tegen cyberbedreigingen. Toch hebben veel financiële instellingen de boodschap nog niet begrepen.
Maar de crux is dat veel raden van bestuur cyberrisico’s zien als een IT-kwestie, niet als een bedrijfsrisico, aldus Hockey. Raden van bestuur moeten meer technisch onderlegd worden om robuust toezicht te kunnen houden op cyberbedreigingen en gegevens.
APRA’s geduld raakt echter op na drie jaar van trage vooruitgang. Meer entiteiten kunnen te maken krijgen met strengere kapitaaleisen, zoals Medibank, als ze ernstig in gebreke blijven.
Op 27 juni gaf de Australische toezichthouder op het bankwezen Medibank opdracht om 250 miljoen Australische dollar (161 miljoen euro) extra kapitaal toe te wijzen vanwege kwetsbaarheden in de informatiebeveiliging die aan het licht waren gekomen na een ernstig hackincident.
Medibank onthulde vorig jaar dat een hacker op illegale wijze de persoonlijke gegevens van 9,7 miljoen bestaande en vroegere klanten had verkregen. De hacker gaf de gegevens vervolgens vrij op het dark web, een van de grootste datalekken ooit in Australië.
Hoge boetes voor inbreuken kunnen van Australië een makkelijk doelwit maken
Als gevolg hiervan heeft het bedrijf nu te maken met ten minste drie verschillende class action lawsuits in Australische rechtbanken, die de getroffen klanten vertegenwoordigen.
Een hardere houding tegenover datalekken is echter niet altijd goed. Volgens IDcare, een Australische overheidsdienst voor slachtoffers van online gegevensdiefstal, kan het zelfs averechts werken.
IDCare heeft gezegd dat hogere boetes voor datalekken bedrijven ertoe kunnen aanzetten losgeld te betalen in plaats van aanvallen te melden. Dit zou op zijn beurt een golf van cybercriminaliteit kunnen aanwakkeren, omdat Australië steeds meer wordt gezien als een gemakkelijk doelwit.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
