Niels Arends
Praktische handvatten tegen cyberlaundering
In het eerste deel van deze serie is gekeken naar de definitie van cyberlaundering; in het tweede deel werd het wettelijk kader behandeld. Dit laatste, derde deel gaat in op de vraag: Wat kan een organisatie doen tegen cyberlaundering?
Gegeven de bedreigingen en het potentieel voor aanzienlijke straffen, moeten banken, financiële instellingen en andere verplichte entiteiten ervoor zorgen dat ze de nalevingsrisico’s begrijpen waarmee ze te maken hebben. Dat houdt ook in dat er (praktische en proportionele) maatregelen moeten worden genomen tegen cyberlaundering. Immers, wanneer een organisatie cyberlaundering (on)bewust faciliteert, overtreedt zij de wet.1
Maatregelen ter voorkoming van het faciliteren van cyberlaundering moeten echter niet alleen worden gezien als antwoord op de eisen van toezichthouders of de wet. Wanneer een financiële organisatie wordt geassocieerd met cyberlaundering, kan dit ernstige reputatieschade veroorzaken. Het publiek kan het vertrouwen verliezen in de organisatie en haar vermogen om veilige en betrouwbare financiële diensten aan te bieden. Een verlies van klanten, partnerschappen en investeerders kan het gevolg zijn, zoals bij Credit Suisse bleek.2 Tegelijkertijd moeten maatregelen ook niet ten koste gaan van ‘customer experience´.3 Het implementeren van beheersmaatregelen vereist dus een verfijnde, gebalanceerde aanpak, welke zondermeer rekening dient te houden met de uiteenlopende belangen van velerlei stakeholders.
Alvorens verder in te gaan op de ‘do’s and don’ts’, gebied de eerlijkheid mij te zeggen dat niet elke organisatie baat heeft bij het incorporeren van anti-cyberlaundering maatregelen. Cyberlaundering is vaak gericht op grootschalige illegale geldstromen. Kleine bedrijven of organisaties met beperkte financiële middelen hebben meestal niet de omvang of het bereik om betrokken te raken bij dergelijke criminele activiteiten. Cyberlaundering is doorgaans gericht op grote transacties en complexe financiële structuren – niet op kleine bedragen en ‘simpele’ abc-transacties.4 Dat wil echter niet zeggen dat kleine of middelgrote organisaties geen aandacht moeten bieden aan digitaal crimineel gedrag. Cybercrime, of anders gezegd ‘computercriminaliteit’, kan veel ellende veroorzaken voor menige organisatie, ongeacht de grootte.
Dit laatste brengt mij nog tot de veel bediscussieerde samenhang tussen cybercrime en cyberlaundering. Cybercrime is een delict dat vaak ten grondslag ligt aan de handeling van cyberlaundering. Daarom worden maatregelen tegen cyberlaundering vaak in één adem genoemd met maatregelen tegen cybercrime. Dat is onhandig, aangezien maatregelen tegen beiden niet an sich vergelijkbaar zijn. Zo richten maatregelen tegen cybercrime zich op het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van digitale systemen. Ze omvatten het implementeren van beveiligingsmaatregelen, zoals firewalls, antivirussoftware, inbraakdetectiesystemen en het regelmatig bijwerken van software om kwetsbaarheden te verhelpen. Maatregelen ter voorkoming van het faciliteren van cyberlaundering, daarentegen, behoren zich vooral te richten op het implementeren van interne controles en procedures die het criminelen onmogelijk maakt om (digitaal) vermogen via systemen van de organisatie wit te wassen. In sommige gevallen zullen maatregelen beide aandachtsgebieden raken (bijv. awareness sessies), maar het doel van de maatregelen loopt zodanig uiteen dat organisaties baat hebben bij een aparte behandeling.5 De volgende alinea’s zullen voornamelijk ingaan op maatregelen ter voorkoming van het faciliteren van cyberlaundering, maar in sommige gevallen is het onmogelijk om niet (kort) in te gaan op cybercrime.
Naast het bovenstaande moet ook worden opgemerkt dat maatregelen tegen cyberlaundering vaak samenhangen met maatregelen tegen witwassen omdat beide vormen van financiële criminaliteit nauw met elkaar verbonden zijn. Sterker nog, zoals we al in het eerste deel van deze serie hebben vastgesteld: cyberlaundering is een vorm van witwassen. Hoewel maatregelen tegen witwassen vaak overlap hebben met maatregelen tegen cyberlaundering, is het toch belangrijk om ze apart te behandelen. Met name omdat cyberlaundering specifieke technologische en digitale aspecten omvat die bepalend zijn voor de huidige digitale wereld waarin een groot deel van het betalingsverkeer plaatsvindt. Traditionele methoden voor het opsporen en voorkomen van witwassen zijn mogelijk niet voldoende om de complexe aard van cyberlaundering aan te pakken.
In het eerste gedeelte ga ik in op clientidentificatiesystemen die organisaties kunnen gebruiken om het cyberlaunderingrisico laag te houden. Dit houdt inherent in dat ik technische aspecten zal behandelen die niet voor elke compliance officer gesneden koek zullen zijn. Om verwarring te voorkomen verwijzen de voetnoten naar artikelen die in behapbare vorm ingaan op deze aspecten. In het tweede gedeelte ga ik in op transactiemonitoring; hier wordt de focus vooral gelegd op het gebruik van AI. In het derde gedeelte wordt vervolgens (kort) aandacht geboden aan interne controles en procedures, een essentieel onderdeel in de doorlopende beheersing van het cyberlaunderingrisico. In het vierde gedeelte wordt aandacht besteed aan het awareness-aspect van cyberlaundering, wat zich met name uit in het trainen van medewerkers in het herkennen van signalen die in verband kunnen worden gebracht met digitale witwaspraktijken.
1. Uitvoering van het ken-uw-client principe.
Zoals in het eerste deel in deze serie is aangegeven (en recentelijk in een podcast) vindt veel cyberlaundering ongehinderd plaats als resultaat van tekortkomingen in het identificeren en verifiëren van cliënten. Dit gebeurt vooral bij banken die uitsluitend online services aanbieden, aangezien hier vaak geen face2face verificatie wordt verwacht. De ‘depersonalisatie’ van financiële dienstverlening werkt, zodoende, cyberlaundering in de hand.6
KYC-methoden die vertrouwen op telefonische of online identiteitsverificatie hebben inherente zwaktes als het gaat om het voorkomen van identiteitsfraude. Cybercriminelen hebben dikwijls bijna onbeperkte toegang tot gestolen identiteitsgegevens, waardoor het louter vereisen van informatie zoals naam, adres, geboortedatum en Burgerservicenummer beperkt nut kan hebben om de identiteit te bevestigen. Bovendien, als een betalingsbedrijf verdachte activiteiten identificeert en betalingen aan één criminele alias blokkeert, zal de crimineel simpelweg een andere alias opzetten.7 Daarom kan een diepere analyse en een diepgaandere oplossing vereist zijn.
Als antwoord op het risico van ‘depersonalisatie’, maken instellingen steeds vaker gebruik van online face2face verificatie. Hierbij wordt de identiteit van een client geverifieerd door het uploaden van zowel een identificatiedocument als een afbeelding van het aangezicht. Daarmee is, echter, het probleem niet opgelost. Een crimineel kan, nadat een handlanger zijn/haar foto heeft geüpload, alsnog gebruik maken van het account zonder de eigen identiteit prijs te geven. Daarnaast kan een crimineel via identiteitsfraude (d.w.z.: er wordt een foto van een gestolen identiteitsbewijs geüpload tezamen met een foto van het slachtoffer) ook nog steeds toeslaan.8 Om dit te voorkomen is voorgesteld om bij financiële instellingen gebruik te maken van een biometrisch of ‘public key’ infrastructuur. Dit betekent dat de uitgevende instelling te allen tijde twee vormen van informatie nodig zal hebben alvorens het uitvoeren van transacties: 1) Specifieke informatie die alleen de client kan weten (wachtwoord, naam van geboorteplaats of huisdier, en dergelijke); en 2) de ‘realtime’ doorgave van een fysieke persoonlijke eigenschap. Een praktisch voorbeeld van het laatste is het gebruik van video-identificatie.9 Waar normaal gesproken het uploaden van een foto voldoet, zorgt real-time video-identificatie ervoor dat aan de hand van een korte live video opname een match kan worden gezocht tussen de persoon die van de rekening gebruik wil maken en de rekeninghouder. De rekeninghouder zal voorafgaand aan het openen van een rekening via real-time video zich moeten identificeren. Komt het aangezicht van de persoon die toegang vereist tot de rekening gedurende de real-time video-identificatie niet overeen met het aangezicht dat bij de opening van de rekening is vastgelegd, dan wordt de betaling niet volbracht.10
Een andere mogelijke oplossing bestaat in de vorm van het vereisen van een digitale handtekening. Een digitale handtekening wordt gemaakt met behulp van cryptografische methoden, met als doel een gewone handtekening na te bootsen.11 Een elektronische handtekening is een handtekening die elektronische informatie bevat die is gekoppeld aan andere elektronische informatie, welke wordt gebruikt voor verificatie en authenticatie.12 In de praktijk zal een organisatie drie stappen moeten implementeren bij het gebruiken van een elektronische handtekening ter identificatie/verificatie: de eerste is verificatie van de authenticatie van de ondertekenaar, de tweede is verificatie van het document en de laatste is verificatie van de digitale handtekening. Wordt een van deze stappen overgeslagen ofwel niet uitgevoerd, dan loopt de instelling het risico dat het proces alsnog misbruikt wordt.13
Cryptografische handtekeningen en biometrische informatie zijn beide moeilijk te vervalsen (mits de juiste vereisten worden gesteld aan de gebruikte software en hardware). Cryptografische handtekeningen maken gebruik van complexe algoritmen en digitale sleutels, terwijl biometrische informatie gebaseerd is op unieke fysieke eigenschappen van een persoon. Door deze twee factoren te combineren, wordt het moeilijker voor kwaadwillende actoren om identiteiten te stelen, valse documenten te creëren of het KYC-proces te omzeilen. Het combineren van cryptografische handtekeningen en biometrische informatie versterkt dus de veiligheid, integriteit en betrouwbaarheid van het KYC-proces. Het biedt organisaties derhalve een robuuste manier om de identiteit van klanten te verifiëren en cyberlaundering tegen te gaan.
2. AI en transactiemonitoring.
In de context van KYC moet ook worden gedacht aan het gebruik van AI-gebaseerde tools om organisaties te helpen bij het detecteren van mogelijke cyberlaundering-risico’s bij cliënten.14 Met behulp van AI kunnen financiële organisaties complexe netwerken van transacties analyseren om verborgen relaties en verbanden tussen verschillende accounts op te sporen. Door de geldstroom in kaart te brengen en ongebruikelijke netwerkstructuren te identificeren, kan AI mogelijk witwasnetwerken identificeren; alsook eerder onbekende entiteiten die betrokken zijn bij cyberlaundering herkennen. Ook het gedrag van klanten doorlopend analyseren om profielen van normaal gedrag te creëren, behoort tot de mogelijkheden.15 Afwijkingen van deze profielen kunnen wijzen op verdachte activiteiten. Anders gezegd: Plotselinge veranderingen in transactiepatronen, ongebruikelijke transactiebestemmingen of onverwachte accounttoegang kunnen aanwijzingen zijn voor cyberlaundering.16 AI wordt al bij meerdere financiële instellingen gebruikt voor het onboardingsproces, maar sinds kort speelt AI ook een grotere rol in transactiemonitoring.17
Bij de meeste instellingen die gebruik maken van AI om cyberlaunderingrisico’s te identificeren, worden algoritmes die feitelijke informatie ophalen uit databases aangevuld met bevestigde gevallen van criminele activiteiten door wetshandhavingsinstanties. Ter illustratie: Wanneer aanklagers een veroordeling veiligstellen, wordt er enige informatie openbaar gemaakt over de kenmerken en het financiële gedrag van de veroordeelde persoon/personen.18 Daarom hebben de meeste financiële instellingen die gebruik maken van AI-toegang tot historische gegevens over bevestigde combinaties tussen een specifieke misdaad en een patroon van transacties. Deze informatie wordt meestal zeer gewaardeerd, omdat het naast bevestigde input (de kenmerken en de gedragingen van de persoon) ook bevestigde output biedt (welke misdaden de persoon voor is veroordeeld). Het is hierdoor goed te gebruiken door AI, of, in specifiekere zin, machine learning.19
Echter, dit type gegevens is zowel in aantal als waarde beperkt. In aantal, omdat vanwege juridische en operationele beperkingen niet alle details van veroordelingen worden vrijgegeven. Bovendien is er meestal een tijdsverschil in de vorm van vele maanden – soms zelfs enkele jaren – tussen de criminele activiteit, de veroordeling en de daaropvolgende vrijgave van informatie. Hierdoor is de set van informatie die daadwerkelijk door AI kan worden gebruikt vaak velen malen kleiner dan de hoeveelheid informatie die door overheden wordt uitgegeven. Verder heeft dergelijke informatie ook een beperkte waarde, omdat de aard ervan betrekking heeft op specifieke gebeurtenissen en vaak unieke gedragingen. Derhalve zijn gegevens uit de rechtspraak ook niet altijd even relevant.20
Deze begrenzingen zorgen ervoor dat gebruikers van de combinatie transactiemonitoring/AI vaak genoodzaakt zijn om ook andere bronnen van informatie te gebruiken, zoals bewijsgaring, het gedrag van relaties die geen crimineel gedrag vertonen (machine learning gebruikt hier de negatieven om de positieven te traceren) en, tot slot, de criminele transacties die, ongelukkigerwijze, al eerder via de organisatie afgesloten zijn.21 Het is belangrijk om op te merken dat bij het gebruik bij deze vormen van machine learning alsook deze bronnen van informatie, dit moet worden gedaan in samenwerking met menselijke expertise en toezicht.22 Financiële instellingen dienen getrainde professionals te hebben die de door AI gegenereerde waarschuwingen kunnen interpreteren en indien nodig verdere onderzoeken kunnen uitvoeren wanneer alerts niet te verklaren zijn. Daarnaast zijn voortdurende monitoring en continu leren op basis van feedback en gegevensupdates cruciaal om de effectiviteit van AI-systemen in transactiemonitoring ter bestrijding van cyberlaundering te verbeteren.23
3. Interne controles en procedures.
Om de kans te verkleinen dat een organisatie betrokken raakt bij cyberlaundering kun je de Plan-Do-Check-Act (PDCA)-cyclus toepassen om ervoor te zorgen dat de interne controles en procedures zo goed mogelijk het cyberlaundering risico mitigeren.24 De PDCA-cyclus is een iteratieve managementmethode met vier stappen die organisaties helpt om voortdurend hun processen te verbeteren.25 Hieronder leg ik stapsgewijs uit hoe deze cyclus kan worden gebruikt om het cyberlaunderingrisico te beheersen.
Plan:
– Identificeer de potentiële risico’s en kwetsbaarheden die gepaard gaan met cyberlaundering binnen jouw organisatie. Beoordeel de huidige controles, beleidslijnen en procedures die zijn ingesteld om dergelijke activiteiten te voorkomen.
– Ontwikkel een plan om deze risico’s aan te pakken en preventieve maatregelen vast te stellen. Dit plan moet specifieke acties, verantwoordelijkheden en tijdlijnen voor implementatie bevatten.
– Stel duidelijke doelen en doelstellingen vast met betrekking tot het bestrijden van cyberlaundering en bepaal belangrijke prestatie-indicatoren (KPI’s) om je voortgang te meten.
Do:
– Implementeer de preventieve maatregelen die in je plan zijn uiteengezet. Dit kan het implementeren of verbeteren van het transactiemonitoringssysteem omvatten; of een verbetering van het KYC-proces.
– Train medewerkers over de risico’s die gepaard gaan met cyberlaundering en geef hen richtlijnen en procedures om te volgen. Promoot een cultuur van bewustzijn van crimineel gedrag en moedig het melden van verdachte activiteiten aan.
Check:
– Monitor regelmatig en evalueer de effectiviteit van je preventieve maatregelen en controles. Dit kan worden gedaan door middel van audits en risicobeoordelingen.
– Analyseer gegevens en verzamel inzichten over mogelijke cyberlaunderingactiviteiten. Gebruik technologische hulpmiddelen om verdachte patronen, afwijkingen of transacties te detecteren die kunnen wijzen op witwasactiviteiten.
– Vergelijk de werkelijke resultaten met de vooraf bepaalde KPI’s en meet je voortgang en identificeer eventuele hiaten of verbeterpunten.
Act:
– Neem op basis van de bevindingen uit de “Check”-fase corrigerende maatregelen om eventuele geïdentificeerde zwakke punten of verbeterpunten aan te pakken. Dit kan het bijwerken van beleidslijnen, het verbeteren van controles, het verstrekken van aanvullende training of het toewijzen van meer middelen om cyberlaundering te bestrijden, omvatten.
– Verfijn en verbeter continu je preventieve maatregelen op basis van de lessen die zijn geleerd en de feedback die is ontvangen tijdens het monitoring- en evaluatieproces.
– Communiceer de resultaten, genomen acties en geleerde lessen aan relevante belanghebbenden, waaronder medewerkers en het management.
Door de PDCA-cyclus te volgen, kunnen organisaties een systematische benadering vaststellen om cyberlaunderingactiviteitente voorkomen en op te sporen.26 Het maakt continue verbetering mogelijk en helpt organisaties alert te blijven in het voortdurend veranderende landschap van cyberbedreigingen en financiële misdrijven.
4. Awareness training.
Awareness training kan helpen om het risico op cyberlaundering bij financiële instellingen te verminderen.27 Het moedigt medewerkers aan om verdachte activiteiten onmiddellijk te melden aan de juiste autoriteiten binnen de organisatie. Ze leren de juiste procedures voor het melden van incidenten en worden aangemoedigd om een proactieve rol te spelen bij het aanpakken van cyberlaundering. Dit vergroot de kans dat potentiële gevallen van cyberlaundering snel worden ontdekt en aangepakt. Tegelijkertijd kunnen trainingen medewerkers bekend maken met de wet- en regelgeving aangaande witwassen (Wft, Wwft en Sanctiewet 1977), evenals interne beleidslijnen, procedures en gedragscodes.
Er is een aantal verschillende manieren om awareness training te geven aan werknemers. Dit kan bijvoorbeeld door middel van e-learning modules, webinars of workshops. Awareness trainingen moeten regelmatig worden herhaald en geactualiseerd, zodat werknemers op de hoogte blijven van de laatste trends op het gebied van cyberlaundering zowel binnen als buiten de organisatie.28
Zorg er bij awareness trainingen in ieder geval voor dat:
Een valkuil is het aanbieden van oppervlakkige en generieke trainingen zonder in te gaan op de specifieke risico’s en uitdagingen waarmee financiële organisaties worden geconfronteerd. Het is belangrijk om de training aan te passen aan de specifieke behoeften van de organisatie en de aard van de financiële activiteiten om maximale relevantie en impact te garanderen.32 Dus stel niet alleen de vraag: “Hoe zorg ik ervoor d.m.v. een awareness training dat medewerkers begrijpen wat Cyberlaundering is?” Maar ook zeker: “Hoe zorg ik ervoor via een awareness training dat medewerkers gaan nadenken over de invloed van cyberlaundering op onze strategie en doelstellingen?” Of: “Hoe zorg ik ervoor dat awareness training aandacht biedt aan de specifieke invloed die cyberlaundering kan hebben op de onderdelen van de organisatie?” Let wel op: Laat awareness trainingen nooit het startpunt zijn van de aanpak van cyberlaundering door een organisatie. Gedragsverandering is het doel. Dat kan ook via andere middelen, zoals sterker beleid. Laat awareness training dus één van de middelen zijn om het gedrag van werkgever en medewerker te veranderen, maar nooit hèt middel.
Verder moet ook worden gezegd dat, naast mogelijke trainingen over cyberlaundering, de organisatie er baat bij heeft om trainingen te organiseren over cybercrime. Zoals aangegeven in de inleiding zijn beide nauw met elkaar verbonden. Personeel bewust maken van de risico’s van cybercrime is derhalve essentieel voor effectieve preventie. Door medewerkers bewust te maken van de verschillende vormen van cybercrime, zoals phishing, malware en ransomware, kan men beter potentiële risico’s herkennen en de juiste maatregelen nemen om ze te voorkomen.33 Het bevalt te beargumenteren om zowel cyberlaundering als cybercrime onderdeel te maken van een algemene AML-training. Immers, het kan zo zijn dat het risico op het faciliteren van cyberlaundering dermate klein is, dat het onderhevig is aan de meer ‘traditionele’ vormen van cyberlaundering. Dergelijke beslissingen moeten, logischerwijs, altijd worden genomen met de behoeften van de organisatie in gedachten.
Conclusie
In dit artikel hebben we de essentiële middelen onderzocht om het faciliteren van cyberlaundering bij organisaties tegen te gaan. De bevindingen laten zien dat het implementeren van nieuwe middelen in het KYC-proces, het gebruik van AI in transactiemonitoring, het gebruik van de PDCA-cyclus en awareness training van cruciaal belang zijn in het streven naar een veilige en integere organisatie.
De complexiteit en diversiteit van cyberlaunderingtechnieken maken het noodzakelijk voor financiële instellingen om een flexibele benadering te hanteren. Criminelen ontwikkelen voortdurend nieuwe en geavanceerdere methoden om hun illegale activiteiten te verhullen en detectie te ontwijken. Hierdoor zijn financiële instellingen genoodzaakt hun verdedigingsmechanismen te verbeteren en aan te passen. De aanpak van cyberlaundering is derhalve niet limitatief: het hoort zich niet te beperken tot een vaststaande set maatregelen of methoden. Bovendien verschillen financiële instellingen in hun aard, omvang en activiteiten, waardoor ze te maken hebben met unieke risico’s en uitdagingen. Alleen als deze zaken in acht worden genomen, kan een organisatie effectief het risico op cyberlaundering beheersen en tegen gaan.