DNB: Digitale veiligheid topprioriteit in grimmig geopolitiek klimaat; constante dreiging cyberaanval op financiële sector

De dreiging van een cyberaanval op de financiële sector is constant. Criminelen of inlichtingendiensten uit andere landen proberen, al dan niet door samen te werken, gaten te vinden in beveiligingssystemen.Dit doen ze met het doel om geld te stelen, ontwrichting te veroorzaken of toegang te krijgen tot kennis en technologie. Nu het financieel stelsel digitaler werkt dan ooit tevoren, luistert ook het thema digitale beveiliging bijzonder nauw.

Nederland heeft een bijzondere positie in de wereld en is sterk verbonden met wat er over de grens gebeurt. Daarom hebben toenemende geopolitieke risico’s ingrijpende gevolgen voor onze economie, de financiële instellingen en voor ons allemaal. De komende weken onderzoeken we in een serie artikelen wat die risico’s zijn, hoe die ons raken en hoe we ons ertegen kunnen wapenen. Dit is deel 2: cyberdreigingen (Eerder verschenen: Deel 1: Overheidsschulden_

Oekraïners waren na bijna twee jaar oorlog met Rusland wel wat gewend toen in december vorig jaar tientallen miljoenen mensen van het ene op het andere moment niet meer konden bellen, internetten, navigeren of bankieren. De 23,6 miljoen klanten van Kyivstar, de grootste telecomaanbieder van het land, waren afgesneden van het netwerk. In verschillende delen van het land viel het alarmsysteem dat waarschuwt bij een naderend bombardement volledig uit. 

Dit was het werk van Russen. Geen Russen met bommen en tanks, maar met software. Hackers hadden Kyivstar uitgeschakeld, zo bleek later uit onderzoek door de nationale geheime dienst van Oekraïne. Een collectief met de naam Solntsepek had de servers van de telecomaanbieder op afstand gewist. Daardoor gingen alledaagse zaken als het bestellen van een taxi, het met de bankpas afrekenen van brood of het bellen van een arts niet meer. Voor miljoenen Oekraïners kwam het leven tot stilstand. 

Schrik erin  

Lang duurde dat gelukkig niet, weet Lennert Branderhorst, cyberexpert bij DNB. “De Oekrainers, gepokt en gemazeld door twee jaar digitale aanvallen, konden binnen een aantal uur overschakelen op een back-upnetwerk terwijl de reparaties bij KyivStar op gang kwamen.” 

Al snel kon het normale leven doorgaan, maar desondanks zat de schrik er goed in. De aanval die bijna de helft van het land had getroffen, was niet alleen een klap, het was ook een duidelijke waarschuwing naar de rest van de wereld. Dat hackers kwaad kunnen uitrichten was bekend, maar dat ze een land kortstondig kunnen verlammen, was nog niet vaak voorgekomen. 

Het is het doemscenario waar in Europa al langer voor gevreesd wordt door overheden van alle niveaus. Ook centrale banken en toezichthouders, waaronder De Nederlandsche Bank, maken zich zorgen over hacks op financiële instellingen zoals pensioenfondsen, banken en verzekeraars, zegt Maurice Doll, econoom bij DNB. Vanwege de grote sommen geld en waardevolle persoonsgegevens die ze beheren, zijn die een geliefd doelwit voor cyberaanvallers. Dat weten de instellingen en daarom is hun IT-beveiliging vaak van hoog niveau. 

Complex bouwwerk 

Maar omdat het betalingsverkeer de afgelopen twintig jaar zich grotendeels naar het internet heeft verplaatst, is het financiële stelsel een complex bouwwerk geworden dat op allerlei soorten bedrijven uit de meest uiteenlopende sectoren leunt. Denk aan uitbaters van datacentra die de gegevens van financiële instellingen en hun klanten beheren. Op hun beurt versturen die hun informatie weer rond via de telecomaanbieders, die allemaal hun eigen infrastructuur met aanverwante dienstverleners hebben, en zo verder. Dit noemen we in jargon ‘de keten’. 

Die wijdverbreide digitale verknooptheid van de keten is voor ons allemaal prettig, want de dienstverlening is razendsnel. Een overboeking duurt geen drie werkdagen meer, maar is in een fractie van een seconde verwerkt. Informatie over financiële producten is online ruimschoots en snel beschikbaar. Wie toch nog hulp nodig heeft en digitaal vaardig is, heeft veel meer mogelijkheden om contact met een instelling op te nemen dan pakweg twintig jaar geleden.   

Digitalisering geschenk 

Maar ook voor criminelen is digitalisering een geschenk. Wie vanachter zijn of haar laptop wil inbreken bij een financiële instelling, heeft legio alternatieven om met een omweg binnen te komen als het via de instelling zelf niet lukt. Bijvoorbeeld via de telecomaanbieder, het datacentrum, of de laptop van de monteur die onderhoud uitvoert aan een netwerk. DNB waarschuwt in zijn jongste Overzicht Financiële Stabiliteit (OFS) voor afhankelijkheid van een kleine groep dienstverleners die cruciale software levert, weet Malou Dirks beleidsadviseur Financiële Stabiliteit. 

Waar DNB ook voor waarschuwt, is de grimmige geopolitieke situatie wereldwijd. Dat vergroot het risico op cyberaanvallen nog eens. Landen en machtsblokken vertrouwen elkaar minder en zoeken naar mogelijkheden om andere landen en machtsblokken strategisch en financieel te ondermijnen. Kwaadwillende staatsentiteiten schakelen naast hun eigen professionals hobbyhackers in om de systemen van buurlanden of hun digitale financiële stelsels te verstoren. 

Kant-en-klare hack  

Diezelfde hackers wordt het werk gaandeweg steeds gemakkelijker gemaakt. Er bestaan organisaties die kant-en-klare softwarepakketten of digitale kwetsbaarheden verkopen waarmee aspirant-criminelen een instelling kunnen proberen te infiltreren. Gedetailleerde programmeerkennis is dus geen vereiste meer om te kunnen hacken. Het begrip ‘dreiging’ is confuus geworden. Hoe verdedig je je tegen een vijand die je niet ziet? 

Het belangrijkst is om te weten waar de gaten in het systeem zitten en daar komt een nieuw stuk Europese financiële wetgeving met een heel aaibare naam om de hoek kijken: DORA. Dat is de afkorting voor de Digital Operational Resilience Act. Die treedt aanstaande januari in werking en verplicht onder meer banken, verzekeraars en pensioenfondsen om zorgvuldig te monitoren hoe ze hun eigen cyberbeveiliging organiseren en hoe hun IT-dienstverleners dat regelen. 

Verplichte testaanvallen 

Onder DORA worden de belangrijkste financiële instellingen verplicht zich periodiek te laten hacken. Niet door criminelen, maar door zogeheten ‘ethische hackers’, professionals die het vak van de crimineel verstaan, maar die ook aan de juiste kant van de wet opereren. Het doel hiervan is om te zien hoe goed deze instellingen bestand zijn tegen hacks door kwaadaardige entiteiten. In Nederland gebeurde dit al op initiatief van DNB, maar met DORA wordt dit in heel Europa staande praktijk. Ook schrijft DORA voor dat instellingen maatregelen nemen om snel te kunnen herstellen na cyberincidenten. 

DORA of geen DORA: het systeem zal nooit volledig waterdicht worden, temeer omdat cyberdreiging niet statisch is. Hackers zoeken voortdurend naar nieuwe zwaktes in het systeem en ontwikkelen hun wapenarsenaal voortdurend. DNB wil daarom dat financiële instellingen niet alleen binnen de eigen muren te kijken of de beveiliging op orde en up-to-date is, maar ook te controleren of dat bij leveranciers en klanten het geval is. Als die dat op hun beurt ook consequent doen, kunnen we de ‘keten’ zo goed mogelijk sluiten voor cybercriminelen. 

Meer lezen?In twee recente, wat meer technische, studies gaat DNB dieper in op cyberdreigingen:  Overzicht Financiële Stabiliteit en het rapport ‘Weerbaar in een gure wereld’