Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken. Door geheime testaanvallen uit te voeren op banken, beursexploitanten en clearinghuizen hopen toezichthouder en de financiële sector gezamenlijk de digitale veiligheid te vergroten.
Dit meldt het FD. Vandaag publiceert DNB het protocol met de spelregels van Tiber, zoals het nieuwe cyberinitiatief heet. Op welk tijdstip de bank precies het protocol naar buiten brengt, is niet bekend.
Volgens Petra Hielkema van DNB, verantwoordelijk voor betalingsverkeer en marktinfrastructuur, zijn aanvallen op de financiële sector een dagelijks aangelegenheid. ‘Je moet constant op je qui vive zijn, altijd met de laatste ontwikkelingen meegaan. Omdat de deelnemende partijen aan Tiber de resultaten met elkaar delen, kunnen we de cyberweerbaarheid versneld vergroten’, vertelt ze aan de krant.
Tiber
Onder de vlag van DNB wordt een ‘red team’ opgesteld met hackers van gerenommeerde cybersecuritybedrijven. Dat krijgt de opdracht in te breken bij een financiële instelling, daarbij de concrete bedreigingen nabootsend die bijvoorbeeld bij inlichtingendienst AIVD op de radar staan. Bij het doelwit weet een select groepje mensen van de oefening, het zogenoemde ‘white team’. Alle andere medewerkers, tot aan de baliemedewerker toe, vormen zonder dat ze het weten het ‘blue team’. Dat moet de aanval opsporen, afweren en uitschakelen. Tiber richt zich op aanvallen van de georganiseerde misdaad en natiestaten.
Europa
Het Nederlandse Tiber-project krijgt navolging in Frankfurt. Daar wordt onder toeziend oog van de Europese Centrale Bank Tiber EU opgestart: een Europese variant van het Nederlandse redteam-project. Tiber staat voor Threat Intelligence Based Ethical Red teaming. De spelregels van Tiber EU zullen min of meer een kopie zijn van die van de DNB, dat zich op zijn beurt heeft laten inspireren door het vergelijkbare Cbest-project van de Bank of England.
Tiber-test
Hoewel echte aanvallen soms jaren duren, duurt een Tiber-test zes tot negen maanden. In die periode gaat het eerst om binnenkomen. Lukt het om op de systemen van de instelling te komen? Daarbij kan er zelfs worden geprobeerd bijvoorbeeld een usb-stick met malware in de computer van een onoplettende werknemer te steken. De tweede fase draait om detectie. Een binnendringer die door de systemen van de organisatie heen schuift, moet worden opgemerkt. In het uiterste geval kan de Tiber-hacker op het punt komen te staan essentiële bestanden te versleutelen.