De drie grootste banken in Nederland – ING, ABN Amro en Rabobank- zijn voor hun cyberveiligheid alle drie klant bij het Amerikaanse bedrijf Akamai. Daardoor is de bescherming tegen DDoS-aanvallen te veel bij één marktpartij ondergebracht. Volgens het Centraal Planbureau is dat een twijfelachtige ontwikkeling die kan leiden tot een grote nationale storing.
Het planbureau doet deze constatering- zonder specifiek de Nederlandse banken te noemen- in zijn Risicorapportage Cyberveiligheid. Zestien van de dertig grootste banken ter wereld, meer dan de helft, gebruiken volgens het CPB Akamai. Uit navraag van het FD blijkt dat de grote Nederlandse banken ABN Amro, Rabobank en ING alle drie Akamai gebruiken als primaire beveiligingsdienst om DDoS-aanvallen af te slaan. De drie Nederlandse banken ontkennen tegenover de krant dat ze afhankelijk zijn van Akamai en dus risico’s lopen.
Keuze
In het rapport stelt het bureau dat er voor banken voldoende keuze is. ‘Het aanbod behelst meerdere aanbieders van cloudbased beschermingsdiensten. Internet service providers bieden mitigatiediensten aan en men kan zich aansluiten bij de NaWas, dat een corporatiemodel hanteert.
Dat de markt op grote lijnen functioneert, blijkt ook uit het feit dat ondanks de bijna dagelijkse aanvallen op vitale processen er relatief weinig DDoS-aanvallen zijn die tot grote uitval leiden.’ Ook noemt de bank het punt dat er door Akamai sprake is van ‘marktdominatie’ vanuit puur economisch perspectief niet nadelig.
Maatschappelijk gezien zet het bureau wel vraagtekens. ‘Vanuit maatschappelijk perspectief kun je de vraag stellen of grote marktconcentratie in dit specifieke geval gewenst is. Immers, valt in dit geval Akamai om (door bijvoorbeeld een grote DDoS-aanval), dan heeft dit potentieel een keteneffect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen.’
Toegankelijkheid data
Het CPB benadrukt dat het voor nieuwe cybersecurityaanbieders moeilijk is om tot het speelveld toe te treden, omdat ze mogelijk ‘onvoldoende toegang hebben tot data om hun algoritmes te optimaliseren’. Het bureau komt ook met een oplossing. ‘De toegankelijkheid voor nieuwkomers kan verbeterd worden door relevante aanvalsdata van DDoS-aanvallen zo snel mogelijk te delen.
Om transparantie en toegankelijkheid te waarborgen ligt een platform dat bepaalde datastandaarden hanteert, voor de hand. Belangrijke data zijn zo voor iedereen beschikbaar en te gebruiken. Recent gestarte initiatieven op dit gebied, zoals het nauwkeurig kenmerken (fingerprinting) van aanvallen via booterwebsites, zouden dan ook ondersteund moeten worden.’
Cybersecurity-coöperatie
Als alternatief voor een concurrentiemodel, waarbij in dit geval Akamai een bijzonder grote speler blijkt, komt het planbureau met een coöperatiemodel om cybercrime te bestrijden. Een argument waarom de overheid aan zou moeten sturen op een coöperatie is volgens het CPB dat vanwege een gebrek aan winstoogmerk de kosten voor DDoS-bescherming omlaag zouden gaan, al kan dit wellicht ook ontstaan vanuit concurrentie.
Daarnaast zorgt het gebruik van een ‘nationale wasstraat’ ervoor dat belangrijke kennis over cyberveiligheid binnen de eigen invloedssfeer blijft. Ten tweede voorkomt een nationaal systeem dat vitale datastromen via een derde partij in handen komen van een buitenlandse statelijke actor, aldus het CPB. Het verplicht stellen van het delen van DDoS-aanvalsdata is volgens het bureau ook een optie om de nationale veiligheid te vergroten.
Cloud Act
De sterke afhankelijkheid van Amerikaanse aanbieders is volgens het CPB extra discutabel gezien de invloed van de Amerikaanse overheid op het verkrijgen van Nederlandse data via de Cloud Act. Deze wet verhoogt volgens het planbureau het risico op het ongewild weglekken van gevoelige data. Deze wet verplicht Amerikaanse bedrijven om data die zijn opgeslagen in het buitenland, op verzoek met de Amerikaanse autoriteiten te delen. Volgens het CPB is het op dit moment nog onduidelijk hoe dit met de AVG valt te rijmen.
Meer weten over DDoS en het initiatief NaWas?
Bezoek de presentatie: Wat is de impact van DDoS-aanvallen op de digitale Infrastructuur van NL?
Schrijf u nu in voor gratis deelname aan de beurs en het seminarprogramma: Infosecurity.nl en Data & Cloud expo op 31 oktober en 1 november 2018 in de Jaarbeurs in Utrecht.
Ah, het CPB. Een bekend en gerenommeerd instituut inzake cybersecurity.
Voor het overige heb ik het rapport eens gelezen. Er wordt niet genoemd welke experts betrokken zijn bij het samenstellen van het rapport. Verder lijken bronnen vooral Gartner, het CBS en allerhande nieuwsberichten te zijn.
Leuk bij elkaar geveegd door wat ambtenaren dit CBP rapport, maar niet echt serieus te nemen. Ik mag hopen dat de NL overheid hun beleid hier niet op afstemd. Ik lees liever wat betrouwbaarders van Ponemon.