De Nederlandsche Bank (DNB) breidt het Tiber-programma uit, dat cyberaanvallen bij banken, beursexploitanten en clearinghuizen test. Vanaf nu worden de testhacks ook uitgevoerd in de pensioen- en verzekeringssector. Daarnaast start een pilot in de energiesector. Hiermee willen de initiatiefnemers kijken hoe ze dit programma kunnen inzetten in andere sectoren, zoals de telecom.
Tiber staat voor Threat Intelligence Based Ethical Red Teaming. Bij dit programma voert een zogeheten ‘red team’ een gecontroleerde cyberaanval op live bedrijfskritische systemen van financiële instellingen uit. Dit om inzichtelijk te maken hoeveel impact een aanval heeft op de belangrijkste financiële diensten in het betalings- en effectenverkeer.
Het programma is een jaar geleden opgericht en wordt nu uitgebreid. Zo zet DNB Tiber vanaf nu ook in in de pensioen- en verzekeraarssector. Daarnaast start een pilot in de energie sector. Deze proef moet uitwijzen hoe het raamwerk in andere Nederlandse vitale sectoren, zoals de telecomsector, kan worden ingezet om zo de digitale veiligheid te verhogen. DNB houdt de proef in samenwerking met de Cybersecurity Alliantie, een door het Ministerie van Veiligheid en Justitie opgericht platform voor publiek-private samenwerking.
Simulatie cyberaanvallen
In het Tiber-programma, dat DNB samen met de financiële sector ontwikkelde, huren de deelnemende instellingen gespecialiseerde bedrijven in om met een ‘red team’ gecontroleerde aanvallen uit te voeren op de live bedrijfskritische systemen van financiële instellingen. Dit gebeurt op basis van de meest actuele dreigingsinformatie. Voor die informatie werken ze samen met experts uit de sector, de inlichtingendiensten, de politie en het Nationaal Cybersecurity Centrum. De geleerde lessen en good practices van de deelnemende instellingen worden in een besloten verband met andere Tiber-deelnemers gedeeld.
In Europa vindt de Tiber-aanpak inmiddels zijn weerslag in het Europese testraamwerk dat DNB in nauwe samenwerking met de Europese Centrale Bank (ECB) ontwikkelde. De ECB publiceerde in mei 2018 een Tiber-EU-raamwerk en in augustus 2018 richtlijnen voor het inkopen van zogenoemde ‘red team’-diensten.
Is dit niet meer een taak van de politie?