Een groot aantal financiële instellingen in Nederland bleek de afgelopen vijf jaar hun kritieke systemen allerminst op orde te hebben. Veelal slaagden ethische hackers erin toegang te verkrijgen tot cruciale delen van banksystemen.
Steven Maijoor, directeur van De Nederlandsche Bank (DNB), wees hierop tijdens de zevende editie van de jaarlijkse Afore Conferentie, een evenement over fintech en digitale innovatie. Sinds 2018 heeft de centrale bank ruim veertig zogenoemde Tiber-testen gecoördineerd. Door ervaren hackers geënsceneerde test-aanvallen te laten uitvoeren op banken en andere financiële instellingen werd inzicht verkregen in zwakke punten. Daar bleken er nogal wat van te bestaan. Inmiddels hebben betrokken banken en andere dienstverleners de nodige maatregelen genomen om hun cyber-weerbaarheid te vergroten. Maar waakzaamheid blijft geboden, aldus Maijoor.
Pentesten
DNB heeft via deze pentesten een beter beeld gekregen van de mate waarin de Nederlandse financiële sector is voorbereid op cyberaanvallen. Ook zijn in 2021 en 2022 onderzoeken gedaan naar de kwetsbaarheid van het bankwezen. Hieruit blijkt dat gemiddeld vijf procent van de financiële instellingen in Nederland ooit te maken kreeg met de gevolgen van een geslaagde cyberaanval. Dit betekent niet noodzakelijkerwijs dat de bedrijfsactiviteiten in gevaar waren of dat gegevens werden gestolen. Wel was in ieder geval sprake van een inbreuk op de beveiliging.
Als toezichthouder bij de DNB moet Maijoor het vertrouwen in het financiële systeem waarborgen. ‘En cybercriminaliteit, of het nu gaat om een datalek of ransomware dan wel een andere vorm, vormt een aanzienlijke bedreiging voor dat vertrouwen.’ Volgens Maijoor zijn door de jaren heen financiële instellingen veranderd in it-bedrijven met een bankvergunning. ‘Steeds meer gebeurt digitaal. Als gevolg hiervan is de it-infrastructuur belangrijk voor het functioneren van de financiële instelling als geheel.’
Evoluties
Drie andere evoluties bemoeilijken een effectieve gegevensbescherming en operationele continuïteit nog meer. Ten eerste is er de toenemende verwevenheid tussen financiële instellingen. Ze vertrouwen op elkaar voor veel diensten, waaronder het afhandelen van transacties, saldi, clearing en afwikkeling. Een storing bij de ene financiële instelling kan gevolgen hebben voor een andere.’
Eveneens zorg baart de toenemende digitale afhankelijkheid van gespecialiseerde derde partijen. Dit geldt bijvoorbeeld voor cloudoplossingen, betalingssystemen of security operations centers. Maijoor: ‘Vaak is dit logisch, al was het maar vanwege de schaalvoordelen die outsourcing met zich meebrengt. Maar inmiddels hebben we een punt bereikt waarop een aanzienlijk aantal financiële instellingen voor sommige van hun vitale processen sterk afhankelijk is van diensten van derden. En dit vormt een potentiële veiligheidsdreiging. Als een externe partij slachtoffer zou worden van cybercriminaliteit, kan dit het hele financiële systeem doordringen met ernstige gevolgen.’
De derde evolutie is dat slechts enkele gespecialiseerde aanbieders die steeds dominanter worden, het merendeel van de uitbestede diensten en processen afhandelen. Dit brengt een concentratierisico met zich mee, aldus Maijoor. ‘Als een van die dienstverleners operationele problemen zou ondervinden of gehackt zou worden, zouden veel van zijn financiële klanten in de problemen kunnen komen.’
Menselijke fout
Door deze drie trends wordt het moeilijker voor een financiële instelling om in te schatten of, hoe en wanneer zij risico loopt van een cyberaanval. Maar de kans is groot dat zo’n risico te maken heeft met een menselijke fout. Maijoor: ‘En dus is het des te belangrijker dat mensen, in alle lagen van een organisatie, weten waarom. Waarom ze bepaalde processen en procedures moeten volgen. Waarom ze zichzelf moeten beschermen – en daarmee hun collega’s, hun instellingen en het hele financiële systeem.’
De DNB-directeur wijst daarbij op de grote verantwoordelijkheid voor financiële instellingen: de verantwoordelijkheid om betekenis te geven. ‘Maar één ding lijkt duidelijk: cyberweerbaarheid mag geen geheim leven leiden. Het zou een mensenleven moeten leiden.’