De Nederlandsche Bank laat banken hacken
Een team voert in opdracht van De Nederlandsche Bank (DNB) geheime testaanvallen uit op banken, beursexploitanten en clearinghuizen. Het doel hiervan is het vergroten van de digitale veiligheid binnen de financiële sector, zo meldt het FD.
Volgens Petra Hielkema van DNB, verantwoordelijk voor betalingsverkeer en marktinfrastructuur, zijn aanvallen op de financiële sector een dagelijks aangelegenheid. Daarom is het volgens haar van groot belang dat de financiële instellingen meegaan met de laatste ontwikkelingen.
Red team
De gecoördineerde aanvallen, die sinds juni 2016 plaatsvinden, hebben als codenaam Tiber meegekregen. Dit staat voor Threat Intelligence Based Ethical Red teaming. Een zogenoemd ‘red team’ met hackers van gerenommeerde cybersecuritybedrijven krijgt de opdracht om in te breken bij een financiële instelling. Ook is er een ‘white team’. Dat bestaat uit medewerkers van de instelling, die op de hoogte zijn van de oefening. Hun collega’s, die van niets weten en de aanval moeten afweren, vormen het ‘blue team’.
De scenario’s zijn volgens Hielkema vergelijkbaar met die van professionele criminele bendes en vijandige overheden. Die wisten onder andere via een slecht beveiligde bank in Bangladesh in te breken op het Swift-netwerk en zo 81 miljoen dollar buit te maken.
Ketenveiligheid
Om een herhaling van ‘Bangladesh’ te voorkomen, wordt ook de kwetsbaarheid van de keten in het financiële verkeer onderzocht. Het is banken namelijk net zo belangrijk dat relaties goed beveiligd zijn. Binnenkort wordt het initiatief uitgebreid op Europese schaal en komt de regie bij de Europese Centrale Bank te liggen. Nederland heeft het overigens niet zelf bedacht. De Britten zijn enige jaren geleden begonnen met het laten hacken van hun financiële instellingen om eventuele kwetsbaarheden in de beveiliging bloot te leggen. Bij dergelijke projecten wordt overigens niet alleen op afstand gewerkt. De hackers proberen ook gebouwen binnen te komen om onbeheerde computers over te nemen of daar usb-sticks met kwaadaardige software in te steken. Er zal echter geen schade worden aangericht en banken en hun cliënten zullen geen hinder ondervinden van de test.