DNB breidt cyberbeveiligingsproject uit

Grote financiële instellingen zoals banken, vermogensbeheerders en pensioenuitvoerders, worden door DNB aangemoedigd om zich periodiek aan te laten aanvallen door zogeheten ‘ethische hackers’, bureaus die – binnen specifieke regels – aanvallen van cybercriminelen minutieus naspelen.

Dit is bedoeld om eventuele gaten in de digitale verdedigingsmuren te vinden en vervolgens te dichten. DNB bewaakt dat dit ‘gesimuleerde hacken’ veilig en volgens de regels van het TIBER-programma gebeurt. TIBER is de Engelse afkorting voor het ethische hackprogramma op basis van realistische dreigingsinformatie van DNB.

TIBER is vrijwillig, maar deelname niet voor iedereen weggelegd. Instellingen komen in aanmerking als ze onmisbaar zijn voor de stabiliteit en het functioneren van de Nederlandse economie. Denk daarbij aan grote banken en verzekeraars zoals ING en NN of een pensioenuitvoerder van het formaat APG. In Nederland gaat het om een kring van ongeveer 30 namen. Als één van dit soort instellingen wankelt door een cyberaanval, kan dat de economie in korte tijd volledig ontwrichten.

Sinds enkele dagen kunnen kleinere instellingen die iets minder cruciaal zijn zich aanmelden voor een vergelijkbare hacksimulatie', zegt Rogier Besemer, hoofd Cyber Resilience en Crisismanagement bij DNB. Op 10 april is het zogeheten ART-programma van start gegaan. Dat staat voor Advanced Red Teaming, oftewel: ethisch hacken voor gevorderden. Red Teaming is hackerjargon voor het eerdergenoemde simuleren van cyberaanvallen.

ART laat deelnemers een deel van het proces doorlopen waar de grotere instellingen helemaal doorheen moeten. Besemer maakt de vergelijking met een menukaart. Met TIBER moet je het volledige zesgangendiner uitzitten, van het voorgerecht tot het zoetje achteraf. Kleinere banken, verzekeraars en pensioenfondsen kunnen vanaf nu juist één of twee gangen uitkiezen en het daarbij laten. Een hack à la carte, zegt Rogier Besemer, hoofd Cyber Resilience en Crisismanagement bij DNB.

Daarmee wil Besemer beslist niet zeggen dat ART, dat minimaal acht weken duurt, een peulenschilletje is. ‘Het blijft best eng voor een instelling om mee te doen. Wij gaan met onze cyberaanval net zo ver als een hacker met Russische of Noord-Koreaanse staatssteun zou gaan. Het verschil is dat wij stoppen voordat de cruciale systemen op zwart gaan. We trappen de deur in, maar gaan vervolgens niet naar binnen. De betaal-app die de klanten gebruiken blijft ondertussen werken.’

De ethische hackers baseren hun methodes op de technieken die criminelen in de echte wereld gebruiken. Dat maakt de aanvallen levensecht. ‘Wat het extra spannend maakt, is dat binnen de instelling hooguit vijf mensen op de hoogte zijn van het feit dat er een aanval aankomt.’