Mag De Nederlandsche Bank de banken gaan hacken?

| AE 9809 | Security | 10 reacties

Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade aangericht, en het doel is van elkaar te leren en de beveiliging te vergroten. Maar toch doet het raar aan – DNB is immers de toezichthouder op diezelfde banken.

Ik ben wel enthousiast over dit initiatief, juist omdat het afkomstig is van zo’n belangrijke speler in de sector. Dit houdt de organisaties bij de les, je kunt niet volstaan met intern beleid maken en zeggen dat je het doet doet, of fouten bij een interne cyberaanval onder de pet houden. Dus in de basis lijkt me dit een goed idee.

Onduidelijk is voor mij nog of banken vrijwillig meedoen of verplicht worden. Ik kan er geen regel over vinden, en de inspiratie komt uit Engeland waar het vrijwillig is. Maar je zult vast iets uit te leggen hebben, zowel naar je collega-banken als naar de toezichthouders (want ook de AFM houdt toezicht op banken).

Juridisch interessant kan het worden als het een verplichting wordt. Want dan zou een bank dus tegen haar wil gehackt worden, en ook al gaat er dan niets stuk, het blijft dan computervredebreuk. (Tenzij er een bestuursrechtelijke bevoegdheid is waarmee dit binnendringen zou mogen, maar die ken ik niet.) Het lijkt me eerlijk gezegd sterk dat men zo ver zou gaan, maar ik zou het wel mooi vinden – dit is écht toezicht houden.

Arnoud

Deel dit artikel

  1. Wellicht kun je het vrijwillig zijn ietwat omzeilen door de beveiliging mee te nemen in een kwaliteitskeurmerk van de bank (ik weet niet of het in die AAA status van banken kan worden opgenomen, maar toch). Op die manier kunnen klanten zien hoe de bank het doet. Banken die niet mee willen doen komen dan óf in een aparte groep voor weigeraars, óf in de laagste beveiligingsklasse (dat laatste zodat er iets meer druk is om te bewijzen dat je niet zó slecht bent). Met name als je de meeste grote spelers mee krijgt, kun je de rest met een soort groepsdruk dwingen om mee te doen. Het blijft dan officieel vrijwillig, maar is dat niet helemaal. De vraag is dan of klanten kijken naar het beveiligingskeurmerk, en dat zullen we moeten zien.

    Risico is natuurlijk dat kwaadwillenden ook kunnen zien dat een bank een slecht keurmerk heeft (wat impliceert dat het een makkelijker doelwit is), maar misschien weten die dat toch al. Ik ken die wereld niet echt.

  2. Het klinkt wel als een goed plan. We hebben meer “white hat” hackers nodig.

    Ik maak me nog wel een klein beetje zorgen om mogelijke belangenverstrengeling. DNB beweert nu dat ze geen schade zullen aanrichten als het ze lukt bij een bank in te breken, maar het zou een slechte zaak zijn als DNB wel een motief zou hebben om dan meteen wat gegevens uit te lezen of zelfs aan te passen als hun dat goed uit zou komen. Als dat zo zou zijn, dan zou DNB zelfs belang krijgen bij een slechte beveiliging van banken: dan houden ze voor zichzelf een achterdeurtje open. Dit is vergelijkbaar met hoe de situatie bij de NSA werd verpest.

    Misschien is het beter als zo’n hacking team los komt te staan van DNB, en los van andere mogelijke belanghebbenden, zoals opsporingsdiensten, en qua regelgeving helemaal wordt vastgelegd dat het opsporen en helpen verhelpen van beveiligingsfouten het enige is wat ze mogen doen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS