Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade aangericht, en het doel is van elkaar te leren en de beveiliging te vergroten. Maar toch doet het raar aan – DNB is immers de toezichthouder op diezelfde banken.
Ik ben wel enthousiast over dit initiatief, juist omdat het afkomstig is van zo’n belangrijke speler in de sector. Dit houdt de organisaties bij de les, je kunt niet volstaan met intern beleid maken en zeggen dat je het doet doet, of fouten bij een interne cyberaanval onder de pet houden. Dus in de basis lijkt me dit een goed idee.
Onduidelijk is voor mij nog of banken vrijwillig meedoen of verplicht worden. Ik kan er geen regel over vinden, en de inspiratie komt uit Engeland waar het vrijwillig is. Maar je zult vast iets uit te leggen hebben, zowel naar je collega-banken als naar de toezichthouders (want ook de AFM houdt toezicht op banken).
Juridisch interessant kan het worden als het een verplichting wordt. Want dan zou een bank dus tegen haar wil gehackt worden, en ook al gaat er dan niets stuk, het blijft dan computervredebreuk. (Tenzij er een bestuursrechtelijke bevoegdheid is waarmee dit binnendringen zou mogen, maar die ken ik niet.) Het lijkt me eerlijk gezegd sterk dat men zo ver zou gaan, maar ik zou het wel mooi vinden – dit is écht toezicht houden.
Arnoud
Wellicht kun je het vrijwillig zijn ietwat omzeilen door de beveiliging mee te nemen in een kwaliteitskeurmerk van de bank (ik weet niet of het in die AAA status van banken kan worden opgenomen, maar toch). Op die manier kunnen klanten zien hoe de bank het doet. Banken die niet mee willen doen komen dan óf in een aparte groep voor weigeraars, óf in de laagste beveiligingsklasse (dat laatste zodat er iets meer druk is om te bewijzen dat je niet zó slecht bent). Met name als je de meeste grote spelers mee krijgt, kun je de rest met een soort groepsdruk dwingen om mee te doen. Het blijft dan officieel vrijwillig, maar is dat niet helemaal. De vraag is dan of klanten kijken naar het beveiligingskeurmerk, en dat zullen we moeten zien.
Risico is natuurlijk dat kwaadwillenden ook kunnen zien dat een bank een slecht keurmerk heeft (wat impliceert dat het een makkelijker doelwit is), maar misschien weten die dat toch al. Ik ken die wereld niet echt.
Banken stellen ook eisen aan de beveiliging van de computers van hun klanten bij het internetbankieren. Niet meer dan redelijk dus om als klant ook eisen te stellen aan de beveiliging van de banken. Een beveiligingskeurmerk zou zeker iets zijn waar ik naar zou kijken.
De AAA status wordt met name verstrekt door Amerikaanse partijen en gaat over de kans dat ze alle schulden tijdig terug betalen. Een overzicht van banken die hier vrijwillig aan mee doen zou wel kunnen denk ik.
Ik denk wel dat mensen daar naar zouden kijken, mits het goed verspreid wordt. Als het terecht komt op “www.hoeveiligismijnbank.nl” zonder verdere media-aandacht, dan niet natuurlijk. Maar als die aandacht er wel is en/of het komt terecht op andere kanalen (bijv. Radar, Consumentenbond-website, etc.), dan denk ik dat mensen sneller geneigd zijn er naar te kijken.
Dat zit er enigszins verstopt wel in. Onderdeel van de rating is een oordeel over de kracht van het risico-raamwerk. IT-risk is een belangrijk onderdeel van. Google op Moody’s risk management assessment voor meer uitleg.
Het klinkt wel als een goed plan. We hebben meer “white hat” hackers nodig.
Ik maak me nog wel een klein beetje zorgen om mogelijke belangenverstrengeling. DNB beweert nu dat ze geen schade zullen aanrichten als het ze lukt bij een bank in te breken, maar het zou een slechte zaak zijn als DNB wel een motief zou hebben om dan meteen wat gegevens uit te lezen of zelfs aan te passen als hun dat goed uit zou komen. Als dat zo zou zijn, dan zou DNB zelfs belang krijgen bij een slechte beveiliging van banken: dan houden ze voor zichzelf een achterdeurtje open. Dit is vergelijkbaar met hoe de situatie bij de NSA werd verpest.
Misschien is het beter als zo’n hacking team los komt te staan van DNB, en los van andere mogelijke belanghebbenden, zoals opsporingsdiensten, en qua regelgeving helemaal wordt vastgelegd dat het opsporen en helpen verhelpen van beveiligingsfouten het enige is wat ze mogen doen.
Zo’n hackteam doet ander onderzoek dan de financiële auditors van DNB. Het is afhankelijk van de afscherming tussen de auditteams in hoeverre resultaten van het ene team door een ander team gebruikt mogen worden. Ik verwacht dat de afscherming bij behoorlijk hoog is, dus de kans dat “geheime” documenten in een ander onderzoek terecht komen vrij klein.
Hadden we eerst het A-team, kregen we daarna het M-team, krijgen we nu het D-team. Wat is het toch met al die teams?
Wat ik mij meteen afvraag wat willen ze nu weer verbergen.?
Is dit niet gewoon een vorm van een toezichthoudende audit? Vloeit dit dan niet voort uit de rol van DNB als toezichthouder?