‘Digitale oorlogsvoering bedreigt financieel systeem’

Hoe reageren we als er een grootschalige Russische of Chinese cyberaanval wordt uitgevoerd op de telecomsector van een EU-lidstaat? Als financiële diensten getroffen worden, hoe snel volgt dan het herstel? Die vragen stelde Steven Maijoor, directielid van De Nederlandsche Bank (DNB), op de jaarlijkse bijeenkomst in Brussel over toezicht op fintech.

Daarin pleit hij voor meer grip op de hele keten waarmee de financiële sector verbonden is, met name ook op die van de ICT. “Veel sectoren van de economie zijn kwetsbaarder geworden voor grootschalige verstoringen door de toegenomen complexiteit en digitalisering”, aldus Maijoor. “Dit geldt zeker voor financiële diensten, met hun lange outsourcingketens en onderlinge verbondenheid. Veel financiële bedrijven zijn afhankelijk van dezelfde externe dienstverleners.”

Een kwart van de aanvallen kan de sector treffen
Dus als een van deze leveranciers wordt aangevallen, kunnen grote delen van de financiële sector de domino-effecten ondervinden. Volgens Maijoor kan een kwart van alle gerapporteerde wereldwijde cyberaanvallen de financiële sector potentieel treffen. Dat gebeurt als een vitaal proces wordt getroffen dat wordt uitgevoerd door een derde partij waarvan het financiële systeem afhankelijk is.

Volgens Maijoor is de dreiging tegen de financiële infrastructuur niet langer hypothetisch, maar een reële mogelijkheid. Vorig jaar ontdekte de FBI een sluimerend netwerk van Chinese hackers in de Verenigde Staten dat honderden routers had gecompromitteerd en klaarstond om een ​​aanval uit te voeren. Russische en Chinese schepen worden ervan verdacht onderzeese datakabels te beschadigen. Hoe vaak cybereaanvallen op de infrastructuur plaatsvinden is onbekend, volgens Maijoor.

Herstel na een aanval kan lang duren
Maijoor twijfelt of snel herstel mogelijk is als het financiële systeem wordt geraakt door een digitale aanval. “Dat komt niet omdat financiële instellingen zich niet hebben voorbereid. De financiële sector is zelfs een van de beter digitaal verdedigde sectoren in de economie is.”

Maar ondanks grote stappen die zijn gezet om het financiële systeem veiliger te maken, moet er volgens Maijoor meer worden gedaan om financiële diensten veilig te houden. “Niet alleen door de weerbaarheid van de financiële sector zelf te vergroten, maar ook door de robuustheid van de hele keten van ICT-dienstverleners te vergroten.”

Verplichte cyberstresstest
Hij verwijst naar DORA (European Digital Operational Resilience Act), die begin dit jaar van kracht werd en extra handvatten geeft voor de veiligheid geeft tegen aanvallen. De voorgeschreven tests verplicht voor de grootste financiële instellingen in Europa. In Nederland voeren we dit soort tests al ruim acht jaar vrijwillig uit met goede resultaten, aldus Maijoor. Maar cyberstresstest van de ECB in 2024 hebben laten zien dat er verbetering nodig is op het gebied van herstel

De DORA-regels geven Europese toezichthouders tevens de bevoegdheden om inspecties uitvoeren van kritieke externe ICT-dienstverleners. Maijoor verwacht dat bedrijven van de Big Tech, zoals Google en Microsoft, onder EU-toezicht worden geplaatst.

Uitwisseling van informatie als grootste zwakte
De grootste zwaktes in de veiligheid van het financiële systeem zitten volgens Maijoor in de uitwisseling van informatie tussen aanbieders van kritieke infrastructuur, de verdeling van rollen en verantwoordelijkheden en de mobilisatie van schaarse kennis en expertise op het gebied van cybersecurity in het geval van grote cyberincidenten.

“Grootschalige cyberoefeningen blijven nodig en er moet ook worden geoefend met het activeren van crisisplannen. De verkregen inzichten moeten worden gebruikt om de veerkracht te vergroten.”

“Het vergroten van de weerbaarheid betekent ook dat we moeten samenwerken. Overheden, financiële bedrijven, toezichthouders, telecom, energie en andere vitale spelers in de outsourcingketen. Want in cyberspace zijn we allemaal met elkaar verbonden. En tenslotte is een ketting slechts zo sterk als de zwakste schakel.”