Hackers van DNB gaan beveiliging banken testen

De toezichthouder publiceert dinsdag een handleiding waarmee banken de tests kunnen organiseren.

Foto Jeroen Jumelet/ANP

De Nederlandsche Bank (DNB) gaat proberen om de Nederlandse financiële infrastructuur te hacken. Dat bevestigt DNB na berichtgeving van Het Financieele Dagblad. Een hackersteam van de toezichthouder zal cyberaanvallen uitvoeren op banken, clearinghuizen en beursexploitanten om zo hun digitale beveiliging te verbeteren.

Al eind 2015 schreef De Telegraaf over het plan van DNB. Sinds 2016 zit Tiber, zoals het project heet, in een pilotfase. Wat de resultaten zijn en hoe het staat met de digitale veiligheid van de Nederlandse financiële infrastructuur, kan DNB niet zeggen omdat dat gevoelige informatie is.

Nieuw is dat deze dinsdag DNB een handleiding publiceert waarmee financiële instellingen zelf de hacks kunnen organiseren, zegt een woordvoerder van DNB. “Je zou kunnen zeggen dat we daarmee een nieuwe fase ingaan.” Ook staat in de handleiding hoe de resultaten het best gedeeld kunnen worden met de sector. “Het zit niet in de aard van het beestje om meteen open kaart te spelen. Zo van: die achterdeur stond open en daar zat een draadje los. Deze tests en de handleiding moeten ertoe leiden dat de hele sector kan profiteren.”

Red team

Hackers worden ingehuurd door de financiële instellingen zelf. Onder toeziend oog van DNB zal een hackersteam (‘red team’) proberen in te breken bij een financiële instelling, waar een klein groepje (‘white team’) van de aanval afweet. De rest van de organisatie (‘blue team’) moet de aanval afweren, zonder dat ze weten dat ze onderdeel zijn van een test. De resultaten worden vervolgens gedeeld met de sector.

Volgens het FD zal Tiber bekende mogelijke scenario’s nabootsen van bijvoorbeeld de AIVD. Een nepaanval zal zes tot negen maanden duren.

Tiber (Threat Intelligence Based Ethical Red teaming) is geïnspireerd op een vergelijkbaar initiatief - Cbest - van de Bank of England. In navolging van Nederland zal de Europese Centrale Bank in Frankfurt een vergelijkbaar project opzetten, Tiber EU.

Cyberroof bij banken

Nederlandse banken kampen regelmatig met cyberaanvallen en storingen. Vorig jaar raakte het transactiesysteem van zo’n 11.000 banken, SWIFT, in opspraak nadat hackers erin waren geslaagd om 81 miljoen dollar buit te maken van de centrale bank van Bangladesh.

Lees meer over de SWIFT-aanval: Digitale roof liep via hét bankenplatform

In 2015 werd bekend dat hackers sinds 2013 voor zeker 263 miljoen euro, waarschijnlijk meer, hadden gestolen van meer dan honderd banken in meer dan dertig landen. Daar zaten geen Nederlandse banken bij.