CPB pleit voor cyberstresstest bij banken
"Het afgelopen decennium is het betalingsverkeer in Nederland in hoge mate gedigitaliseerd", signaleert het CPB in zijn vandaag gepubliceerde Risicorapportage Financiële Markten 2018. "Pinnen, internetoverschrijvingen, iDEAL-betalingen en overschrijvingen via telefoon of tablet hebben de functie van contant geld nagenoeg overgenomen - meer dan in andere landen." De Nederlandse voorsprong op dit gebied blijkt uit Europese statistieken en onderzoek van DNB (De Nederlandsche Bank), waar het CPB naar verwijst. "Deze digitalisering heeft natuurlijk voordelen. Zo zijn systemen minder foutgevoelig en zijn de transactiekosten lager."
Risico's zijn realiteit
Digitaal betalen brengt echter ook nadelen met zich mee, zoals geregeld gedemonstreerd door lamleggende disrupties. "Helaas neemt ook de kans op storingen en cyberaanvallen toe met deze toenemende digitalisering." Het gaat hierbij niet alleen om kansen, maar ook om de realiteit. "Storingen van en cyberaanvallen op het betalingsverkeer komen steeds frequenter voor", erkent het planbureau in zijn risicorapportage die is uitgevoerd op verzoek van de Tweede Kamer.
Eerder deze maand zijn banken als Rabobank en ABN AMRO nog meermaals getroffen door DDoS-aanvallen. Daardoor waren er enige tijd problemen met zowel internetbankieren als mobiel bankieren. Deze verse aanvalsgolf is gevolgd op impactvolle DDoS-aanvallen op de grote Nederlandse banken begin dit jaar. Een 18-jarige scholier wordt verdacht van het uitvoeren hiervan, en hij is ook in beeld voor flinke aanvallen eind vorig jaar op internetbank Bunq. Verder zorgde een interne storing bij ING er eind maart voor dat miljoenen pinbetalingen dubbel werden afgeschreven. Begin april was het nogmaals raak met overboekingsfouten bij deze bank.
Meer doen dan toezicht
Het CPB maakt dan ook bewust onderscheid tussen storingen en verstoringen (zoals dus DDoS-aanvallen). "Investeringen in veilige ICT-oplossingen in de financiële sector blijven daarom belangrijk. Actief toezicht van DNB en AFM op IT-systemen en aanverwante processen in de financiële kerninfrastructuur is daarbij cruciaal." Beheer door de banken zelf en monitoring door de toezichthouders lijkt echter niet afdoende. Het CPB komt met de mogelijkheid van een aanvullende maatregel: "Europese cyber-stresstests kunnen ook bijdragen aan betere cyberveiligheid."
Het stresstesten van IT-systemen bij banken wordt door het planbureau "geen overbodige luxe" genoemd in het rapport. Toezichthouder De Nederlandsche Bank (DNB) is samen met partners al bezig met het opzetten van cyberveiligheidstests, genaamd TIBER (threat intelligence-based ethical red teaming). Ook vanuit Europa klinkt de roep om IT-stresstests voor banken en fintech-bedrijven. Het CPB wijst erop dat niet algemeen bekend is hoe het staat met de IT-systemen van Nederlandse banken en dat DNB en de Autoriteit Financiële Markten (AFM) hier samen op toezien. "Net als bij reguliere stresstesten, is transparantie over de uitkomst van deze testen gewenst. De ECB [Europese Centrale Bank - red.] vindt het in ieder geval belangrijk dat banken rapporteren over incidenten en heeft daarom eind 2017 een raamwerk voor rapportage gelanceerd", schrijft het CPB.
Verlies en vertrouwen
De voorgedragen cyberstresstests en daarbij gewenste transparantie raken volgens het CPB aan fundamentele financiële zaken. "Op korte termijn hebben storingen vervelende gevolgen. Dubbele overboekingen kunnen onbedoeld leiden tot saldotekorten. Als het digitaal betalingsverkeer plat ligt, missen de detailhandel en webwinkels omzet, met name van impulsaankopen. Ook het vertrouwen in het financieel systeem kan aangetast worden door langdurige en/of herhaalde storingen. Het is theoretisch zelfs mogelijk dat huishoudens hun geld van de bank halen omdat ze het vertrouwen in een financiële instelling zijn kwijtgeraakt."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee