De Nederlandsche Bank gaat zélf proberen om in te breken op computersystemen van banken
© REUTERS

De Nederlandsche Bank gaat zélf proberen om in te breken op computersystemen van banken

De Nederlandse banken krijgen de komende maanden een bijzondere bankrover over de vloer: De Nederlandsche Bank. De toezichthouder gaat proberen in te breken op de computersystemen van de banken, om te zien of die voldoende zijn beveiligd tegen cybercriminelen en politiek gemotiveerde hackers. DNB huurt daarvoor samen met de banken externe hackers in. Die ingehuurde inbrekers zullen ook de beveiliging van De Nederlandsche Bank zelf op de proef stellen.

Banken zijn al langer verplicht hun computersystemen en netwerken te testen op kwetsbaarheden. De Nederlandsche Bank heeft voorwaarden opgesteld waaraan zulke 'penetration tests' (indringerstesten) moeten voldoen. Via een project dat DNB vorig jaar heeft opgezet, Tiber, worden nu al die afzonderlijke preventietesten van de banken op een plek gecoördineerd.

Het zit niet in de aard van het beestje de toezichthouder te vertellen dat er een achterdeur niet op slot zat of dat er een kelderraam open stond

DNB-woordvoerder

Dat gebeurt niet omdat DNB geen vertrouwen heeft in de onderzoeken die banken zelf naar beveiligingslekken uitvoeren, aldus een DNB-woordvoerder. 'Maar het zit niet in de aard van het beestje de toezichthouder te vertellen dat er een achterdeur niet op slot zat of dat er een kelderraam open stond. Een gezamenlijk project maakt het gemakkelijker de uitkomsten van deze tests veilig te delen. Daarin spelen wij als onafhankelijke toezichthouder een rol.' Dat DNB ook zichzelf aan deze georkestreerde inbraakpogingen blootstelt is volgens de zegsman logisch: 'Wij vormen een onderdeel van de financiële keten.'

Spelfout

Dat een keten zo sterk is als de zwakste schakel bleek vorig jaar, toen cybercriminelen er bijna in slaagden de centrale bank van Bangladesh een miljard dollar afhandig te maken. Daarvoor gebruikten ze insiders bij de bank, die zwakke plekken exploiteerden in de software van Swift. Dat is het computernetwerk waarmee duizenden banken wereldwijd onderling transacties afwikkelen. De computerinbrekers liepen vroegtijdig tegen de lamp omdat ze een spelfout maakten in een bankoverschrijving, maar konden toch 81 miljoen dollar wegsluizen voordat ze werden ontdekt.

Hackers maken niet alleen gebruik van mankementen in software om binnen te dringen bij bedrijven, zegt Floris van den Broek van Redsocks, een Haagse specialist die de beveiliging van banken test. 'Als de opdrachtgever daarom vraagt, kunnen ingehuurde inbrekers ook proberen informatie los te peuteren van werknemers, via de telefoon of per e-mail.' Hackers kunnen ook binnendringen door bijvoorbeeld een usb-geheugenstick met een kwaadaardig programma op het parkeerterrein van een bank neer te leggen, in de hoop dat een nieuwsgierige werknemer die in zijn pc steekt om te zien wat erop staat.

Beveiligingstest is net als apk-keuring van een auto. De dag nadat die terugkomt uit garage kan er iets stuk gaan

Floris van den Broek, werkzaam bij specialist die de beveiliging van banken test

Tiber-project

Een beveiligingstest is een momentopname, erkent Van den Broek. 'De dag nadat het onderzoek is afgerond kan er al een nieuwe bug of virus in omloop komen die een computersysteem kwetsbaar maakt. Het is net als met de apk-keuring van een auto. De dag nadat die terugkomt uit de garage kan er iets stuk gaan.'

Een bijkomend probleem is dat het gereedschap voor computerinbrekers eenvoudig op internet te vinden is en volop wordt gedeeld, ook met technisch minder onderlegde cybercriminelen. 'Geavanceerde aanvalswapens komen sneller in handen van minder geavanceerde partijen', signaleert Petra Hielkema, directeur betalingsverkeer en marktinfrastructuur in een video van De Nederlandsche Bank.

Het Tiber-project is geen overbodige exercitie, zo bleek in 2011 in Groot-Brittannië. Bij een oefening door financiële instellingen onder de naam Waking Shark bleken banken en toezichthouders elk afzonderlijk in staat te zijn goed op een hackersaanval te reageren, maar was er geen goed systeem om elkaar te waarschuwen. De Britse centrale bank besloot daarop het testen van de dijkbewaking bij banken en instellingen in één hand te leggen, net zoals DNB nu doet.