Burgers in Nederland moeten ‘zich realiseren dat een cyberaanval de financiële dienstverlening in extreme situaties tijdelijk plat kan leggen’. Met deze waarschuwing komt De Nederlandsche Bank (DNB) maandag.
is economieredacteur. Hij schrijft over de financiële sector.
Digitalisering heeft het betalingsverkeer weliswaar sneller dan ooit gemaakt, die ontwikkeling maakt de financiële sector tegelijkertijd kwetsbaarder voor kwaadwillenden, zo constateert de hoeder van het Nederlandse bankwezen.
Cyberaanvallen vormen dan ook een groeiend gevaar voor het financiële systeem. Met gijzelsoftware, DDoS-aanvallen en andere wapens kunnen computercriminelen en vijandelijke staten het betalingsverkeer ontwrichten.
De grote bancaire afhankelijkheid van derde partijen – bijvoorbeeld waar het gaat telecom, clouddiensten en beveiliging – maakt de kans op een digitale kladderadatsch er niet bepaald minder op, vreest DNB.
Zo houdt de centrale bank rekening met een (vooralsnog) fictief scenario waarbij een aanval met gijzelsoftware een van de drie Nederlandse telecomaanbieders lamlegt. Als bijvoorbeeld ING gebruik maakt van deze aanbieder, dan kunnen ING-klanten tijdelijk geen geld overmaken of pintransacties doen.
Zelfs als de andere twee grootbanken, Rabobank en ABN Amro, een andere telecomaanbieder gebruiken, kunnen zij toch in problemen komen. ING zal tijdelijk moeten overstappen op een andere telecomaanbieder, met als risico dat die de plotselinge toename in het dataverkeer niet aan kan. Hierdoor kan ook de dienstverlening van de andere banken weer verstoord raken.
Als kwaadwillenden op datzelfde moment – en nu wordt het DNB-scenario pas echt duister – via sociale media valse geruchten verspreiden dat niet de telecomaanbieders, maar de banken zelf het slachtoffer zijn van de cyberaanvallen, zou er paniek kunnen ontstaan onder de klanten van de betrokken banken.
Door desinformatie rond te strooien dat er spaargeld van klanten is gestolen, zou de paniek alleen maar verder toenemen. Een bankrun ligt dan op de loer, waarschuwt DNB.
‘Dan kom je in situaties terecht dat je misschien wel moet gaan blokkeren dat mensen hun geld weghalen bij hun bank’, zegt Olaf Sleijpen, directeur monetaire zaken bij DNB. ‘Dat zijn scenario’s waarin je liever niet terechtkomt.’
Geen fictie was de frontale aanval op het financiële stelsel door de criminele hackersbende LockBit. In november legde de Russische bende met behulp van gijzelsoftware de Amerikaanse dochter plat van de Industrial and Commercial Bank of China, ’s werelds grootste bank.
De dochterbank speelt een sleutelrol als dienstverlener aan overheden, hedgefondsen en handelaars die Amerikaanse staatsobligaties willen kopen of verkopen. Door de Lockbit-aanval kon de bank tijdelijk geen Amerikaanse staatsobligaties verhandelen. Er moesten miljarden dollars aan noodsteun van moederbedrijf ICBC aan te pas komen om wanbetaling te voorkomen.
‘Het voorval illustreert het potentiële domino-effect dat deze aanval in het financiële stelsel had kunnen veroorzaken’, aldus DNB.
Een van de kwetsbaarheden van banken is dat zij steeds afhankelijker zijn van een kleine hoeveelheid derde partijen, zoals van Google en Microsoft in het geval van clouddiensten, constateert de toezichthouder.
Die technologiereuzen leunen op hun beurt ook weer op derden, om bijvoorbeeld hun systemen te beveiligen. Een cyberaanval op een van die partijen kan daarmee meteen een flink deel van de economie in de soep laten lopen.
‘Het incident bij het beveiligingsbedrijf Crowdstrike was daar afgelopen zomer een mooi voorbeeld van’, zegt Sleijpen. ‘In dit geval ging het om een menselijke programmeerfout, niet om een hack, maar het incident liet wel zien welke consequenties zo’n fout kan hebben.’
De storing bij Crowdstrike – dat de systemen van Microsoft helpt beveiligen – leidde wereldwijd tot storingen bij banken, luchtvaartbedrijven, winkels en televisiezenders.
Ook de opmars van AI maakt de financiële sector kwetsbaarder, waarschuwt DNB. Kunstmatige intelligentie kan weliswaar helpen om cyberaanvallen beter te bestrijden, maar maakt ook nog geraffineerdere vormen van malware mogelijk.
Zo werden medewerkers van een Britse onderneming eerder dit jaar tijdens een videovergadering voor 25 miljoen dollar opgelicht; ze dachten in gesprek te zijn met hun financieel-directeur, in werkelijkheid was het een met behulp van deepfake technologie gecreëerde digitale kloon van deze functionaris.
Sleijpen doet een beroep op de bevolking om zich bewust te zijn van de gevaren van cyberaanvallen, zeker in tijden van oplopende geopolitieke spanningen. ‘Je moet er niet vanuit gaan dat het betalingsverkeer altijd werkt. Er kunnen zich situaties voordoen waarin de financiële dienstverlening gedurende langere tijd verstoord raakt.’
Voor de zekerheid wat contant geld achter de hand houden, desnoods in een oude sok, is wellicht geen overbodige luxe, adviseert Sleijpen.
Staatsschulden en begrotingstekorten
De Nederlandsche Bank maakt zich eveneens zorgen over de oplopende staatsschulden en begrotingstekorten in de eurozone. De Nederlandse overheid zit momenteel met haar begrotingstekort al dicht tegen de Europese grenzen aan – die een maximaal begrotingstekort van 3 procent van het bruto binnenlands product (bbp) voorschrijven. Nederland kan met een staatsschuld van 46 procent van het bbp nog wel een stootje hebben, maar dat geldt niet voor landen als Frankrijk, Italië en Griekenland. Hun staatsschulden liggen ver boven de 100 procent van hun bbp. Deze landen hebben daardoor weinig ruimte om onverhoopte economische en geopolitieke klappen op te vangen, zoals crises en pandemieën. Indirect kan dit ook de Nederlandse financiële sector raken, waarschuwt DNB.
Geselecteerd door de redactie
Source: Volkskrant