Cyberaanvallen op bedrijven zijn gemeengoed geworden. Voor de criminelen valt er meer geld mee te verdienen dan met een bankoverval in de vorige eeuw. Het Amerikaanse vleesverwerkende concern JBS betaalde hackers 11 miljoen dollar in bitcoins om zijn computersystemen weer opgestart te krijgen.
...

Cyberaanvallen op bedrijven zijn gemeengoed geworden. Voor de criminelen valt er meer geld mee te verdienen dan met een bankoverval in de vorige eeuw. Het Amerikaanse vleesverwerkende concern JBS betaalde hackers 11 miljoen dollar in bitcoins om zijn computersystemen weer opgestart te krijgen. Het ultieme doemscenario is echter een grootschalige cyberaanval op kritische infrastructuur. David Sanger, journalist van The New York Times, schetst in zijn boek The Perfect Weapon hoe dat gaat. Eerst valt de elektriciteit uit, dan gaan de mobiele netwerken en het internet plat. Al snel komt het verkeer tot stilstand. Bankkaarten worden onbruikbaar, en nog het ergst van al: aan het einde van de dag zijn de banken alle gegevens van hun klanten kwijt, inclusief hoeveel geld op hun rekeningen stond. Voor malafide hackers zijn financiële instellingen heel aantrekkelijke doelwitten. Als ze op geld uit zijn, zijn ze bij een bank of een betalingsinstelling aan het juiste adres om rekeningen te plunderen. En als ze eropuit zijn de samenleving te ontwrichten, is het ontregelen van het internationale betalingsverkeer een interessant spoor. Waarom horen we dan amper iets over grote inbraken in het financiële systeem? "Omdat de banksector een van de best beveiligde sectoren is", antwoordt Patrick Devis, chief information officer van Belfius. "Cruciaal voor financiële instellingen is het klantenvertrouwen. Wij kunnen het ons niet veroorloven dat te verliezen. Banken beseffen beter dan wie ook de mogelijke impact van een cyberincident op hun reputatie. Daarom investeren we meer in IT en in beveiliging dan andere sectoren. Sommige kleine ondernemingen zijn zelfs niet up to date met hun antivirussoftware." Volgens studies loopt Europa voorop op de rest van de wereld in cyberveiligheid, is de Benelux de koploper in Europa en is de banksector in de Benelux bij de best beveiligde sectoren, aldus Devis. "Wij zijn niet gemakkelijk te hacken. Daarenboven gelden de grootste banken van ons land als systeembelangrijke infrastructuur. Daardoor hebben we toegang tot confidentiële informatie (bijvoorbeeld van het Centrum voor Cybersecurity België, nvdr) en kunnen we meer verregaande maatregelen nemen om ons te beschermen." Je hoeft ook niet de allerbeste van de klas te zijn, voert Devis aan. "Het is zoals in dat grapje over de beer die in het bos twee vrienden aanvalt. Moet je sneller kunnen lopen dan de beer? Nee, je moet zorgen dat je sneller kunt lopen dan je vriend. Hackers zoeken naar zwakke punten of schakels. Ze richten zich bij voorkeur op netwerken of bedrijven waar ze gemakkelijk binnen raken. Een zwaar beveiligd bedrijf is minder aantrekkelijk." "Je kunt het vergelijken met een wapenwedloop", zegt Ingvar Van Droogenbroeck, partner van het consultancybedrijf PwC Belgium. "In hun strijd tegen hackers moeten banken steeds meer investeren. Zij worden gedwongen om hun beveiligingscapaciteit en hun standaarden continu te verhogen. Je wilt niet het zwakste dier van de kudde zijn." De Bank voor Internationale Betalingen, die alle centrale banken en bankentoezichthouders groepeert, riep begin dit jaar op tot een verhoogde waakzaamheid. Door de covid-19-crisis explodeerden de digitale betalingen en het telewerk in de financiële sector. Uit onderzoek blijkt dat ook de hackers dat in de smiezen hadden: geen enkele andere sector werd tijdens de pandemie zo veel aangevallen als de financiële instellingen. Dat banken steeds meer aangevallen worden, geeft Devis grif toe. "Vroeger wisten wij: als het woensdagmiddag is en slecht weer, dan zullen enkele studenten die zich vervelen het wel proberen. Vandaag is cybercriminaliteit een business als een andere. Elke dag zijn er pogingen om in onze systemen in te breken en er is steeds meer sprake van een massa-aansturing, waarbij hackers grote aantallen bedrijven testen op simpele kwetsbaarheden. Daar plaatsen wij geautomatiseerde reactiesystemen tegenover." De aanvallen kunnen verschillende vormen aannemen. Phishing, het vissen naar inloggegevens, is een gemakkelijke manier om particulieren kleine sommen te ontfutselenen, maar dat leidt voorlopig niet tot significante disrupties bij de banken. Phishing is vaak ook de eerste stap naar de installatie van malware, die IT-systemen lamlegt en leidt tot de diefstal of de gijzeling van data met de eis tot het betalen van losgeld. "We hebben tot hiertoe in België geen majeure cyberincidenten in de financiële sector gehad", stelt Tim Hermans, directeur van de Nationale Bank van België (NBB). "Dat heeft ermee te maken dat onze instellingen een hoog niveau van maturiteit in cyberveiligheid halen. Ook onze strenge authenticatieregels, bijvoorbeeld voor het betalingsverkeer, leiden ertoe dat online en mobiel bankieren veilig kan. Het toont dat de aanpak van regelgevers en toezichthouders werkt. Al is dat geen garantie voor de toekomst. Waakzaamheid blijft geboden" Regelgevers en toezichthouders hebben steeds meer oog voor de cyberveiligheid van financiële instellingen. Daarbij willen ze vermijden dat elk land of elke toezichthouder zijn eigen wetten oplegt. In Europa leidde dat vorig jaar tot een wetgevend initiatief van de Europese Commissie: de Digital Operational Resilience Act (DORA), een geharmoniseerde regelgeving en uniforme strategie voor cyberrisico's in de financiële sector. De finale wettekst wordt vermoedelijk pas in de loop van 2022 gepubliceerd. "Heel belangrijk aan DORA is dat het toezicht wordt opengetrokken naar derde partijen zoals externe IT-leveranciers en aanbieders van clouddiensten", zegt Gaël Hachez, cybersecurityspecialist bij PwC. "De banken worden verplicht hun supplychain in kaart te brengen en op zwakke plekken te controleren. Steeds meer instellingen doen een beroep op de cloud en op toeleveranciers. Het zou kunnen dat hackers daar inbreken en zo indirect toegang krijgen tot het financiële systeem." Hachez is een voorstander van het gebruik van de cloud, die hij veiliger noemt dan de eigen datacentra van de banken. "De markt van de cloudproviders wordt gedomineerd door drie grote bedrijven: Amazon, Microsoft en Google. Dat zijn heel mature technologische bedrijven met grote investeringsmogelijkheden. Daardoor zijn hun IT-systemen superbeveiligd en worden ze continu gemonitord. Als zij ergens een cyberaanval opmerken, kunnen ze ook hun andere klanten daarvoor afschermen. Het minpunt is dat er een concentratierisico dreigt. Als een van die grote cloudserviceproviders toch zou worden gehackt, kunnen verschillende banken gelijktijdig uitvallen." Naast regelgeving worden controles op de cyberveiligheid steeds belangrijker. De Nationale Bank voert bij de banken grondige analyses uit en eist een uitvoerige rapportering over hoe ze met de IT- en cyberrisico's omgaan. "We controleren of en hoe ze het regelgevend kader toepassen", vertelt Tim Hermans. "We bekijken de governance, spreken met verantwoordelijken, controleren de uitbestedingsopdrachten en vragen rapporten op." De supervisie ter plaatse gaat nog een stap verder: "Soms kamperen we weken of maanden in een financiële instelling, om alles grondig tegen het licht te houden. Dat gebeurt op basis van een risicoanalyse en -dashboard. Wie op cruciale punten minder goed scoort, mag zich aan een bezoek verwachten." Gezien de zware investeringen die met cyberveiligheid gepaard gaan, zou je verwachten dat kleine banken kwetsbaarder zijn dan grote. "Ze hebben nu eenmaal minder middelen om de noodzakelijke zware investeringen te doen", beaamt Van Droogenbroeck. Ook Devis zegt dat er schaalvoordelen spelen: "Belfius investeert elk jaar tientallen miljoenen in cyberveiligheid, en dat bedrag groeit jaarlijks aan. Voor kleine instellingen is dat een significante kostenpost." Maar voor Hermans zijn kleine banken niet noodzakelijk onveiliger: "Grote financiële instellingen hebben vaak een grotere complexiteit, bijvoorbeeld als gevolg van overnames in het verleden, waarbij de IT nooit helemaal geïntegreerd is. Zij vormen ook een groter systeemrisico. Daardoor moeten ze grotere investeringsbudgetten reserveren dan kleine, eenvoudige banken die met minder budget soms evenveel kunnen bereiken." Ethisch hacken is uitgegroeid tot een steunpilaar van het testbeleid inzake cyberveiligheid. Als een van de eerste landen in Europa zette België daartoe een TIBER-programma op, kort voor threat intelligence-based ethical red-teaming. De toezichthouders en de banken gaan daarvoor in zee met consultants en ethische hackers die cyberaanvallen simuleren op kritische IT-functies. "De bedoeling is de robuustheid van de IT-systemen te testen, en de belangrijkste risico's en zwakheden bloot te leggen", vertelt NBB-directeur Tim Hermans. In de praktijk is het beetje als een wargame dat wordt gespeeld. Hermans: "Ethische hackers krijgen de opdracht om een aantal vlaggen te veroveren. Zo'n opdracht kan zijn: probeer 100 miljoen euro naar een bepaalde rekening over te hevelen. In de bank is enkel een zogenoemd wit team op de hoogte van de cyberaanval. Op die manier gaan we verder dan een simulatie. Er worden reallife-omstandigheden gecreëerd. We leren heel veel uit die oefeningen." De TIBER-oefeningen gaan behoorlijk ver. Zo is ook social engineering toegelaten, geeft Hermans aan. "Hackers werken niet enkel van achter hun computer. Ze proberen ook fysiek toegang te verwerven tot een bankinstelling. Of ze proberen bankmedewerkers paswoorden of inside-informatie te ontfutselen door hen op te zoeken in hun stamcafé. Ook zulke praktijken zijn toegelaten voor ethische hackers. De mens blijft nu eenmaal de zwakste schakel in het hele cyberbeveiligingsopzet. Dat is niet enkel bij phishing zo." Wat als het ondanks alle regels, preventieve maatregelen en controles toch misloopt? "Het is niet omdat een hacker via de voordeur binnen geraakt, dat hij zomaar door het hele huis kan wandelen", zegt Patrick Devis van Belfius. "Als we een inbraak vaststellen, sluiten we alle kamers van het huis af. Belfius hanteert, los van een cyberaanval, al een strikte compartimentering. Voor sommige kamers van het huis heb je twee sleutels nodig. Ons personeel kan ook niet zomaar overal binnen. Voor bepaalde data zijn specifieke toegangs- en veiligheidstokens vereist." Voor Jeroen Dossche, partner bij de bedrijfs- en technologie-adviseur Capco, is het zaak in geval van een crash de IT-systemen zo snel mogelijk weer op te starten: "De meeste banken hebben hun IT-infrastructuur ontdubbeld. Van alle data bestaan back-ups, los van het eigen fysieke netwerk. Vaak worden daarvoor de datacenters van cloudproviders gebruikt. Die werken met gescheiden clusters. Dat moet het mogelijk maken om de IT-systemen meteen weer in gang te zetten." Voor systeemkritische infrastructuur, zoals de marktenzaal of het uitvoeren van betalingen, hanteert Belfius een timing van maximaal twee uur om opnieuw op te starten, zegt Devis. Toezichthouders moeten echter rekening houden met alle scenario's. Zij zien in het teruggrijpen naar contant geld een noodoplossing voor het uitvallen van het digitale betaalsysteem. Stefan Ingves, de gouverneur van de Zweedse centrale bank, pleit er al een tijdje voor om weer meer cash in omloop te brengen. Zweden is niet toevallig een land waar het gebruik van cash heel sterk is teruggedrongen. De cashvoorraden zijn er zo klein geworden dat het betalingsverkeer bij een digitale black-out helemaal stil dreigt te vallen. "De Riksbank is niet de enige die pleit voor voldoende beschikbaarheid en toegankelijkheid van cash", zegt Leo Van Hove, professor economie aan de VUB. "Ook in Nederland gaan stemmen in die richting op. De Nederlandsche Bank heeft onlangs banken opgeroepen om in voldoende geldautomaten te blijven voorzien en retailers om cash te blijven aanvaarden. Enerzijds omdat het voor bepaalde bevolkingsgroepen nog altijd een onmisbaar betaalmiddel is. Anderzijds als een terugvalpositie in geval het digitale betaalsysteem faalt." "Steeds meer centrale banken, vooral van landen waar elektronisch betalen sterk in opmars is, oordelen dat voldoende cash in de samenleving bijdraagt tot de weerbaarheid van het financiële systeem", stelt Van Hove vast. Natuurlijk, als de geldautomaten verbonden zijn met de netwerken van de banken, zullen ook zij stilvallen bij een digitale fall-out. Daar heeft Stefan Ingves allerlei wilde ideeën over. Hij vindt dat er desnoods maar een grote voorraad contant geld moet worden verstopt, ergens diep in de bossen. "Het toont hoe ernstig hij de gevolgen van een cyberaanval voor de banken en de economie inschat", aldus Van Hove. Tim Hermans van onze Nationale Bank gelooft niet dat dit een duurzame oplossing is: "Als het elektronisch betalingssysteem zou uitvallen, kunnen terminals in de winkels offline werken. Dan neemt de handelaar wel zelf het risico dat er onvoldoende geld op de rekening staat. Dat kan gedurende een heel korte periode een oplossing zijn. Als de panne enkele dagen zou duren, kan cash soelaas brengen, zodat mensen toch minstens hun boodschappen kunnen doen. Maar bankbiljetten alleen kunnen het volledige digitale betalingsverkeer niet vervangen. Ik zou toch vooral inzetten op het zo snel mogelijk herstellen en heropstarten van de IT." "Terug naar pen en papier is niet mogelijk", vindt Van Droogenbroeck. "We kunnen niet meer zonder elektronische banktransacties. Er is gewoon onvoldoende cash om de grote geldstromen die elke dag plaatsvinden op te vangen. Dat zou niet werken." En wat als ook het internationaal betalingsverkeer tussen de banken zou uitvallen? "Tja, dan is er allicht veel meer aan de hand", antwoordt Hermans laconiek. "Dan zit je de facto in een oorlogssituatie. Dat is uncharted territory." Denken banken in termen van zulke Hollywood-scenario's? Devis zegt van wel: "We houden rekening met alle scenario's, en we doen er elke dag alles aan om zulke incidenten te voorkomen. En dus blijven we meer investeren in het sterker maken van de IT-systemen, in goede beveiligingsprocedures, in nog betere controles, en als het toch misloopt in het zo snel mogelijk weer op gang krijgen van de IT."