ECB wil Europese banken testen op weerbaarheid bij cyberaanval

De Europese Centrale Bank wil nagaan hoe goed Europese banken voorbereid zijn op een cyberaanval en hoe ze daar dan mee omgaan. De ECB doet dit omdat de instelling na de inval van Rusland in Oekraïne steeds meer cyberaanvallen ten aanzien van Europese banken heeft geregistreerd.

Volgens Andrea Enria, voorzitter van de raad van toezicht van de Europese Centrale Bank, wil de ECB via deze test nagaan hoe banken omgaan met een succesvolle cyberaanval op hun IT-systemen en welke reactie ze vervolgens in huis hebben. Reuters schrijft dat Enria stelt dat sommige banken belangrijke onderdelen van de IT-infrastructuur uitbesteden aan derde partijen. Dat zou volgens de man een risico met zich kunnen meebrengen.

Het is niet duidelijk welke specifieke onderdelen van de IT-infrastructuur van Europese banken de ECB wil uittesten. De resultaten van deze test worden in 2024 bekendgemaakt.

Reacties (49)

Frame164 11 maart 2023 12:52

Ik zie niet direct in waarom uitbesteden aan een competente partij een hoger risico zou hebben dan het laten beheren en bouwen door een minder competent eigen team. Liever security laten doen door een gespecialiseerd bedrijf dan dat je eigen IT-ers met slechts kennis van de eigen IT omgeving het gaan doen. Iedereen vindt het normaal om bijvoorbeeld het wagenpark of telecom bij een externe partij neer te leggen. Waarom is dat IT vaak nog een no-go?

Aldy @Frame164 • 11 maart 2023 13:58

Per slot van rekening is bankieren de corebusiness van een bank en niet beveiligen of bijvoorbeeld telecommunicatie. Laat het over aan specialisten.

kodak

Beveiliging en antivirus
Hackers

@Aldy • 11 maart 2023 14:11

Beveiliging is core business bij banken: je geeft je geld bij ze in beheer, minimaal om veilig te stellen. Dat de bank daaraan probeert te verdienen, of daarbij mogelijkheden geeft misschien je beheerde geld ook zelf te laten toenemen, is daar onlosmakelijk aan verbonden. Als klanten van mening zijn dat bankiers niet veilig met het geld omgaan zouden ze nauwelijks handel hebben.

Aldy @kodak • 11 maart 2023 14:39

Misschien weten @kodak en @ the stickie niet wat corebusiness is, maar als de bank niet meer bankiert heeft het geen bestaansrecht. Dit kunnen ze dus nooit uitbesteden. Als ze de beveiliging zelf doen is dit geen corebusiness, want dit kunnen ze uitbesteden. En als de beveiliging beter door een extern bedrijf kan worden gedaan schaadt dit de klanten niet en zal het vertrouwen van de klanten niet afnemen, maar misschien zelfs toenemen.

kodak

Beveiliging en antivirus
Hackers

@Aldy • 11 maart 2023 14:53

Het is een gedeeltelijke vrije markt, waarin uitbesteden is toegestaan. Het is in de praktijk dus geen kwestie van of zelf doen en het is dan core business, of uitbesteden en geen core business. Natuurlijk kun je dat willen, maar dat is wat anders dan de praktijk.

Aldy @kodak • 11 maart 2023 15:02

Iets wat je zelf doet maar wat je ook kan uitbesteden is geen corebusiness omdat je het niet uitbesteedt. Neem een elektronica detailhandel die de pakketjes met eigen vervoer thuisbezorgt. De verkoop aan consumenten van elektronische producten is de corebusiness, maar niet het vervoer naar de consument.

the_stickie @Aldy • 11 maart 2023 15:14

En toch kan dat bedrijf uit je voorbeeld ervoor kiezen bepaalde bestellingen volledig door derden te laten uitvoeren... bijvoorbeeld omdat ze niet de stock willen aanhouden voor die producten. De kern van hun bedrijf blijft handel in elektronica.

kodak

Beveiliging en antivirus
Hackers

@Aldy • 11 maart 2023 15:23

Leg dan maar uit wat jou definitie over geld veilig stellen en houden hier dan voor verschil maakt. Want het grootste deel van wat banken doen is tegenwoordig digitaal om je geld veilig te beheren en geld te verhandelen. Je voorbeeld veranderd niets aan de verantwoordelijkheid. En daar gaat de discussie en het testen om.

Aldy @kodak • 11 maart 2023 15:34

Het maakt toch helemaal niets uit of het bankieren fysiek (met een beveiligde kluis) of digitaal gaat. Bankieren blijft de corebusiness. En ik vind het prima dat je vindt dat de discussie over het testen gaat, want daar ben ik het helemaal mee eens, maar ik ben de discussie over het uitbesteden niet begonnen. Dus misschien moet je je pijlen op die persoon richten.
Daarnaast worden bij Tweakers meestal de randzaken onder vuur genomen, maar ik wil je je er graag aan herinneren als ik zie dat je zelf off-topic bent.

[Reactie gewijzigd door Aldy op 24 juli 2024 08:43]

the_stickie @Aldy • 11 maart 2023 15:09

"Bankieren" is 100% IT dezer dagen.
Imo is er niks in de definitie van corebusiness dat bedrijven weerhoudt delen ervan uit te besteden - dat gebeurt ook voortdurend.

Aldy @the_stickie • 11 maart 2023 15:58

Zeker is bankieren tegenwoordig bijna uitsluitend digitaal, maar IT is een hulpmiddel.
En een goed voorbeeld van uitbestede corebusiness is de automobielindustrie, die zo ongeveer behalve de carrosserie en het chassis alles uitbesteedt.

denonman1 @Aldy • 12 maart 2023 00:06

Als jij denkt dat anno 2023 IT slechts een 'hulpmiddel' is bij bankieren, dan zit je er toch wel een beetje naast. Banken zijn tegenwoordig IT bedrijven met financiele producten.

Aldy @denonman1 • 12 maart 2023 13:05

Dus volgens jou is elk bedrijf een IT-bedrijf, want zelfs de bakker op de hoek doet tegenwoordig z'n boekhouding digitaal.

Dutch.IT @denonman1 • 13 maart 2023 16:53

Klopt volledig. De (nationale) bank waar ikzelf als IT'er werkzaam ben noemt zichzelf ook een IT organisatie met een bank licentie.

Tintel

Politiek en recht

@Aldy • 11 maart 2023 15:59

Als ze de beveiliging zelf doen is dit geen corebusiness, want dit kunnen ze uitbesteden.

de bank moet giraal geld veilig houden/stellen en 'verplaatsen'. Dus waarom is het geen core-business dan?

Een bakker kan brood bakken en verkopen maar ook het bakken uitbesteden...is het dan nog een bakker? In de volksmond wel - want daar haalt men het brood. Maar het is toch wel core-business te noemen.
Feitelijk kan alles worden uitbesteeds tegenwoordig. Belangrijker is dat het een noodzakelijk onderdeel is van de business.

Aldy @Tintel • 11 maart 2023 16:04

Er zijn de nodige bedrijven geweest die onderdelen hebben afgestoten met als reden dat ze terug gingen naar de corebusiness. Wil dat zeggen dat ze een corebusiness aan het afstoten zijn?
Heb overigens net een voorbeeld gegeven van uitbestede corebusiness: De automobielindustrie, die zo ongeveer behalve de carrosserie en het chassis alles uitbesteedt.
Maar IT is voor een bank een hulpmiddel.

Tintel

Politiek en recht

@Aldy • 11 maart 2023 16:10

Okay? Dan zijn we het toch eens? Alleen zou ik IT voor een bank niet zien als een

hulpmiddel

. Zonder IT geen bank. Wie de IT dan ook uitvoert (de bank of een extern bedrijf).

Want een oven is voor een bakker ook een hulpmiddel maar zonder oven geen bakkerij. Om die reden noemen we de oven dus cruciaal voor de bedrijfsvoering. Dat is dus bij een bank de IT.

Maar of ze het uitbesteden of niet, dat maakt mij niet uit.

denonman1 @Aldy • 12 maart 2023 00:07

Eerder ook al aangegeven: IT voor een bank inmiddels wel degelijk core business

StGermain @Tintel • 12 maart 2023 17:41

In Vlaanderen hebben we bakkers die brood en aanverwanten verkopen en “warme” bakkers die zelf bakken en verkopen.

the_stickie @Aldy • 11 maart 2023 14:27

Oneens. Banken hebben als corebusiness geld te beheren en daar een cent op te verdienen. Geld beheren (ontvangen, stockeren, uitgeven,...) is allemaal digitaal. Zelfs stromen 'echt geld' worden door computersystemen beheerd. Zorgen dat ze geen geld (kunnen) kwijtspelen is de hele kern (core) van de zaak (business).
Bovendien moet je in de financiële sector voortdurend je betrouwbaarheid aantonen, tav je klanten, maar zeker ook tav andere bedrijven in de sector (om bijvoorbeeld geld te kunnen ontvangen van andere banken).
Vandaar ook dat de financiële wereld 'vrijwillig' voldoet aan allerlei strenge security vereisten (bijv PCI DSS)

blissard @Frame164 • 11 maart 2023 13:01

Als meerdere banken hun ICT bij 1 bedrijf neerleggen, dan heeft inbreuk op dat bedrijf mogelijk een groter effect.
Het verkleint mogelijk de kans, maar vergroot het effect.

[Reactie gewijzigd door blissard op 24 juli 2024 08:43]

sprankel @blissard • 11 maart 2023 13:53

Het is verkeerd geïnterpreteerd

Enria said that part of the problem is that banks are outsourcing some of their critical IT infrastructure to outside providers or other entities in their group.

Het ging niet om dat een 3de partij de boel beheerd, het probleem is dat de boel bij een 3de partij staat.

"other entities in their group"

Bijvoorbeeld, Deutsche Bank Nederland N.V is onderdeel van Deutsche Bank AG wat 9/10 wilt zeggen dat alle infrastructuur van deze Nederlandse bank waarschijnlijk in Duitsland staat. Dat vinden we vermoedelijk nog niet zo erg gezien het binnen de EU blijft.

Maar ABN AMRO Commercial Finance is ook actief in de UK, dan gan je al buiten de EU, ABN AMRO Funding USA LLC, de naam zegt het zelf.

Société Générale, een van de grootste banken in Frankrijk is dan weer (of was) vollop actief in Rusland.

Je zit dus met financiele groepen die banken in het buitenland openen maar al die losse banken hebben niet altijd hun eigen infrastructuur net zoals andere internationale ondernemingen echt geen compleet losse IT infrastructuur opzetten voor elk land waar ze actief zijn.

Dan is er net zoals bij andere bedrijven ook nog het probleem dat het wel goedkoper is om die infrastructuur niet in een duur land als Nederland of Duitsland te zetten maar in een goedkopere entity of the group.

"outside providers"

Ik heb persoonlijk meegemaakt dat een grote bank overweegde om destijds heel hun interne mail infrastructuur weg te gooien gezien Google ze destijds gratis wou overnemen op hun cloud platform (uiteraard zou dat niet gratis blijven, we spreken meer dan 10 jaar terug). Dat is pas last minute afgeschoten omdat een legal departement een veto gesteld heeft waarbij men het niet kon vinden dat een 3de partij toegang zou hebben tot alle confidentiele mails alsook was er toen nog geen sprake om bij Google zuiver op EU servers te draaien.

De ECB stelt nu dus de vraag wat is nu eigenlijk het risico daarvan? Wat als een cyber aanval een stuk van een bank kan isoleren van de infrastructuur die ergens anders staat? Wat als een overheid plots sancties invoert en een bank afgesneden word?

Dat gaat ook in omgekeerde richting, wij zijn mogelijks niet geïntresseerd dat een dochterbank in Brazilië omvalt omdat al hun infrastructuur in de EU staat omdat Brazilië sancties tegen de EU heeft ingevoerd. Echter de ECB is wel geïntresseerd want als die dochteronderneming omver valt dan klopt iemand zijn balans in de EU niet meer.

Aldy @blissard • 11 maart 2023 13:59

Uitbesteden wil niet zeggen dat je beveiliging op dezelfde plek gevestigd is als de beveiliging van een andere bank. De beveiliging zit gewoon in de infrastructuur van je it.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Aldy • 11 maart 2023 16:11

De beveiliging zit gewoon in de infrastructuur van je it.

Of eigenlijk niet. Informatiebeveiliging is een continu proces en bestaat uit veel meer dan alleen (technische) controls binnen de infrastructuur. De infrastructuur en alle beveiligingszaken die daar binnen geregeld zijn maken hier maar een (klein maar belangrijk) deel van uit.

Aldy @Bor • 11 maart 2023 16:17

Wat ik bedoelde was dat het niet gevaarlijk is als één beveiligingsbedrijf voor meer banken werkt. De bank wordt daar niet kwetsbaarder door.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Aldy • 11 maart 2023 16:28

Ook dat hangt er vanaf; een gemaakte fout of over het hoofd gezien risico kan op die manier invloed hebben op meerdere banken.

Aldy @Bor • 11 maart 2023 16:32

Mee eens, maar dit ging over dat de beveiliging van al die banken fysiek op één plek zit. Maar dat is natuurlijk niet zo. Gelukkig werken er meestal verschillende mensen voor de verschillende banken, maar het risico van één gemaakte structurele fout is een risico voor meer banken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Frame164 • 11 maart 2023 16:09

Ik zie niet direct in waarom uitbesteden aan een competente partij een hoger risico zou hebben dan het laten beheren en bouwen door een minder competent eigen team.

Je stelt nu hier iets wat in het originele stuk niet staat, namelijk dat de extern partij competent is maar de interne partij niet. Is er een specifieke reden om deze invalshoek te kiezen? Aan uitbesteden kleven vanuit beveiligingsoogpunt een paar nadelen of minstens zaken waar je je van bewust moet zijn. Er bestaat bijvoorbeeld een risico om minder duidelijke aansprakelijkheid, het minder direct kunnen sturen, minder direct op de hoogte kunnen zijn van de mate van exposure maar ook speelt de vraag of een externe partij wel zo toegewijd is als een interne partij. Hoe goed zijn de procedures en de screening bij de toeleverancier? Stakeholder en supplier management zijn een vak apart.

Verwijderd @Frame164 • 11 maart 2023 16:43

In het geval van banken kan je er aan denken dat het een risico kan zijn als de derde partij slecht met hun eigen beveiliging om gaat. Zie bv in de afgelopen jaren meerdere voorbeelden waarbij er een lek ontstond omdat manager of ICT-beheerder van de derde partij hun inloggegevens publiekelijk liet rondslingeren of toestemming via de MFA gaf voor de inlog zonder even te kijken waar de inlogpoging van was.

In het geval van eigen beheer kan je in principe het nog vlug tracken, als dat komt door de derde partij heb je een veel groter probleem.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 08:43]

DigitalExorcist @Frame164 • 11 maart 2023 22:58

Nja, kijk als voorbeeld even naar Kaseya onlangs. Enorme hack met enórm veel impact toen hun remote control meuk gekraakt werd.

Een bedrijf dat zégt specialist te zijn in IT is ook niet alles.

MrMonkE @Frame164 • 12 maart 2023 09:47

Zoals een slager die zijn eigen vlees keurt.

downtime @Frame164 • 12 maart 2023 12:54

Het risico is dat je overzicht verliest. Zo was er enkele jaren geleden een rel in Zweden omdat hun dienst voor het wegverkeer z’n IT uitbesteedde naar IBM, op het eerste gezicht een degelijke partij, zonder te weten dat IBM dat in datacenters in Servië onderbracht, terwijl die dienst voor het wegverkeer ook gevoelige defensiegegevens beheert, en Servië sterk pro-Russisch is. Was gewoon niet op gelet bij het aanbesteden van dat contract, maar het zou nooit een punt zijn geweest toen de Zweden dat nog inhouse deden, want elke medewerker zou vragen hebben gesteld als iemand had voorgesteld om een datacenter in Servië in te huren.

downtime @Frame164 • 12 maart 2023 12:57

Of wat er bij DNB gebeurde: Degelijke Nederlandse IT-club ingehuurd wat vervolgens een enorm reputatie-risico voor de organisatie oplevert omdat de directeur van die IT-club ze bij nader inzien niet allemaal op een rijtje heeft.

kodak

Beveiliging en antivirus
Hackers

11 maart 2023 13:46

De ECB weet al jaren dat banken werk als IT en beveiliging uitbesteden. Volgens Reuters hebben ze al heel lang gewaarschuwd. Nu er aanvallen zijn willen ze pas testen? Wat zorgt er dan nu voor dat ze menen nu pas te moeten testen? Hebben ze kennelijk opeens geen vertrouwen meer in wat ze zelf als eisen stelden? Of waren ze het eigenlijk al van plan en gebruiken ze deze aanvallen als extra overtuiging om banken mee te laten werken?

[Reactie gewijzigd door kodak op 24 juli 2024 08:43]

PjotterP @kodak • 11 maart 2023 14:17

Jij doet alsof dit een soort overlooked thema is terwijl dit al enige tijd behoorlijk stevig is gereguleerd.

kodak

Beveiliging en antivirus
Hackers

@PjotterP • 11 maart 2023 14:43

Ik stel kritische vragen omdat het nieuws en de ECB hier niet duidelijk zijn.

Reguleren is niet hetzelfde als genoeg testen, anders gaan ze het nu niet opeens doen. En als ze het testen vanuit de ECB hier niet opeens doen, dan mag dat er wel duidelijk bij gemaakt worden.

Keypunchie @kodak • 11 maart 2023 18:49

Het dreigingsprofiel is door de invasie in Oekraïne veranderd.

Of beter gezegd: er zijn wat alarmbellen afgegaan.

Net zoals dat de Europese energie-afhankelijkheid van Rusland heel lang vooral een specialisten- en borreltafelthema was, geldt hetzelfde voor kritieke IT infrastructuur.

Ook hier is men heel hard en snel aan het realiseren dat ‘zoveel mogelijk aan de markt’ overlaten een kwetsbare positie voor een maatschappelijk en economische vitale functie heeft gecreërd.

kodak

Beveiliging en antivirus
Hackers

@Keypunchie • 12 maart 2023 10:56

Een dreiging is niet zomaar anders omdat een theoretische aanval (waar de ECB kennelijk al langer voor waarschuwde) praktijk is. Natuurlijk kan de ECB dan bepaalde aanvallen als lager risico zien dan aanvallen die wel praktijk zijn. Maar banken hebben al sinds hun bestaan last van aanvallen, dus het risico is hier niet zomaar hoger. Dan is er of iets gebeurt waar ze te weinig rekening mee hadden gehouden, of ze gebruiken iets waar ze ook al rekening mee hielden als selectief excuus om toch maar eens te oefenen. Beide gevallen is zorgelijk, het doel van oefenen is namelijk om voorbereiding te hebben niet om achteraf te testen. Het oefenen op zich is niets mis mee, maar de motivatie van de ECB lijkt er te zijn om achteraf eens wat te gaan doen. Na meer dan een kwart eeuw aan aanvallen eens gaan oefenen vanuit de ECB?

pierce 11 maart 2023 15:27

Vanuit de DNB is hier al enkele jaren een programma voor onder de naam TIBER.
Hierin worden financiële instellingen op zeer geavanceerde en realistische wijze getest op hun productie omgevingen.
Meer info https://www.dnb.nl/voor-de-sector/betalingsverkeer/tiber-nl/

Dat gezegd hebbende ben ik erg benieuwd wat de ECB dan voor ogen heeft…

[Reactie gewijzigd door pierce op 24 juli 2024 08:43]

RobbieB @pierce • 11 maart 2023 19:56

De hele nieuwe DORA wetgeving van de EU is gebaseerd op de NL aanpak… incl TIBER

FrostyPeet 11 maart 2023 17:55

Nuttig, afvinklijstjes en procedures tegen het licht houden. Wat mij echter keer op keer opvalt is dat er nauwelijks persoonlijke aansprakelijkheid is. Een straf wordt afgeschikt, beterschap beloofd, een of ander bureau ingehuurd, bonussen wat minder. Maar echt pijn zal de gemiddelde bankmanager niet voelen.

Ik vrees dat we nog angstige tijden doormaken als banken door een reeks cyber aanvallen hun website een week of 2 uit de lucht moeten halen, of dat contactloos betalen 1 week niet werkt. Helemaal als ze bij de interne administratie komen en random mutaties op de rekeningen kunnen uitvoeren. Het zou zomaar kunnen dat landen waar nog veel contant geld in omloop is, er beter door heen komen.

batjes @FrostyPeet • 12 maart 2023 06:02

We hebben in 2008-2009 ook niemand verantwoordelijk gehouden. We hebben als samenleving mooi laten zien dat ze er makkelijk mee weg komen.

Als we ergens voor met fakkels in opstand hadden moeten komen. Was dat voor die bankencrisis geweest,niet vanwege een paar corona maatregelen.

Maar goed, wat verwacht je in een land waar de minister president vrolijk mag blijven zitten, ondanks de vele, vele en grote schandalen.

Marve79 11 maart 2023 13:01

In de VS is alweer een bank omgevallen. Misschien je focus leggen op de solvabiliteit van de banken hier?

Myaimistrue @Marve79 • 11 maart 2023 13:03

De solvabiliteitseisen liggen in Europa een stuk hoger dan in de VS.

vinkjb @Marve79 • 11 maart 2023 13:50

Banken hebben zat geld alleen vaak niet in contanten, dus als men naar de pin automaat loopt dan is het keer op voor iedereen en dat heeft de bank dan ook niet meer. Het geld zit in bakstenen zeg maar en aandelen en van alles en nog wat.
Met jou en mijn geld doen ze investeringen, dat doen ze niet in een kluis zodat wij het over x tijd kunnen opnemen.

Maurits van Baerle

Europese unie

@Marve79 • 11 maart 2023 15:45

De solvabiliteit van Europese Banken wordt al door de ECB in de gaten gehouden. Ze stellen eisen aan de hoeveelheid kapitaal die per afdeling/dienst aangehouden moet worden en ze doen regelmatig stresstests met de grotere banken om te kijken hoe die bank verschillende scenario’s zou overleven.

Maar, dit is Tweakers dus lees je iets over de cybersecurity stresstest en niet de capital requirements stresstest.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 08:43]

batjes @Marve79 • 12 maart 2023 06:03

Is een kleine investeringsbank voor startende bedrijven.

Wells Fargo die geld van klanten 'kwijt is', is wat grappiger. Iedereen die nu nog bij Wells Fargo zit, mag failliet raken. 1 van de grote banken die verantwoordelijk was voor de bankencrisis.

Kalief 11 maart 2023 15:17

Aan mijn saldo te zien wordt mijn bankrekening al jaren getest op weerbaarheid. 😥

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (49)

Sorteer op:

Weergave: