ECB kondigt stresstest met cyberaanval aan voor reactievermogen Europese banken

De Europese Centrale Bank gaat 109 banken aan een stresstest onderwerpen waarbij de weerbaarheid tegen en herstel van cyberaanvallen bestudeerd wordt. De ondervindingen van het onderzoek worden deze zomer gepresenteerd.

"Bij deze oefening wordt bekeken hoe banken reageren op en herstellen van een cyberaanval, niet of de banken in staat zijn om een dergelijke aanval te voorkomen", aldus de ECB. Volgens de overkoepelende bankenorganisatie is het uitgangspunt dat er een succesvolle cyberaanval heeft plaatsgevonden; het normale functioneren van de banken wordt hierdoor aangetast en noodprotocollen worden getest om te kijken of de banken weer snel hun dagelijkse bezigheden kunnen hervatten.

Verder kondigt de ECB een diepgravend onderzoek van 28 banken aan. Bij deze steekproef worden verschillende soorten banken op verschillende plekken gevraagd om extra informatie te geven over hun cyberaanvalrespons. Op deze manier zouden Europese banken meer van elkaar moeten kunnen leren.

De Europese Centrale bank beheert grofweg 113 'significante Europese banken', waaronder ook de Nederlandse banken ING, ABN AMRO, De Nederlandsche Bank, De Volksbank en Rabobank. De overkoepelende organisatie zegt de Europese bankensector stabiel te willen houden. Het EU-orgaan kondigde de stresstest in maart van 2023 aan naar aanleiding van de invasie van Oekraïne door Rusland. Toen werd er nog gesproken over een test van alleen de grote banken.

Reacties (37)

RobbieB 3 januari 2024 16:00

Dit is niet nieuw voor NL banken. De grootbanken doen dit al jaren onder mom van het TIBER-programma van de DNB: https://www.dnb.nl/voor-de-sector/betalingsverkeer/tiber-nl/

Met de nieuwe DORA-wetgeving (een soort NIS2+ voor financiele instellingen) wordt dit ook voor andere Europese banken verplicht, waarbij deze 'stresstest' grotendeels gebaseerd is op de manier waarop de NL banken dit al deden. De DNB heeft een behoorlijke vinger in de pap gehad bij het vormgeven van dit stuk van de DORA-wetgeving op Europees niveau. NL is hier echt een voorloper in binnen de EU.

Het mooie van dit programma is dat de DNB afdeling die deze testen coordineert losstaat van de toezichthouder. Rapporten, bevindingen en andere zaken kunnen dan dus ook openlijk besproken (en gedeeld met andere banken) worden zonder dat hier direct negatieve consequenties aan zitten. Dit is ook 1 van de belangrijkste eisen destijds geweest van de NL banken om dit programma op te zetten.

Overigens worden deze testen niet uitgevoerd door de DNB zelf, die coordineert ze alleen, maar door gerenommeerde pentest partijen. Waarbij het een vrij heftige selectie is om toegelaten te worden, niet iedere pentest partij kan/mag zomaar een TIBER-oefening uitvoeren in opdracht van de DNB.

En dit zijn serieuze testen, waarbij aanvallers daadwerkelijke threat actors simuleren en ook dezelfde TTP's gebruiken conform het MITRE-ATT&CK-framework. Denk daarbij dus bv. aan een partij die een lockbit of fancy bear aanval simuleert. Dit soort testen duren dan ook niet 1 of 2 weken, maar daar kan soms meerdere maanden overheen gaan voordat een partij binnen is bij een financiele instelling, want ondanks de (onwetende) comments die hier nu vooral staan, hebben NL banken hun zaken best goed op orde als het aan komt op cyber-resilience.

[Reactie gewijzigd door RobbieB op 23 juli 2024 08:13]

DdeM 3 januari 2024 14:53

Ah vandaar die storing bij Rabobank vannochtend

On topic: goed dat dit gedaan wordt, mogen ze wel bij met organisaties dan alleen banken doen.

Maurits van Baerle

Europese unie

3 januari 2024 15:14

De Europese Centrale bank beheert grofweg 113 'significante Europese banken'

Het woord 'beheert' is een beetje vreemd hier want deze banken zijn geen eigendom van de ECB, ze houden er alleen speciaal toezicht op.

Voor de meeste banken geld dat ze enkel onder het toezicht van hun nationale centrale bank staan en van de European Banking Authority in Parijs (voordat ze vanwege de Brexit moesten verhuizen zaten ze in Londen). De EBA doet ook alle normale stresstests, toezicht op de hoeveelheid kapitaal die ze in huis moeten hebben en andere algemene gezondheidseisen.

Voor de 113 'systeembanken' uit dit artikel geldt dat het banken zijn die dermate groot zijn dat een probleem daar een verregaande impact op de bredere Europese economie kan hebben, denk aan de financiële crisis van 2008 die ver buiten de financiële sector impact had. Voor deze systeembanken geldt extra streng toezicht en daar komt de ECB dus om de hoek kijken met extra tests. Omdat de stabiliteit van deze banken van groter belang is voor de hele economie, niet alleen voor hun eigen klanten.

Aldy @Maurits van Baerle • 4 januari 2024 14:54

Het woord 'beheert' is een beetje vreemd hier want deze banken zijn geen eigendom van de ECB

Beheren heeft toch totaal niets met eigendom te maken? Beheren is toezicht houden of iets uitvoeren in opdracht van de eigenaars.

Nodge.1975 3 januari 2024 15:35

Precies wat ik dacht, de week van de aanval een tijdelijk service contract voor een DDoS aanval wasstraat, secundair glasvezel via Duitsland o.i.d. firewalls opschalen.

Ik wou dat aanvallen altijd werden aangekondigd... scheelt een hoop stress..

Orangelights23 @Nodge.1975 • 3 januari 2024 15:44

Jij denkt dat een grote bureaucratische organisatie als een bank dit in een paar weken compleet voor kan bereiden? En dat ze niet kijken naar aanvullende bewijsmateriaal dat ze het proces het gehele jaar onder controle hebben?

De bankensector is compleet anders dan jouw reactie nu schetst.

Aldy @Orangelights23 • 4 januari 2024 15:03

Wat ik begrijp, gaat het hier niet eens over de aanval zelf, want die is al geweest en heeft succes gehad. Dit gaat er toch over hoe snel de bank weer in de lucht is en weer operabel is. Ik kan mij zelfs voorstellen dat als er één heel grote bank binnen Europa de zaakjes niet op orde heeft, dit een groot probleem kan vormen voor de andere Europese banken.
Ik hoop dat Tweaters ook een artikel wijdt aan de uitkomsten.

Orangelights23 @Aldy • 4 januari 2024 15:54

Klopt, dit gaat om zogeheten systeembanken die een grote impact op de Europese samenleving hebben als ze tijdelijk onbereikbaar zijn. In Nederland zijn dit bijvoorbeeld ABN, IN, Rabobank en SNS. Uitkomsten zijn zeker interessant!

Buitenaerts @Nodge.1975 • 3 januari 2024 19:13

Zou wel schrale test zijn als het alleen een DDOS aanval zou zijn, gaat wel iets dieper zie top reactie van RobbieB hierboven.

Powerblast @Nodge.1975 • 3 januari 2024 19:22

Denk dat je als bank ook wel de boeken kan sluiten als je daar op betrapt wordt. Denk niet dat de toezichthouder dit zomaar zou laten passeren.

Prysm Software 3 januari 2024 16:35

Deze stresstest zeggen helemaal niks, kijk maar hoe die zijn uitgevoerd met betrekking tot het vermogen van de banken na de crisis deze werden totaal niet op vol vermogen uitgevoerd bij de invoering, anders hadden alle banken gefaald, (staat in hun eigen raport), dus nogmaals dit zegt helemaaal niks.

[Reactie gewijzigd door Prysm Software op 23 juli 2024 08:13]

Jim80 3 januari 2024 20:09

Een mogelijke noodprocedure voor de ondertussen geïmpacteerde bevolking: laten we bonnen maken ter waarde van 5, 10, 20, 50, 100 en 200 eur. Elk in een andere kleur en op stevig, wasmachinebestendig papier. Deze kan men altijd en overal gebruiken om te betalen, vervallen nooit en kennen geen transactiekosten. Werkt altijd, overal en offline.

Aldy @Jim80 • 4 januari 2024 15:09

En hoe komt de consument aan deze 'bonnen'? En zie je al iemand van een bedrijf met een tas vol 'bonnen' naar een ander bedrijf gaan om een grote aankoop te doen? Zeg van een paar miljoen aan 'bonnen'? Hoe wil je overigens de crimineel verkregen 'bonnen' buiten de deur houden?

Jim80 @Aldy • 4 januari 2024 18:38

Ik doelde uiteraard op deze bonnen

Aldy @Jim80 • 4 januari 2024 19:02

Welke dacht jij dat ik bedoelde? Daarom staan mijn 'bonnen' tussen aanhalingstekens. Vandaar ook mijn laatste regel. Hoe wil je dat oplossen, eigenlijk hoe zie je de betalingen tussen bedrijven?

denios 4 januari 2024 01:13

Een aangekondigde stresstest

mhnl1979 3 januari 2024 14:52

Dan kan de Rabobank wel inpakken. Die hebben zo vaak een storing zonder aanval van buitenaf...

wildhagen

Cybercrime
Beveiliging en antivirus
Politiek en recht
Europese unie

@mhnl1979 • 3 januari 2024 14:55

Valt best mee, ING heeft regelmatiger storingen bijvoorbeeld.

Maar die vallen dus niet onder deze stresstest. Die heeft immers betrekking op een cyberaanval, een "normale" storing is geen aanval, maar precies dat: een storing.

Niet alle downtime is meteen een cyberaanval namelijk. Sterker nog, het merendeel van de downtime komt niet eens door een aanval.

Daarnaast gaat het zoals het artikel al stelt dus om (de snelheid van) herstel van zo'n aanval. Dat het herstel van de storing van vanochtend erg snel was, pleit dus juist vóór de Rabobank

[Reactie gewijzigd door wildhagen op 23 juli 2024 08:14]

CH4OS @wildhagen • 3 januari 2024 15:09

Al lan door een cyberaanval dan weer best een storing ontstaan natuurlijk.

Aldy @CH4OS • 4 januari 2024 15:12

Die emoticon is eigenlijk onterecht, want je hebt volkomen gelijk. Daarom is zo'n test superbelangrijk. De bank kan zich nergens achter verschuilen als ze falen.

The Zep Man

Beveiliging en antivirus
Politiek en recht

@mhnl1979 • 3 januari 2024 14:56

Dan kan de Rabobank wel inpakken. Die hebben zo vaak een storing zonder aanval van buitenaf...

"Bij deze oefening wordt bekeken hoe banken reageren op en herstellen van een cyberaanval, niet of de banken in staat zijn om een dergelijke aanval te voorkomen"

Gezien de Rabobank volgens jou vaak storing heeft, zou je verwachten dat ze goed zijn in reageren op en herstellen. Dat is juist waar deze test zich op richt.

mhnl1979 @OLED • 3 januari 2024 16:25

Dat klopt. De rabobank is een drama. Heb daar dagelijks mee te maken. Maar ja. Als je er voor kiest om je software te maken voor 80% van je klanten en een middelvinger naar de rest op te steken...

smv @mhnl1979 • 3 januari 2024 16:46

Stap dan over naar een andere bank ;-).
Ik lees ook niks anders over de ING dat ze altijd storing hebben.

Het is zo makkelijk om alleen maar te roepen het is een klote bank, ze hebben altijd storing etc...
De percentage die ze moeten behalen jaarlijks voor online zijn, behalen ze anders toch nog altijd ;-).

kimborntobewild @smv • 4 januari 2024 00:14

Het is belangrijker om voor een bank te kiezen die meer maatschappelijk verantwoord onderneemt. Zoals Triodos.

smv @kimborntobewild • 4 januari 2024 07:47

https://nl.trustpilot.com/review/triodos.nl

neem vooral een betaalpas bij ze, je kan nergens ermee betalen. Goede bank! $_/-\o_$ $_/-\o_$ $_/-\o_$

kimborntobewild @smv • 4 januari 2024 11:49

Blijkbaar hebben ze meer personeel beschikbaar in de UK:
https://nl.trustpilot.com/review/triodos.co.uk
Daar is de waardering van Triodos veel hoger.
Het is natuurlijk niet goed als de service in NL niet goed is. Niettemin is de waardering van Triodos in nl.trustpilot.com wel hoger dan bijv. ING, Rabo, Knab.
Ikzelf heb geen helpdesk nodig gehad, of een zakelijke rekening bij Triodos, dus ikzelf kan daar niet zo goed over oordelen.
Ik denk dat mensen die verantwoord willen ondernemen en dan teleurgesteld zijn juist omdat ze voor Triodos hebben gekozen, eerder in de pen klimmen dan bij andere banken.

Met mijn Triodos-betaalpas kan ik gewoon overal betalen. Soms moet ik de pas een 2e keer in het apparaat steken bij de AH of Lidl of benzinepomp, dat wel. Bij de loempia-kar gaat het altijd de 1e keer al goed. Dus er zit toch een technisch verschil tussen de paslezers bij de verschillende bedrijven.
Vroeger zat ik bij een andere bank, daar had ik dezelfde problemen met het 'soms niet accepteren van de pas'. Even de chip poetsen met een doekje, en de pas wordt weer geaccepteerd.
NB: als de pas niet goed gelezen kan worden, dan komt er vaak een melding in de geest van 'Deze pas wordt hier niet geaccepteerd.'. Een vreselijk incorrecte foutmelding. Een betere foutmelding zou zijn: 'We konden de pas helaas niet goed lezen. Maak de chip schoon, en probeer het nog eens.'.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:13]

Aidix @kimborntobewild • 4 januari 2024 07:02

Dat is toch die bank waarvan de certificaathouders al 3 jaar (inmiddels misschien bijna 4?) niet bij hun geld kunnen? Klinkt betrouwbaar 🤣

[Reactie gewijzigd door Aidix op 23 juli 2024 08:13]

familyman @Aidix • 4 januari 2024 11:12

Zeker, Je kan er echt niet bij, ook niet per ongeluk wel

kimborntobewild @Aidix • 4 januari 2024 11:52

Triodos heeft zich daar duidelijk verslikt.
Een kleine bank moet zich niet met zulke risicovolle producten inlaten.
In feite zijn die certificaten een andere vorm van aandelen/beleggingen. Een slechte vorm. En niet geschikt voor particulieren, of voor een kleine bank zoals de Triodos.
Je moet alleen steken geld in aandelen(-achtige zaken) met geld wat je over hebt.
Gemiddeld gesproken verlies je als zijnde particulier altijd geld, als je geld steekt in aandelen/beleggingen.
Het is puur gokken. En dat pakt zelden goed uit.

Wat mij betreft gaat de EU het banken in de EU verbieden om aandelen/beleggingsproducten aan te bieden aan particulieren.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:13]

Orangelights23 @Verwijderd • 3 januari 2024 15:16

Heb je ervaring bij banken? Want je reactie doet tonen alsof dat niet zo is…

Ik heb bij een fintech gewerkt en daar werd vaker dan 1 keer per jaar een brief gestuurd: beste bank, over twee weken komen we met 20 auditors langs. En wij waten geen uitzondering, of hadden grote constateringen in de voorgaande rapporten. En je kunt je als bank echt niet in een paar maanden voorbereiden als je weinig of niets aanwezig hebt…

Ik juich dit juist toe, zeker omdat juist de financiële sector al aan veel cyber security eisen moet voldoen.

Verwijderd @Orangelights23 • 3 januari 2024 20:55

Ik juich dit juist toe, zeker omdat juist de financiële sector al aan veel cyber security eisen moet voldoen.

Waar maak je uit op dat ik het niet toejuich? Wat ik echter niet toejuich is dat het steeds aangekondigd wordt. Het mooiste zou zijn dat er met regelmaat "at random" controles, audits etc. plaatsvinden.

Daarmee voorkom je vooral dat aandacht verslapt en kan zelfs nog sneller worden geanticipeerd op aanvallen, downtimes etc. Of te wel, audits/controles etc. ? Jazeker, maar zonder enige vooraankondiging.

Orangelights23 @Verwijderd • 3 januari 2024 21:46

Dit gaat om een stresstest, ingevoerd na de economische crisis van 2008. Dit is een compleet separaat traject naast de reguliere audits.

DataGhost

@Verwijderd • 3 januari 2024 15:22

De belangen van banken lijken me te groot om ook zonder controle/stresstest te willen zorgen dat hun (tegenwoordig) primaire punt van dienstverlening zoveel mogelijk bereikbaar blijft. Deze test lijkt me dan ook meer om te zien of daar inderdaad voldoende aan gedaan is of dat er misschien fouten in de procedures zitten. En dit is wederom vooral voor de banken zelf belangrijk. Naast dat ze misschien een flinke tik op de vingers kunnen krijgen, kunnen eventuele grote gevolgen van deze test zorgen voor een fors verlies van klanten met alle gevolgen van dien.

Verwijderd @DataGhost • 3 januari 2024 21:00

De belangen van banken lijken me te groot om ook zonder controle/stresstest te willen zorgen dat hun (tegenwoordig) primaire punt van dienstverlening zoveel mogelijk bereikbaar blijft. Deze test lijkt me dan ook meer om te zien of daar inderdaad voldoende aan gedaan is of dat er misschien fouten in de procedures zitten. En dit is wederom vooral voor de banken zelf belangrijk. Naast dat ze misschien een flinke tik op de vingers kunnen krijgen, kunnen eventuele grote gevolgen van deze test zorgen voor een fors verlies van klanten met alle gevolgen van dien.

Wederom, waar zeg ik dat ze geen audits/tests/controles moeten uitvoeren? Het enige wat ik zeg is dat ze het niet moeten aankondigen. Een cyberaanval, hack etc. wordt ook niet vooraf aangekondigd. Daarnaast moeten dergelijke zaken at random worden uitgevoerd zodat je mogelijk een beter beeld krijgt of het bankwezen überhaupt 100% gereed staat. Middels een schrijven weet je gewoon dat de aandacht kan verslappen en men juist vanwege de audit meer gaat opletten.

Dat bedoel ik dus ook met controles bij hotels en restaurants, als er een controle komt wordt het aangekondigd en over het algemeen komt het merendeel dan beter uit de bus. Komt vervolgens een Rob Geus (jaren geleden) onaangekondigd dan valt het nodige te zeggen over (sociale) hygiëne.

Ik juich audits etc. dus alleen maar toe, maar vind het publiceren/aanschrijven van tenten alvorens een audit wordt uitgevoerd belachelijk aangezien het vaak geen goede inzicht en beeld vormt.

DataGhost

@Verwijderd • 3 januari 2024 22:08

Maar een aankondiging van "we komen ergens in het komende halfjaar langs" is iets heel anders dan "we staan op 20 april om 13:37 op de stoep en zijn twee uurtjes later weer weg". Je moet namelijk heel dat halfjaar klaarstaan met al je procedures en als dat al zo lang normaal is geweest dan... ja, dan is het normaal geworden. Als het dat nog niet was dus. Win-win toch?

Ik hoop dat je snapt dat het afweren van een cyberaanval van een compleet andere orde is dan even een extra dweil door de keuken halen en je personeel een fooi geven om die aangekondigde dag extra beleefd te zijn. Daar zijn minimaal procedures, draaiboeken en failoversystemen en -netwerken voor nodig die je niet zomaar even in elkaar knalt voor dat ene momentje. Zeker niet als het je dienstverlening bedreigt, wat in het geval van een vieze keuken helemaal niet opgaat, uit een vieze keuken kan je prima eten serveren aan onwetende klanten, maar met een systeem wat platligt kan je niet bankieren en dat werkt veel verder door. Dus als je die hele failover-infra en het circus eromheen klaar hebt staan om de test te doorstaan, ga je dat niet daarna weer aftuigen, dan heb je ontzettend veel tijd en geld verspild en je brengt je core business weer in gevaar. Extreem dom.

Ik zeg ook helemaal niet dat ze niets moeten testen. Aankondigen heeft verder bij de meeste banken als het goed is geen invloed. Als het dat wel heeft is dat alleen maar goed, beter dan dat over een halfjaar pas duidelijk wordt dat de procedures niet goed waren. Ook is hiermee niet gezegd dat dit de enige test is die ze gaan doen, wie weet blijft het gewoon een permanent random ding, elke paar dagen een andere bank.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (37)

Sorteer op:

Weergave: