De Nederlandsche Bank (DNB) is van plan om zelf instanties in de financiële sector te gaan hacken. Bestuurder Petra Hielkema van DNB zegt dat dinsdag tegen het Financiële Dagblad. Deze zogenaamde ‘operatie Tiber’ (Threat Intelligence Based Ethical Red teaming) moet de cyberweerbaarheid van de sector vergroten.
Een team hackers krijgt bij Tiber de opdracht van cybersecuritybedrijven om bij een bepaalde financiële instelling in te breken. Dit gebeurt onder toezicht van DNB. De bedoeling is dat de betreffende instelling zich in het vervolg beter kan weren tegen dergelijke aanvallen.
Of verzekeraars meedoen is nog onduidelijk. Wel lijkt het de bedoeling dat deze testaanvallen niet tot Nederland beperkt gaan blijven. Als het project succesvol blijkt te zijn krijgt het een Europees vervolg. Volgens de woordvoerder heeft de Europese Centrale Bank al interesse getoond.
Operatie Tiber was al langer bekend, maar tot nu toe bleef het een plan. De Telegraaf schreef er in 2015 al over. Sinds vorig jaar zijn er al wel een aantal pilots gedraaid. DNB maakt de resultaten niet bekend en beroept zich daarbij op de aard van de informatie die te gevoelig is.
Tegelijk met het uitbreiden van het project brengt DNB ook een handleiding uit voor de financiële instellingen zelf. Daarmee kunnen ze uiteindelijk de tests zelf doen. Er staat ook een beschrijving in van de manier waarop de verkregen informatie te publiceren.
De test werkt als volgt:
De rode hackers (red team) gaan proberen in te breken bij een instelling in de financiële sector. Ter plaatse probeert een andere groep (white team) de aanval af te slaan. Deze twee groepen weten van de test af. Wie van niets weet is de rest van aangevallen instelling. Deze groep (blue team) moet zonder het te weten zorgen dat de aanval wordt afgeslagen.
Het hele traject duurt minstens een half jaar, soms langer. Volgens het FD worden vooral op waarheid beruste scenario’s voor de aanvallen gebruikt.
Het initiatief komt voort uit de veelvuldige aanvallen die de financiële sector te verduren krijgt. Zo maakten hackers vorig jaar via het SWIFT transactiesysteem, waaraan zeker 11.000 banken meedoen, zeker 81 miljoen dollar buit van de centrale bank van Bangladesh. gebeurde ongeveer het zelfde weer in juni en september. SWIFT waarschuwde alle banken toen al herhaaldelijk om de beveiliging te verscherpen en systemen op tijd te updaten.
