Systeemrisico's door cyberdreigingen
Cyberaanvallen kunnen leiden tot verstoringen in financiele markten en het betalings- en effectenverkeer. In een worst case scenario vormen ze een risico voor het financiele systeem. Voor financiele marktinfrastructuren is het noodzakelijk om de veerkracht tegen cyberdreigingen te versterken.
Een belangrijke aanzet daartoe is de internationale werkgroep geweest van centrale banken die de afgelopen twee jaren onder de vlag van de Bank for International Settlements (BIS) in november 2014 een eerste rapport heeft gepubliceerd hierover.
Cyberaanvallen vormen een bedreiging voor het financiele systeem
De afhankelijkheid van informatietechnologie is sterk toegenomen in de financiele sector. Banken en financiele marktinfrastructuren zijn sterk met elkaar verweven. De systemen die zij hiervoor gebruiken - het wholesale-betalings- en effectenverkeer - vormen een mondiaal netwerk dat permanent
operationeel is. Ook het betalingsverkeer dat door consumenten en bedrijven wordt gebruikt - het retail-betalingsverkeer - is steeds afhankelijker geworden van informatietechnologie, zoals internet en mobiel bankieren. Deze toegenomen digitalisering vergroot de potentiele impact van een
verstoring van de informatiesystemen.
Operationele verstoringen kunnen plaatsvinden door onvoorziene gebeurtenissen zoals natuurrampen en fysieke aanslagen, maar ook door doelgerichte cyberaanvallen op systemen. Hackers, criminelen en terroristen kunnen met uiteenlopende motieven en middelen een financiele instelling in het vizier
hebben. Het kan gaan om financieel gewin, maar een aanval kan ook gericht zijn op het verkrijgen van vertrouwelijke informatie of het doelbewust verstoren van een operationeel systeem.
Cyberaanvallen in het retail-verkeer zijn bijvoorbeeld gericht op de digitale kanalen zoals het internetbankieren. Dit leidt tot financiele schade en extra kosten voor beveiligingsmaatregelen, opsporing, aansprakelijkheid en herstelmaatregelen na een aanval. Ook kunnen verstoringen een
negatieve invloed hebben op het vertrouwen van consumenten in de veiligheid van digitale kanalen. De afgelopen jaren hebben banken in Nederland maatregelen genomen om fraude met internetbankieren te verminderen en de veerkracht tegen cyberaanvallen te vergroten.
Cyberaanvallen in het wholesale-verkeer kunnen gericht zijn op het niet beschikbaar zijn van systemen. Daarom zijn er door financiele marktinfrastructuren maatregelen genomen om de beschikbaarheid te kunnen waarborgen, bijvoorbeeld door gespiegelde systemen op verschillende locaties - bij
uitval in een systeem neemt de andere locatie het onmiddellijk over. Daarnaast neemt tegenwoordig het risico toe dat cyberaanvallen zich richten op het verkrijgen van toegang tot de interne systemen van een financiele instelling. Indien een gerichte aanval op de systemen plaatsvindt met
malware dan zit deze aanval echter ook in de gespiegelde systemen; het overgaan op de systemen in de andere locatie helpt in dat geval niet om de aanval te stoppen. Dit vraagt aanvullende maatregelen door een instelling voor snelle detectie van malafide activiteiten in de eigen systemen en het
vermogen om systemen snel te kunnen herstellen indien dit soort cyberaanvallen op de integriteit van systemen plaatsvinden. Het is bijvoorbeeld in geval van een inbreuk op de integriteit van belang om snel het punt te kunnen identificeren waarop de systemen nog niet gecorrumpeerd waren. Ook
zijn er ontwikkelingen gaande van systemen die de kernfunctionaliteit repliceren, maar met andere technologie dan de primaire faciliteiten. Deze maatregelen en technieken worden verder ontwikkeld en stellen financiele marktinfrastructuren in staat om zich beter te bewapenen tegen
cyberaanvallen.
In een aanvalsscenario zouden transacties tussen financiele instellingen kunnen worden gemanipuleerd, waardoor de financiele posities waarmee zij hun dag afsluiten onjuist zijn. De aanval raakt in dat geval meerdere partijen in de transactieketen. In een worst case scenario kan dit leiden tot
systeemrisico's voor het gehele financiele systeem. Het is daarom van belang voor instellingen om rekening te houden met verschillende scenario's van aanvallen op de beschikbaarheid, integriteit en vertrouwelijkheid van hun organisaties en operationele systemen en daaraan verbonden partijen en
de organisatiefuncties en maatregelen hierop testen. Daarnaast spelen het gezamenlijk testen van incident response processen en herstelprocedures en het gezamenlijk oefenen een steeds belangrijkere rol om voorbereid te zijn op verschillende aanvalsscenario's en bijvoorbeeld
continuiteitsplannen met elkaar af te stemmen.
Veerkracht versterken door internationaal samenwerken
De potentiele gevolgen gaan over landsgrenzen heen; de scope van het financiele systeem is bij uitstek internationaal. Internationale samenwerking is daarom vereist. Een recent voorbeeld van intensievere samenwerking is de aankondiging dat in belangrijke internationale financiele centra zoals
New York en London nu stappen worden ondernomen door financiele instellingen en handhavingsdiensten om de informatiedeling te verbeteren en meer gestructureerd samen te werken in de handhaving.
Niet alleen financiele instellingen zullen meer moeten samenwerken, dat geldt ook voor autoriteiten. Om de daad bij het woord te voegen is in september 2014 een nieuwe werkgroep van start gegaan die bestaat uit centrale banken en effectentoezichthouders met DNB als co-voorzitter. Doel van deze
gecombineerde werkgroep is om te bepalen welke verdere stappen er nodig zijn om de lat over de gehele linie hoger te leggen voor maatregelen om de veerkracht zowel op instellingsniveau als collectief verder te verbeteren.
De wapenwedloop gaat ondertussen onverminderd door, getuige de groeiende stroom media-berichten over gerichte cyberaanvallen. Van financiele marktinfrastructuren wordt vereist dat ze de risico's voor hun bedrijfsvoering - dus ook van cyberrisico's - blijven beheersen.
Referenties
* Bank for International Settlements, Committee on Payments and Market Infrastructures, Cyber resilience in financial market infrastructures, November 2014. Download report
* Bank for International Settlements, Committee on Payments and Market Infrastructures, Principles for financial market infrastructures, April 2012. Download report