In Nederland kun je overal pinnen. Dit lijkt een vanzelfsprekendheid, maar dat is het niet. Ook het betalingsverkeer kan zomaar stilvallen door een cyberaanval. Wat gebeurt er dan? Dat is de vraag waarmee Leon Strous en Petra Steenbakker – beiden werkzaam bij De Nederlandsche Bank (DNB) op de afdeling Marktinfrastructuur beleid – zich iedere dag bezighouden. We spraken hen over hoe zij de financiële sector klaarstomen voor een potentiële operationele crisis.
Uitval in de financiële sector, het kan dus gebeuren. Wat is het effect daarvan op de maatschappij?
Leon Strous: 'In onze sector gaat bijna alles digitaal. Het effect van uitval in onze sector is dan ook groot en het belang van cybersecurity evident. Als een cyberaanval plaatsvindt, dan kunnen financiële diensten zoals internetbankieren niet worden aangeboden. Dat levert economische schade op, omdat transacties niet kunnen plaatsvinden.'
Hoe opereert DNB in de internationale context?
Om het belang van de internationale context te benadrukken citeren we hier graag Inge van Dijk, Divisiedirecteur Betalingsverkeer en marktinfrastructuren bij DNB en vice-voorzitter van de sector crisismanagement structuur: 'Onze sector is van huis uit sterk internationaal actief, en wordt al langer geconfronteerd met geavanceerde fraudeurs. Cybercrime stopt zoals bekend niet bij grenzen. De focus van DNB ligt in de komende periode op grens overstijgend crisismanagement. Dat doen we in een speciale werkgroep bij de Europese Centrale Bank (ECB) samen met alle grotere Europese financiële sector spelers. Het is essentieel dat we zorgen dat we maximaal voorbereid zijn op een internationaal cyber incident van formaat.'
Petra Steenbakker: 'Naast het betalingsverkeer, kijken we ook naar het effectenverkeer. Wij kijken daarbij naar het hele proces en de hele keten die geactiveerd wordt als iemand bijvoorbeeld geld uit een automaat pint, bij de supermarkt een betaling doet of een effectentransactie doet. Een cyberaanval die het effectenverkeer raakt kan een enorme economische impact hebben. Maar de maatschappelijke onrust die bij een verstoring in het betalingsverkeer ontstaat is misschien nog wel groter. Een korte verstoring kan bijvoorbeeld vijftien minuten duren. Economisch valt die schade dan wel mee, maar Twitter explodeert dan wel omdat mensen bijvoorbeeld hun boodschappen in de supermarkt niet kunnen afrekenen.'
Is dat wel eens voorgekomen?
Leon Strous: 'Zeker. Wij hebben twee keer meegemaakt dat een aantal banken onder een zware DDoS-aanval lagen die tot grootschalige verstoring hebben geleid. Een keer in 2013 en in 2018. Dat veroorzaakte veel onrust, omdat het internetbankieren niet werkte. Daarnaast zien we af en toe een verstoring bij een enkele instelling. De brede impact is dan minder groot. Maar het is natuurlijk wel vervelend voor klanten van die instelling. Gelukkig is tot dusver het aantal crises nog vrij beperkt gebleven.'
Wat hebben jullie daarvan geleerd?
Leon Strous: 'Ten eerste de constatering dat we - gelukkig - goed zijn voorbereid. De dingen die je van tevoren bedenkt moeten zich bewijzen in de praktijk. Zoals met wie je bepaalde dingen moet oplossen en welke mensen en organisaties binnen en buiten de sector een rol moeten spelen. Eén van de belangrijkste lessen bij de DDoS-casussen was de vraag wanneer je gaat communiceren naar de buitenwereld. In deze gevallen was vrij snel bekend dat internetbankieren eruit lag, aangezien klanten niet konden inloggen. Dan moet je dus gaan communiceren, want klanten moeten op de hoogte gebracht worden. Als je niks zegt dan gaat het van kwaad tot erger, zeker als je niet weet hoelang de verstoring gaat duren. Maar bij een kleiner issue, dat je snel oplost, is te overwegen om even te wachten met communiceren om onnodige onrust te voorkomen.'
Leon Strous: 'Een tweede les is dat zodra je maatregelen moet nemen, je moet opletten dat je niet afhankelijk bent van maar één partij. Je moet het oplossen en opvangen van problemen spreiden. Tot slot, zorg dat je niet te snel in paniek raakt. Laat je niet gek maken.'
Petra Steenbakker: 'Dat wat we vooraf bedenken, het netwerk in kaart brengen en de structuur op z’n plek zetten als er iets misgaat, dat werkt goed. We schenken in een koude fase – als er geen crisis is – veel aandacht aan de voorbereiding en dat werpt z’n vruchten af. We bereiden alles voor: wie doet wat, welke scenario’s zijn er? En daar oefenen we veel op.'
Is oefenen van belang?
Petra Steenbakker: 'Met oefenen zijn we al heel lang bezig: van kleinschalig tot marktbreed met de hele sector. Onze grootste oefening is Cyberscan, dat deden we in 2008 voor het eerst. Jaarlijks stellen we een oefenplan op met oefendoelen en we werken nu aan een meerjarige oefenstrategie. We oefenen met de energiesector, de telecomsector. Met onze eigen sector. We oefenen nationaal en internationaal. Het is voor ons een vanzelfsprekendheid.'
Leon Strous: 'We oefenen om de structuren die wij hebben bedacht te testen. Dat moet je ook blijven doen en onderhouden. De laatste tijd zijn twee trends van belang mee te nemen bij het oefenen. In de eerste plaats op nationaal niveau. Er worden steeds meer links gelegd met andere sectoren en met overheid. De ISIDOOR oefening in juni 2021 is daar een voorbeeld van. Daarnaast gebeurt er steeds meer op het internationale niveau. Zeker in onze sector is internationale samenwerking van belang, er zijn veel instellingen die internationaal gevestigd zijn. Daar hebben wij ook mee te maken. Die collega’s moeten we kennen, we moeten weten wie wat doet op het moment dat een crisis voorkomt.'
Hoe gaat oefenen in z’n werk?
Petra Steenbakker: 'De soort oefening is afhankelijk van het oefendoel. Soms hebben we het doel om een structuur te testen, dan kijken we naar hoe mensen samenwerken en of ze weten wat hun rol is. Maar bij ISIDOOR was ons oefendoel om te kijken hoe wij aansluiten op de nationale crisisstructuur. Voor een marktbrede oefening als Cyberscan zijn we minimaal een jaar bezig met de voorbereiding. We gebruiken verschillende scenario’s die we uitdenken samen met de sector, we vragen daarvoor ook input van collega’s.'
Leon Strous: 'Het soort oefeningen varieert inderdaad sterk. Een oefening voor een cybersecurity-specialist bijvoorbeeld begint meestal met een boodschap op het scherm. Er is een probleem, het lijkt er bijvoorbeeld op dat we aangevallen worden of dat er een indringer in het netwerk zit. Dan moeten ze aan het werk, ze moeten kijken wat het probleem is. Dat moeten ze vervolgens analyseren en oplossen binnen een bepaalde tijd. Als dat niet lukt treden er crisismanagement procedures in werking en wordt er opgeschaald in de bijbehorende structuren. Onze rol in een oefening varieert ook sterk, van oefenleider tot deelnemer en evaluator.'
En hoe loopt de samenwerking met het NCSC?
Leon Strous: Tijdens 'ISIDOOR hebben we dat getest. De samenwerking met het NCSC is prima maar was tegelijkertijd ook lastig. ISIDOOR was zo groot, dat het NCSC de handen vol had om iedereen te bedienen en helpen. De stroom van informatie uit alle sectoren was bijzonder groot en daar had het NCSC ook een behoorlijke kluif aan. We zijn daardoor niet helemaal toegekomen aan alle geplande opschalingsfases in de nationale crisismanagementstructuur, die vanuit ons perspectief van belang zijn.'
Petra Steenbakker: 'Het grootste leerpunt voor ons was: Wanneer treedt die nationale crisisstructuur nu echt in werking en hoe sluit onze sector crisisstructuur daarop aan? Dat was nu nog niet echt duidelijk. En ook de vraag, wat betekent dat? Dat is een relevante vraag voor het vervolg.'
Leon Strous: 'Eén van de dingen die daarop aansluit is dat er beter rekening gehouden mag worden met de input van private partijen richting overheidspartijen. We hebben gezien dat er toch af en toe in een natuurlijke reflex geschoten wordt dat ‘als het ons zelf niet raakt, dan is het probleem niet zo groot’. Dat is niet waar, want we moeten kijken wat er aan de hand is in heel Nederland. Een verbeterpunt zou zijn hoe we dit samenspel beter en scherper krijgen. Tot slot moeten we ook kijken hoe we internationaal beter kunnen samenwerken, ook met de NCSC’s uit andere landen.'