De financiële sector in Nederland wordt steeds afhankelijker van een beperkt aantal digitale dienstverleners, waarschuwt De Nederlandsche Bank (DNB). Dat maakt de sector kwetsbaar. Met een cyberaanval op één zo’n bedrijf kunnen hackers er gelijk meerdere raken. Bedrijven kunnen elkaar onderling bovendien gemakkelijker besmetten. En dat terwijl het aantal cyberaanvallen toeneemt, zowel door criminelen, als door staten die hackers inhuren.
Over de financiële stabiliteit van de Nederlandse banken en van de staatshuishouding maakt toezichthouder DNB zich daarentegen weinig zorgen, bleek tijdens de presentatie van het halfjaarlijkse Overzicht Financiële Stabiliteit. De buffers zijn op orde, de winsten op gezond niveau. De inflatie is wat hoog, maar niet dramatisch.
„De meeste risico’s komen van buiten”, zei directeur monetaire zaken Olaf Sleijpen. Hij wees op de oorlogen in het Midden-Oosten en Oekraïne, maar ook op de Amerikaanse verkiezingen en de kans op handelsoorlogen en als gevolg daarvan tariefmuren. Allemaal ongunstig voor de open Nederlandse economie.
Zorgenlijstje van DNB
Als gevolg van de geopolitieke instabiliteit is ook het risico op cyberaanvallen hoger. Die dreiging staat bovenaan het zorgenlijstje van toezichthouder DNB. Nederlandse banken, verzekeraars en pensioenfondsen moeten zich daarop instellen en voorbereiden, vindt DNB. Dat soort aanvallen kunnen directe hacks zijn, bijvoorbeeld met gijzelsoftware, maar financiële instellingen kunnen ook indirect getroffen worden. Bijvoorbeeld omdat ze afhankelijk zijn van telecomproviders of energiebedrijven die doelwit zijn in een conflict. Uit cijfers van DNB blijkt dat nu al een kwart van de cyberaanvallen gevolgen heeft voor de Nederlandse financiële sector.
Terwijl de geopolitieke fragmentatie toeneemt, groeit ook de afhankelijkheid van met name Amerikaanse bedrijven. Veel data van Nederlandse banken, verzekeraars en pensioenfondsen staan bijvoorbeeld in clouds van Amerikaanse techbedrijven zoals Microsoft en Google. En die zijn op hun beurt weer afhankelijk van andere partijen voor bijvoorbeeld de beveiliging.
Die afhankelijkheid is een ‘fact of life’, zegt Sleijpen. „De technologische ontwikkeling is een bepaalde kant op gegaan.” Het is in zijn ogen niet realistisch om te kiezen voor kleinere partijen of om als banken zelf alle data op te slaan. „Die kleinere alternatieven zijn er niet.” Bovendien zou de opslag bij grote cloudpartijen in de regel veiliger zijn dan bij kleinere partijen of bij banken zelf.
Het betekent wel dat het extra belangrijk is om de daaraan gerelateerde ‘risico’s goed te managen’. Bedrijven moeten geregeld testen of ze voorbereid zijn. En controleren of de partijen waarvan ze diensten afnemen veilig genoeg zijn. Ook moeten bedrijven de gevolgen van negatieve scenario’s zo veel als mogelijk juridisch dichttimmeren. „En ook toezichthouders moeten toegang hebben tot de providers van die diensten.” Dat is nu niet zo, maar wel onder de nieuwe Digital Operational Resilience Act (DORA) die in januari van kracht gaat.
Voor het geval het toch misgaat moeten bedrijven „plan B en plan C” klaar hebben liggen, zegt Sleijpen. Dat behelst bijvoorbeeld het terughalen en zelf opslaan van data, als dat door bijvoorbeeld oorlog niet meer in de Amerikaanse cloud kan, schetst Sleijpen. „Dan is het misschien minder goed beveiligd, maar dan héb je die data nog. Anders ben je ze misschien gewoon kwijt.”
De directeur haalt het voorbeeld aan van de Amsterdam Trade Bank (ATB), volledig in handen van een Russische eigenaar. Na de Russische inval in Oekraïne en de daaropvolgende sancties mocht Microsoft dat bedrijf niet meer bedienen. Terwijl ATB in hoge mate afhankelijk was van Microsoft voor zijn berichtenverkeer. Als gevolg daarvan ging de bank failliet, hoewel er nog geld genoeg was.
Lees ook
‘Het is tijd om bankbiljetten in een digitaal jasje te hijsen’, zegt DNB-directeur Van Dijk
In Nederland heeft 96 procent van de mensen toegang tot digitaal bankieren of betalen. Het Europees gemiddelde is 70 procent. De hoge mate van digitalisering van het betalingsverkeer maakt het kwetsbaar voor ‘digitale verstoringen’, schrijft DNB. Burgers moeten zich ervan bewust zijn dat financiële dienstverlening uit kan vallen. „Je moet er niet van uitgaan dat het altijd werkt.” Het kan dus verstandig zijn contant geld in huis te hebben, zegt Sleijpen. Net zoals de overheid aanbeveelt voor ten minste twee dagen eten achter de hand te hebben.
In de toekomst biedt volgens hem mogelijk ook de digitale euro soelaas. Die is nog niet ingevoerd, maar zou volgens de huidige plannen ook de mogelijkheid bieden offline kleine betalingen te doen. „Als het pinnen uitvalt zou het betalen met QR-codes nog wel moeten werken, dat loopt op een andere rails.”