Banken en instellingen investeren te weinig in aanpak cybercrime

Grootbanken besteden veel tijd en geld aan het managen en beheersen van risico’s. Gegeven de belangrijke functie die zij in onze maatschappij en economie vervullen, is dat maar goed ook. Hetzelfde geldt bijvoorbeeld voor overheidsdiensten zoals de Belastingdienst, maar ook voor uitkeringsinstanties, openbaar vervoerbedrijven, Schiphol en energiebedrijven. Iedereen heeft met deze instellingen te maken, eenieder is ervan afhankelijk.

Toch gaat het regelmatig mis. Bijvoorbeeld als het gaat om cybercriminaliteit. Ik ben op dat terrein onvoldoende deskundig en zal er dan ook geen boek over schrijven. Ik beperk mij tot deze column waarin ik mijn angst en zorgen wil uiten. Want die heb ik. Omdat ik afhankelijk ben van mijn bank, van vervoerders en energieleveranciers en hoop en verwacht dat een overheidsdienst zoals de Belastingdienst mijn gegevens zorgvuldig beschermt.

Om die reden lees ik in de jaarrapporten van dergelijke organisaties weleens de risicoparagraaf of het ‘in control statement’. Ja, dat is de beroepsdeformatie van een accountant.

De passages die ik daarin lees zijn vaak geruststellend: organisaties tonen zich bewust van de risico’s die zij lopen, investeren in de beheersing ervan en verklaren menigmaal dat zij ‘in control’ zijn.

Zodra ik die laatste woorden lees, moet ik ook altijd even terugdenken aan mijn collega Leen Paape die in zijn oratie stelde dat zo’n ‘in control statement’ vooral gebakken lucht is. Zoals de mooie woorden in de jaarrapporten van vele bij fraude betrokken bedrijven achteraf ook te mooi om waar blijken te zijn.

Onlangs ging het op het gebied van cybercrime mis bij onze grootbanken en de Belastingdienst: hun websites werden platgelegd door een zogeheten DDoS-aanval (‘Distributed Denial of Services’). Niet eenmaal, maar meerdere keren achter elkaar. Ik kon zodoende geen overboekingen doen vanaf mijn bankrekeningen en evenmin mijn saldo bekijken. Basale, dagelijkse handelingen.

Een bezoek aan de website van mijn bank (ABN Amro) leerde mij het volgende. Bij een DDoS-aanval maken cybercriminelen via meerdere computers of ‘botnets’ massaal contact met een server, om deze te overbelasten. Zo’n illegale aanval heeft als doel een website onbereikbaar te maken. Banken zijn een populair doelwit van dit type cyberaanvallen. Zo kan het gebeuren dat u tijdelijk niet kunt inloggen door een DDoS-aanval.

Mijn bank stelt mij echter gerust: ‘Dit is erg vervelend, maar u hoeft zich geen zorgen te maken over uw geld of uw bankgegevens. Deze zijn veilig beschermd’. En toch keek ik ook nu weer even naar de risicoparagraaf in het jaarrapport. Daar werd het cybercrimerisico beschreven ten gevolge van ‘the continued increase and professionalisation of external cyber threats’. De bank stelt dat dit ‘hoge risico’ wordt bestreden door investeringen in onder meer een DDoS-schild. Mooie woorden: ‘in control’ in plaats van gebakken lucht.

Of toch niet? Hoe goed is dat DDoS-schild als de banksite desondanks meerdere malen urenlang kan worden platgelegd? Zijn de gepleegde investeringen in beschermingswallen wel afdoende? Maar ook: hoe goed is het zicht van bank-, beveiligings- en cyberexperts op de ‘professionalisation of external cyber threats’?

Vorige week lag ik over dit soort vragen te malen in mijn bed. Ik sliep er slecht van. De volgende ochtend las ik de Volkskrant. Daarin deed journalist Huib Modderkolk verslag van zijn contacten met een 18-jarige jongen uit Oosterhout, die ervan wordt verdacht de websites van banken en de Belastingdienst te hebben overvallen met een DDoS-aanval.

Een ontluisterend verslag. Een jongen van 18 jaar die banken en overheidsdiensten platlegt. Met een op internet gekocht bundeltje: ‘Jep, een booter waar ik €50 voor een week aan heb uitgegeven’. De dader zegt dat hij dat doet ‘om te laten zien dat een tiener gewoon alle banken kan platleggen met een relatief simpele aanval’. De verdachte tiener vond zijn actie ‘grappig’, vooral toen hij las over de gedachte dat ‘de Russen’ achter de aanval zouden zitten.

Ik vind het niet grappig, maar beangstigend en zorgwekkend. Deze actie heeft niets met ‘professionalisation’ te maken, maar met een amateur die €50 investeerde.

Zolang dat kan, geloof ik niet dat banken en andere instellingen ‘in control’ zijn. Dan geloof ik niet dat zij voldoende investeren in de aanpak van cybercrime. Terwijl zij niet alleen de middelen maar ook de plicht hebben burgers en bedrijven te beschermen.

Deze column is eerder gepubliceerd in Het Financieele Dagblad, ‘Banken en instellingen investeren te weinig in aanpak cybercrime’, d.d. 14 februari 2018.

Bron: nieuwsbrief Nyenrode Corporate Governance Instituut, januari-februari 2018.

Artikelen en columns gepubliceerd op de website en in de nieuwsbrief van het NCGI weerspiegelen niet per definitie een algemene visie van het NCGI, maar worden door auteurs op persoonlijke titel geschreven. Wenst u te reageren dan kan dat naar ncgi@nyenrode.nl.