De Nederlandsche Bank (DNB) heeft vandaag Advanced Red Teaming (ART) gelanceerd. Het programma is ontwikkeld voor kleinere banken, verzekeraars en pensioenfondsen om te testen hoe het is gesteld met de digitale beveiliging binnen het bedrijf. Het doel is om kwetsbaarheden van een organisatie aan het licht te brengen, zodat deze lekken gedicht kunnen worden. DNB kondigt de start van het ART-programma aan via een persbericht.
Grote financiële instellingen in ons land zoals systeembanken, vermogensbeheerders en pensioenuitvoerders, testen regelmatig of de cybersecurity in hun bedrijf op orde is. Daarvoor vragen ze gespecialiseerde bureaus of ethische hackers om het bedrijf digitaal aan te vallen. Zij doen dan precies wat black hat hackers ook zouden doen: een ingang zoeken om toegang te krijgen tot de bedrijfssystemen om vertrouwelijke informatie te stelen. De groep medewerkers die de systemen proberen te kraken, wordt ook wel het Red Team genoemd, de tegenpartij die de aanval probeert te stoppen het Blue Team.
Zo’n gesimuleerde cyberaanval op Nederlandse financiële instanties vindt plaats binnen het TIBER-programma. ‘TIBER’ is een acroniem dat staat voor ‘Threat Intelligence-Based Ethical Red-Teaming’ en wordt geleid door de Cyber Unit van De Nederlandsche Bank. Het is de basis voor het ethische hackprogramma van DNB om te kijken of spelers in de financiële sector bestand zijn tegen geavanceerde cyberaanvallen. Daarvoor worden testaanvallen uitgevoerd op basis van realistische en actuele dreigingsinformatie.
TIBER is ontwikkeld voor de grote spelers in de wereld van financiën en brengt veel inspanningen en verplichtingen met zich mee. Het hackprogramma is dan ook niet voor niets alleen weggelegd voor partijen die een ontwrichtend effect hebben voor de stabiliteit en het functioneren van de Nederlandse economie als ze plat komen te liggen door een cyberaanval. Denk aan een systeembank als ING of een pensioenfonds zoals het ABP.
Voor kleinere instanties kan het uiteraard ook interessant zijn om digitale weerbaarheid te toetsen. Zo krijgen ze inzicht in hoe het is gesteld met hun cybersecurity en wat ze nog meer kunnen doen om zich te wapenen tegen hackaanvallen en andere digitale dreigingen. Voor hen heeft DNB het ART-programma ontwikkeld.
‘ART’ staat voor ‘Advanced Red Teaming’ en is simpel gezegd een verkorte en vereenvoudigde versie van het TIBER-programma. Rogier Besemer, hoofd Cyber Resilience en Crisismanagement bij DNB, vergelijkt het met een menukaart in een restaurant. “Met TIBER moet je het volledige zesgangendiner uitzitten, van het voorgerecht tot het zoetje achteraf. Kleinere banken, verzekeraars en pensioenfondsen kunnen vanaf nu juist één of twee gangen uitkiezen en het daarbij laten. Een hack à la carte, zeg maar.”
Dat klinkt leuk en vrijblijvend, maar is het volgens Besemer zeker niet. “Het blijft best eng voor een instelling om mee te doen. Wij gaan met onze cyberaanval net zo ver als een hacker met Russische of Noord-Koreaanse staatssteun zou gaan. Het verschil is dat wij stoppen voordat de cruciale systemen op zwart gaan. We trappen de deur in, maar gaan vervolgens niet naar binnen. De betaal-app die de klanten gebruiken blijft ondertussen werken.”
Bij het ART-programma weet slechts een handjevol medewerkers dat de bedrijfssystemen aan de tand worden gevoeld door externe beveiligingsspecialisten. Dat maakt het volgens Besemer ‘extra spannend’ en kan de beveiliging zo natuurgetrouw mogelijk worden getest.
De cybersecurityspecialist benadrukt dat medewerkers vaak de zwakke schakel vormen in de beveiligingsketen. Ze worden benaderd door oplichters die valse e-mails versturen, neptelefoontjes plegen of verzonnen vacatures op internet plaatsen. Op het eerste oog lijken de berichten afkomstig te zijn van een officiële instantie, maar in werkelijkheid proberen ze inloggegevens of andere vertrouwelijke data te stelen.
Het kan ook zijn dat deze gefingeerde berichten malafide URL’s bevatten. Op zo’n link klikken kan ertoe leiden dat er ransomware of andere malware op een apparaat wordt geïnstalleerd. “Dat zulke zwaktes naar boven komen tijdens een simulatie is precies de bedoeling, want het toont aan waar de lekken zitten”, benadrukt Besemer.
Vanaf vandaag kunnen naast de financiële sector ook de Rijksoverheid en zorginstanties hun digitale beveiliging laten testen met het ART-programma.
