Wat zou er gebeuren als een grootschalige, door een vijandige staat gesponsorde cyberaanval wordt uitgevoerd op de financiële sector van een EU-lidstaat? Hoeveel schade zou dit veroorzaken? En hoe lang zou het duren voordat de sector zich herstelt? Deze vragen stonden centraal in de toespraak van Steven Maijoor, voorzitter Toezicht bij DNB, tijdens de jaarlijkse FinTech and Regulation Conference in Brussel.
Maijoor benadrukte de noodzaak om de cyberweerbaarheid van de financiële sector en de derde partijen waarvan deze afhankelijk is, verder te versterken. Hij verwees daarbij naar recente aanvallen, zoals de cyberaanval op Kyivstar, de grootste telecomprovider van Oekraïne, op 12 december 2023.
Cyberaanval in Oekraïne als waarschuwing
De aanval op Kyivstar, toegeschreven aan de door Rusland gesteunde hackersgroep Sandworm, verlamde de dienstverlening voor miljoenen gebruikers. De hackers hadden maandenlang ongezien toegang tot de infrastructuur van het bedrijf en gebruikten malware om duizenden virtuele servers en computers uit te schakelen. Dit leidde niet alleen tot grootschalige telecomstoringen, maar ook tot ontwrichting van bankdiensten, betalingsverkeer en online bankieren.
Opmerkelijk genoeg wist Oekraïne relatief snel te herstellen. Dankzij redundante systemen en innovatieve noodmaatregelen was Kyivstar binnen acht dagen grotendeels hersteld. De veerkracht van het land, opgebouwd tijdens jaren van conflict en digitale bedreigingen, blijkt een voorbeeld voor Europa.
Wat als dit in Europa gebeurt?
Maijoor stelde de vraag: hoe goed is de EU voorbereid op soortgelijke aanvallen? De toenemende geopolitieke spanningen, bewapening van toegang tot internationale financiële infrastructuren en digitale verstoringen vormen acute bedreigingen. Cyberaanvallen op de financiële sector zijn niet langer louter hypothetisch.
Traditioneel is de financiële sector een aantrekkelijk doelwit voor cybercriminelen met financiële motieven. Maar met de veranderende geopolitieke situatie zijn door staat gesponsorde aanvallen steeds waarschijnlijker geworden. Deze aanvallen richten zich vooral op verstoring en het stelen van gevoelige informatie. Door de afhankelijkheid van derde partijen binnen de financiële keten is het risico op verstrekkende schade groot.
DORA: Nieuwe wetgeving biedt oplossingen
De Europese Digital Operational Resilience Act (DORA), die begin 2024 van kracht werd, biedt nieuwe instrumenten om de cyberweerbaarheid te vergroten. Zo zijn bedreigingsgerichte penetratietests nu verplicht voor grote financiële instellingen. Nederland voerde deze tests al vrijwillig uit met goede resultaten, aldus Maijoor.
Daarnaast stelt DORA strengere eisen aan het beheer van cyberrisico’s binnen uitbestedingsketens. Financiële instellingen moeten grondiger due diligence uitvoeren bij ICT-leveranciers. Ook mogen Europese toezichthouders nu inspecties uitvoeren bij kritieke derde partijen, zoals Google en Microsoft.
Herstelvermogen cruciaal
Ondanks deze maatregelen is perfecte cybersecurity onhaalbaar. Daarom benadrukte Maijoor het belang van snel herstel na incidenten. Dit vereist duidelijke managementverantwoordelijkheden, goed voorbereide draaiboeken en een cultuur waarin incidenten snel worden gedetecteerd en gemeld.
Uit de cyberstresstest van de Europese Centrale Bank in 2024 bleek dat er nog veel ruimte is voor verbetering op het gebied van herstel. DORA verplicht instellingen dan ook om robuustere continuïtijdsplannen en back-upprocedures op te stellen.
Samenwerking essentieel
Maijoor pleit voor intensievere samenwerking tussen overheid, toezichthouders, financiële instellingen en vitale sectoren zoals energie en telecommunicatie. Nationale grootschalige cyberoefeningen hebben zwakke punten blootgelegd, zoals gebrekkige informatiedeling en onvoldoende inzet van cybersecurity-expertise.
Conclusie
De dreiging van grote digitale verstoringen door vijandige statelijk gesponsorde aanvallen is urgent. Het versterken van cyberweerbaarheid, zowel op het vlak van detectie als herstel, is een topprioriteit voor Europese toezichthouders. Nieuwe wetgeving zoals DORA biedt houvast, maar alleen door intensieve samenwerking kan de keten versterkt worden en de weerbaarheid van de financiële sector gewaarborgd. Zoals Maijoor treffend opmerkte: “Een keten is zo sterk als de zwakste schakel.”
