Nederland voor verplichte "hacktest" van Europese banken
Nederland is voorstander van een verplichte "hacktest" van Europese banken door ethische hackers. Dat heeft minister Hoekstra van Financiën in een brief aan de Tweede Kamer laten weten. De Europese Commissie had EU-landen naar ideeën gevraagd om de cyberweerbaarheid van banken te versterken.
De Nederlandse inbreng benoemt verschillende maatregelen die kunnen worden genomen. Zo is het normaliseren en delen van rapportages over cyberincidenten volgens Hoekstra van belang. "Ook dragen eisen omtrent toetsen van cyberweerbaarheid door instellingen, waaronder verplichte deelname aan hacktesten door ethische hackers, bij aan versterking van de weerbaarheid", merkt de minister op.
Als basis voor de penetratietests zou van het "TIBER-EU framework" gebruik moeten worden gemaakt. TIBER, ontwikkeld door de Europese Centrale Bank (ECB), staat voor Threat Intelligence-based Ethical Red Teaming en moet de Europese aanpak voor het simuleren van aanvallen "harmoniseren". Via de test kunnen banken en financiële instellingen kijken hoe goed ze zijn voorbereid om aanvallen te detecteren, te voorkomen en op te reageren. Daarbij worden niet alleen de systemen getest, maar ook zaken als mensen en processen.
Verder vindt Hoekstra dat er aandacht moet worden besteed aan maatregelen om de risico's te beperken die kunnen ontstaan in geval van uitbesteding door financiële instellingen, zeker waar sprake is van grote leveranciers met een concentratierisico.
/ontopic: goed plan om dit in te voeren!
Ze moeten elk kwartaaal bekijken welke banken in Europa in de ogen van de Nederlandse bank maatregelen in welke gradatie nemen en op orde houden.
Als je nou kijkt dat Fortis al in jaren 90 volgens insiders niet echt onbekend was met ethical hacking en hoe "De bank" als diens overnemer de zaken op andere terrein wel/niet voor elkaar heeft dan zie je dat banken in NL zelfs op meerdere vlakken meer bewustzijn bij zichzelf moeten creëren.
Vaak zijn er wel een aantal interne ambassadeurs en kartrekkers van lopende activiteiten die qua security met zinnige concern brede afwegingen en maatregelen al het nodige op verstandige wijze hebben bereikt.
Daarbij zijn maatregelen nog makkelijker te nemen dan in de afwegingen leren nee te zeggen als bank.
Laat staan wat voor 'n weg banken uit niet-Nederlandse / Europese landen te gaan hebben.
In Engeland zijn voor 2012 bepaalde banken al wel een keer of wat gehackt geweest.
En dus moet je voor de lange weg die Europa breed nog afgelegd moet worden voor een wezenlijke banken-veiligheid eer ze volledig ingebed kunnen worden je niet alleen basseren op goeie hack kwaliteiten en hackatons, want dat kunnen ze in Roemenië - Bulgarije en andere Europese landen ook echt wel.
Begin eerst bij Nederland.
Meneer Hoekstra moet gewoon de hele trits van collega's van ministerie van justitie eens beter aan de mouw trekken.
De ministers daar zijn nog vaker in valkuilen gestapt en zijn elkaar nog vaker opgevolgd in de afgelopen paar jaar dan een interim managers doorgaans doen.
Arresteren doe je op straat en niet vanachter het toetsenbord.
Toch lijkt meneer Hoekstra nu het zogenaamde excuus-balletje van minister van justitie op te werpen en veel te lang aan het hooghouden zijn om Europol en cyber-systemen maar te hypen.
Als de morus van je collegae niet op peil is kan je gewoon moeilijk met hen samenwerken.
Zo moet het ook gelden voor Nederlandse banken die met banken zouden willen / moeten samenwerken voor transacties uit andere Europese landen.
Je moet er niet aan denken dat bijvoorbeeld Albanese of Moldavische banken nog meer in het Swift en andere systemen ingebed raken.
Er langs de randen banken die de lange weg naar meer degelijkheid nog niet hebben of wilden afleggen, die banken kunnen wellicht wel aanhaken als dat qua veiligheid te verantwoorden zijn.
Maar dan wel transactie gewijs volgens protocollen en geen permanente continu real-time flits-transactie regime.
Want dat is veel te gevoelig voor micro-hacks en geld-wegsluis koppelingen met banken uit landen met andere bestuurs-en zaken-morus.
Ongeacht of die banken dan nu al wel in swift en andere digitale bank-stelsels zitten of niet.
Dat blijft problematisch samenwerken en dat moet meneer Hoekstra dan ook niet mooier willen maken dan dat het is, noch de voorzetten van Grapperhaus - die zelf het huiswerk en mankracht-capaciteit niet op orde heeft - doorkoppen richting Frankfurt.
/ontopic: goed plan om dit in te voeren!
Daar denkt de ECB dus heel anders over....
ECB publishes European framework for testing financial sector resilience to cyber attacks
https://www.ecb.europa.eu/press/pr/date/2018/html/ecb.pr180502.en.html
/ontopic: goed plan om dit in te voeren!
For the record:
Elk land kan een eigen testplan uitwerken in lijn met het overkoepelende Tiger-EU raamwerk.
De versie van elk land moet op die andere landen aansluiten en wordt aangeduid met de afkorting letters van het land.
In geval van Nederland NL.
Het moet de uitwerking van testplannen tbv weerbaarheid voor ALLE financiële organisaties die grens overschrijdende transacties uitvoeren makkelijker maken.
Daaronder ook verzekeraars en aan banken verwante dienstverleners.
Ook voor banken uit niet euro landen en landen aangesloten op de Europese betaalstelsels tot test-aanpakken, zoals Rusland Ijsland Noorwegen Zwitserland die allemaal in bepaalde categorien vallen.
Ik weet niet wat de meest recente versie is maar de versie van 2018 noemt in ieder geval plannen die samen als 1 geheel moeten werken voor Duitsland Nederland, Frankrijk en de EU.
In een persbericht uit maart van Nieuw Zeelandse website worden van 3 maart 2020 worden nog meer landen genoemd die hun plan ook zouden uitgwerkt. Daaromder bijvoorbeeld een land als België.
Dergelijke landen zijn daar waarschijnlijk tussen 2018 en 2020 nog mee bezig geweest.
Goed en logisch om dit in te voeren?
Dat hangt er wel zeer van af.
Of er bijvoorbeeld per raamwerk-versie niet teveel scope-creep plaats gaat vinden?
Het hangt er ook van af hoeveel organisaties zich gaan vastklampen aan de nationale test-versies, voor de vorm om compliance te kunnen uitvaardigen?
Ook wat de halfjaarlijkse rapportages zullen uitwijzen en hoe er met de gehoopte lessen omgesprongen wordt.
Zoveel landen zoveel culturen van gewoontes en reflexen.
Helemaal in het omgaan met verholen en opgelegde verwachtingen van buiten en hogerhand.
Het kan dus heel goed zijn dat de lessen per land bij voorbaat al niet tot evenredige verbeterslagen opleveren, maar per specifiek per land verschillende "vruchten"' kunnen afwerpen.
En ook al kan het op papier allemaal vrij aardig op elkaar lijken, Nederlandse kersen hoeven niet hetzelfde te smaken als Italiaanse of Griekse kersen.
Dus wordt het cherry picking?
En hebben dezelfde begrippen in alle landen allemaal ook dezelfde uitwerking?
Ik weet dus niet of het overkoepelende plaatje veel substantieels KAN opleveren.
En wat biedt dat de Nederlandse financiele organisaties dan meer?
Meer dan wat ze zelf toch al kunnen overwegen en inschatten?
In ieder geval een herbevestiging, maar dan wel van zaken die we met logisch nadenken ook al met meer dan 25% zekerheid kunnen weten zonder zo'n raamwerk.
Dus heb je dan als Nederlandse banken voor de herbevestiging kans van 25% tot hoger dan opeens wezenlijk meer inzicht om gepaste maatregelen voor het grens overschreidende betaal verkeer in te bouwen?
Wezenlijk meer dan dat je op basis van techniek-, systeem- en domeinkennis logischerwijs al op had kunnen komen?
Je weet nu toch al dat veel bezwijkingen van beveiliging langs een keten van doorbraakjes en uitnuttingen van gaten loopt.
En als je dus middel TIBER-EU wil gaan harmoniseren moeten Nederlandse instellingen daarvoor dan opschuiven richting banken als de Franse Credit Agricole, Soeciete Generale of het Italiaanse en operationeel kwetsbaardere UniCredit?
Nu krijgen de Parijse studenten van Financiele top-opleidingen les van voormalige quants, de professoren delen daarvan film fragmenten die weinig verschillen van scenes uit de Amerikaanse film Wolf of Wallstreet.
En dan rijst daarbij dus ook de vraag in hoeverre de opstellers van het TIBER raamwerk bekend zijn met de potentieel doorslaggevende bezwijkpunten van financiele instellingen voor de komende 2 tot 5 jaar en hoe goed en zinnig daar op is voorgesorteerd met het uitbrengen van dit raamwerk?
Dus hoe logisch is het werkelijk??
En wat scheelt dat per saldo op wezenlijke onderdelen en het overkoepelende geheel?
Dat is mij, ondanks de mooie gedachte die je er in kan zien, echt nog niet direct duidelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
