"Cybercrime-industrie is enorm en blijft groeien"


Dubbelinterview met Erik Nieuwenhuis van EuroCCP en Erik Ploegmakers van Fox-IT.



Lees verder


 

 

Ze hebben dagelijks te maken met de risico’s en de gevolgen van cybercrime. Erik Nieuwenhuis werkt voor EuroCCP, een clearinghuis dat aandelentransacties van beurzen en handelsplatformen in heel Europa verwerkt. Een cyberincident bij deze organisatie kan dus grote gevolgen hebben voor andere financiële instellingen. Erik Ploegmakers van Fox-IT adviseert bedrijven en overheden wereldwijd op het gebied van cybersecurity. Hoe beoordelen deze ervaringsdeskundigen het dreigingsniveau voor de financiële sector? 

 


Dubbelinterview: Beeld: Erik Nieuwenhuis

 

Erik Nieuwenhuis

Chief Information Security Officer (CISO) en Head of Information Security bij European Central Counterparty (EuroCCP) 

Dubbelinterview: Beeld: Erik Ploegmakers

 

Erik Ploegmakers

Managing Director van Fox-IT

 

 

Wat is het grootste gevaar van cybercrime?

Nieuwenhuis: “Ontwrichting van de normale gang van zaken. We zijn zo afhankelijk van allerlei elektronische systemen, dat cyberdreiging daar een groot gevaar voor vormt. Wij houden als bedrijf rekening met het ontstaan van een soort sneeuwbaleffect; dat activisten via een cyberaanval onze systemen raken en zo een deel van de financiële infrastructuur platleggen. Dat kan betekenen dat je opeens niet meer kunt handelen in aandelen, of als particulier niet meer kunt internetbankieren of pinnen.”

 

Ploegmakers: “Vaak zitten hackers honderden dagen in het systeem voor iemand doorheeft dat er eentje binnen zit. De vraag is natuurlijk, waarom is dat? Waarom gaat een inbreker honderden dagen op de bank zitten voor hij op zoek gaat naar de sieraden? Mijn theorie is dat hij meestal niet weet wat hij moet zoeken. Wat ik zie als het grootste gevaar is het moment dat hij met iemand in aanraking komt die de waarde van de informatie begrijpt. Dus als een cybercrimineel de documenten die hij vindt, te gelde kan maken. Dat kan informatie zijn over een fusie tussen twee bedrijven of een grote transactie. Die informatie kan veel geld waard zijn voor andere partijen.”

 


“Hackers zitten vaak honderden dagen in
het systeem voor iemand het doorheeft”


DI- 3 - Beeld: Trojan Horse

 

Cybercrime is grensoverschrijdend, maakt dat beveiligen lastiger?

Nieuwenhuis: “Eigenlijk niet. Alles wat je moet doen om een aanval te voorkomen, te detecteren en er goed op te reageren is hetzelfde, ongeacht waar de aanval vandaan komt. Het is door internet wel steeds gemakkelijker om op afstand kwaad te doen. Criminelen, activisten, terroristen en zelfs door landen gesponsorde groepen kunnen vanaf elke plek in de wereld proberen om onze systemen te misbruiken of buiten gebruik te stellen.”

 

Ploegmakers: “Ik vind wel dat het internationale karakter van cybercrime beveiligen lastig en ook frustrerend maakt. Vooral als de daders technisch gezien prima op te sporen zijn, maar de juridische middelen niet toereikend om ze daadwerkelijk aan te pakken. Pas nog bleek uit een onderzoek van McAfee dat Noord-Korea waarschijnlijk achter een grote aanval op de centrale bank van Bangladesh in 2016 zat. Daarbij werd via malware 81 miljoen dollar gestolen. In feite een land dat een bank overvalt. En je kunt er weinig tegen beginnen. Het blijft bij achterhalen wat ze doen en zorgen dat dat niet meer kan gebeuren.”

 


“Vergeleken met andere industrieën loopt
de financiële sector voorop”


DNB -3- DI - Beeld: samen

Kan je de strijd tegen cybercriminaliteit vergelijken met een wapenwedloop? 

Ploegmakers: “Je zou het een wapenwedloop kunnen noemen, zeker gezien de omvang van het probleem. Iedere keer als de beveiliging toeneemt, investeren criminelen ook weer meer. De cybercrime-industrie is enorm en blijft groeien. Het gaat om honderden miljoenen, miljarden, niemand weet precies hoeveel. Maar waarschijnlijk is het meer dan de internationale drugshandel. Soms zie je aan bitcoin-wallets dat er een ransomware-aanval is geweest: er komt dan ineens heel veel geld bij. Het is een gigantische industrie en dus zijn de belangen ook gigantisch.” 


Is er voldoende bescherming door overheid en wetgeving? 

Nieuwenhuis: “Ik vind het de taak van de overheid om ons als financiële instellingen te ondersteunen. Dat gebeurt ook, maar het kan intensiever. Er zijn gelukkig veel samenwerkingsverbanden en initiatieven om informatie te delen. Bijvoorbeeld het National Cyber Security Center (NCSC) in Den Haag. En we hebben een meldplicht. Als er een cyberincident is dat de dagelijkse gang van zaken kan beïnvloeden of een impact kan hebben op andere financiële instellingen of de maatschappij, moet je dat als financiële instelling niet alleen melden aan de toezichthouder, maar ook aan het NCSC. Dat laatste hoeft nog niet zo lang, pas sinds november 2018.”

 

Ploegmakers: Waar de overheid echt iets kan toevoegen, is het realiseren van een goed functionerende digitale identiteit. Dan kan je altijd onomstotelijk vaststellen wie wie is op het internet. Maar dan moet zo’n identiteit echt altijd werken en zeer veilig zijn. De overheid is daar met DigiD gewoon niet in geslaagd, dat is verre van geschikt voor het delen van vertrouwelijke data zoals medische gegevens.”


“Iedereen moet durven zeggen:
'Ik heb op een foute link geklikt'”


DI-3- Beeld:meisjeshacker

Wat doet de financiële sector zelf op het gebied van cybersecurity? 

Nieuwenhuis: Een paar jaar geleden is De Nederlandsche Bank een initiatief gestart: TIBER (Threat Intelligence Based Ethical Red Teaming). Het houdt in dat vriendelijke hackers proberen om jouw systemen en netwerk binnen te dringen. Wij hebben als bedrijf meegedaan aan de totstandkoming en de test zelf ook uitgevoerd. Dat heeft ons geholpen om onze cybersecurity verder te verbeteren.”

 

Ploegmakers: “Dat is echt een mooi voorbeeld. Vergeleken met andere industrieën loopt de financiële sector voorop. Ze zijn minder kwetsbaar voor de traditionele cyberaanvallen omdat ze al langer een veelvuldig doelwit zijn. De ervaring met cybersecurity is daardoor groter en dus is de bescherming van een gemiddeld hoger niveau dan bij andere instanties. Maar de sector is wel gevoeliger voor sociale gevaren. Tussen de 80 en 95% van de aanvallen komt nog steeds van binnenuit. Met de mens als zwakste schakel.”


Hoe belangrijk is transparantie? 

Ploegmakers: Anderhalf jaar geleden zijn wij zelf gehackt en dat was heftig. We hebben toen gezegd: we delen alles. Hoe het gebeurd is, wat we hebben gedaan om het in de toekomst te voorkomen. Het allerlastigste is dat een incident altijd heel klein begint. Met: 'Ik heb iets raars gezien, kijk jij eens.' Best eng, want je kunt kleine dingen dus nooit negeren.” 

 

Nieuwenhuis: Wij hebben opgelet hoe Fox-IT hiermee omging. Ik heb het incident intern gebruikt om te laten zien dat ook een bedrijf als dit gehackt kan worden. Wij hebben naar aanleiding daarvan ook weer dingen verbeterd. Dus ik vond het eigenlijk een heel mooi incident. Je hebt niets aan een blaming and shaming-cultuur in je bedrijf. Iedereen moet durven zeggen: 'Ik heb op een foute link geklikt'. En diegene moet dan vriendelijk bedankt worden voor het melden.”


Ook in deze editie


 

 

 

 

 

 

Online oplichting haalt

fietsdiefstal in 

 

 

 

 

 

 

5 experts aan

het woord 

 

 


DNB over dreiging
financiële sector 

 

 

 

 

 

 

Video: consumenten

over phising 

Erik Nieuwenhuis van EuroCCP en Erik Ploegmakers van Fox IT over #cybercrime: “Hackers zitten vaak honderden dagen in het systeem voor iemand het doorheeft.”

Loading ...