EZB eist betere cyberweerbaarheid van banken: ruimte voor verbetering geconstateerd

De Europese Centrale Bank roept banken op tot versterkte voorbereiding en herstel van grotere cyberaanvallen. In haar eerste test om de kwetsbaarheid van de financiële sector ten aanzien van de groeiende dreiging van hackers te beoordelen, vond de ECB aanzienlijke verbeteringsmogelijkheden in het vermogen van banken om op dergelijke scenario's te reageren. De stresstest van de ECB toonde aan dat er al geavanceerde reactie- en herstelkaders aanwezig zijn, maar dat er nog ruimte is voor verbetering. Dit benadrukte Anneli Tuominen, lid van de Raad van Toezicht van de ECB, die de toonaangevende financiële instellingen van de eurozone overziet. In de afgelopen twee jaar hebben met name westerse banken een toename van cyberaanvallen ervaren. Dit is deels te wijten aan Russische hackers die reageren op sancties die zijn opgelegd naar aanleiding van de oorlog in Oekraïne. Ook het gebruik van kunstmatige intelligentie heeft het aantal en de complexiteit van de aanvallen verhoogd. Tuominen onderstreepte het belang van cyberresolutie en verwees naar een wereldwijde IT-storing bij CrowdStrike, die aantoonde hoe incidenten binnen één instelling meerdere sectoren kunnen treffen. De ECB benadrukte dat hun test de reactie van de banken op een succesvolle hacker-aanval onderzocht en niet hun vermogen om dergelijke aanvallen te voorkomen. 109 banken namen deel aan de test, waarbij hun reactievermogen op zware cyberaanvallen werd gecontroleerd via vragenlijsten en documentatie-eisen. Bij 28 van de banken, die een dwarsdoorsnede van de sector vertegenwoordigden, werden uitgebreidere tests uitgevoerd, waaronder IT-hersteltests en ter plaatse bezoeken door ECB-toezichthouders. De resultaten van de test zullen worden geïntegreerd in het jaarlijkse toezicht- en evaluatieproces van de ECB, dat de risico’s van elke bank beoordeelt en hun kapitaalvereisten vaststelt. Een directe invloed op de vereiste kapitaalhoeveelheid wordt echter niet verwacht. Naast crisismanagement- en bedrijfscontinuïteitsplanning binnen de banken werd ook hun communicatievaardigheid met externe partijen zoals klanten, wetshandhavingsinstanties en dienstverleners getest. Deze moesten aantonen dat zij in staat zijn uitwijkmaatregelen te implementeren en kritieke gegevens te herstellen, evenals samen te werken met belangrijke derde partijen. De ECB merkte op dat de toezichthouders elk instituut individueel feedback hebben gegeven en dat deze verder begeleid zullen worden. Sommige banken hebben al maatregelen genomen om de tekortkomingen die in de test zijn geïdentificeerd aan te pakken. De detectie en het verhelpen van zwakke punten in de operationele veerkracht van banken, in het bijzonder met betrekking tot cyberrisico’s, blijft een prioritaire taak van het bankentoezicht door de ECB voor de komende twee jaar, na een duidelijke toename van het aantal en de raffinement van hacker-aanvallen. In oktober waarschuwde Lloyd's of London dat een significante cyberaanval op een wereldwijd betalingssysteem de wereldeconomie 3,5 biljoen dollar zou kunnen kosten. Begin dit jaar werd de grootste bank van Spanje, Santander, getroffen door een cyberaanval waarbij gegevens van klanten in Spanje, Chili en Uruguay werden aangetast. Een paar weken later werden gegevens van miljoenen klanten en medewerkers, inclusief rekeninggegevens en creditcardnummers, te koop aangeboden op een hackforum. Volgens het cybersecuritybedrijf Sophos is het aantal ransomware-aanvallen in de financiële sector afgelopen jaar met 64 procent gestegen ten opzichte van het jaar ervoor. In november werd het New Yorkse filiaal van de grootste bank van China, ICBC, het doelwit van een ransomware-aanval die de 25 biljoen dollar zware Amerikaanse staatsobligatiemarkt verstoorde.