“We zitten in een digitale wapenwedloop.” Met die woorden onderstreepte Steven Maijoor, directeur toezicht bij De Nederlandsche Bank (DNB), tijdens de jaarlijkse vergadering van ISDA in Amsterdam de urgentie van cyberweerbaarheid in de financiële sector. Volgens Maijoor is bescherming tegen cyberaanvallen tegenwoordig minstens zo belangrijk als het aanhouden van voldoende kapitaal en liquiditeit.
Toenemende dreiging van statelijke cyberaanvallen
Maijoor verwees naar het recente nieuws dat de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst op 22 april een Russische cyberaanval op een kritieke publieke dienst detecteerde. Voor het eerst werd in Nederland een statelijk gesponsorde aanval openlijk gemeld — al betekent dat niet dat dit de eerste keer was.
Door oplopende geopolitieke spanningen, vooral in het digitale domein, groeit het risico op ontwrichtende cyberaanvallen vanuit landen. Waar financiële instellingen traditioneel het doelwit waren van criminelen met financiële motieven, zijn nu ook overheden als kwaadwillende actoren in beeld. Zij mikken niet op geld, maar op ontwrichting van vitale processen.
Marktinfrastructuur: aantrekkelijk doelwit
Bijzondere aandacht ging in Maijoors toespraak uit naar centrale tegenpartijen (CCP’s) en andere marktinfrastructuren. Deze instellingen zijn minder talrijk en leveren essentiële diensten zoals clearing en settlement – het afwikkelen van transacties tussen kopers en verkopers, en zorgen dat geld en financiële producten op de juiste plek terechtkomen. Juist daardoor kan een succesvolle aanval enorme gevolgen hebben. “Hun aanvalsvlak is kleiner dan dat van banken, maar hun systemen zijn geavanceerd en cruciaal,” aldus Maijoor.
Veel CCP’s besteden hun cybersecurity deels uit, wat hen afhankelijk maakt van externe partijen. Voor grote banken is het aanstellen van honderden cybersecurity-experts haalbaar, maar CCP’s beschikken vaak niet over zulke middelen. Daardoor wordt hun verdediging complexer en kwetsbaarder.
AI maakt aanvallen geavanceerder
Maijoor waarschuwde ook voor de rol van kunstmatige intelligentie. AI vergroot de schaal, snelheid en verfijning van cyberaanvallen. Een sprekend voorbeeld is een recente fraudezaak in Hongkong, waar deepfake-technologie werd ingezet om een medewerker 25 miljoen dollar te laten overmaken. Hoewel overheden AI nog niet op grote schaal voor ontwrichting hebben gebruikt, is het slechts een kwestie van tijd, stelt Maijoor.
Nieuwe wetgeving: DORA als katalysator
De invoering van DORA (Digital Operational Resilience Act) begin dit jaar moet de digitale weerbaarheid van de Europese financiële sector versterken. De wet verplicht grote instellingen tot zogeheten threat-led penetration tests — proactieve tests die kwetsbaarheden blootleggen. Ook komt er meer toezicht op kritieke ICT-leveranciers, waaronder grote techbedrijven als Google en Microsoft.
DORA stelt bovendien strengere eisen aan uitbesteding, continuïteitsplanning en communicatie na incidenten. De recente cyberstresstest van de Europese Centrale Bank toont aan dat herstelcapaciteit nog te wensen overlaat, aldus Maijoor. “Snel kunnen herstellen na een aanval is cruciaal om het vertrouwen in de sector te behouden.”
Samenwerking is essentieel
Omdat het financiële systeem digitaal verweven is met andere vitale sectoren zoals energie en telecom, is samenwerking essentieel. DNB werkt volgens Maijoor actief samen met deze sectoren, onder meer via gezamenlijke oefeningen en ethisch hacken. “Iedereen moet zijn eigen huis op orde hebben, maar dat is niet genoeg. We moeten dit gezamenlijk aanpakken.”
Tot slot benadrukte Maijoor dat cyberweerbaarheid een kernprioriteit blijft voor DNB. “Dit is een strijd die we niet mogen verliezen.”
Lees hier de speech van Maijoor
