Beheer

Governance
minister Hoekstra

‘DDoS-afweer banken is geen overheidszaak’

De grote DDoS-aanvallen die eind januari bankverkeer hebben verstoord, zijn geen reden voor overheidsmaatregelen.

Wopke Hoekstra © Rijksoverheid
14 maart 2018

De grote DDoS-aanvallen die eind januari bankverkeer hebben verstoord, zijn geen reden voor overheidsmaatregelen.

Het afweren of goed doorstaan van DDoS-aanvallen is een zaak voor banken zelf, stelt de minister van Financiën. De omvang en impact op Nederland doet daar niets aan af. De beschikbaarheid van online-bankieren is hoog, stelt de bewindsman.

“Banken zijn zelf verantwoordelijk voor de beveiliging van hun systemen en moeten storingen in de beschikbaarheid bij De Nederlandsche Bank (DNB) melden”, antwoordt het ministerie van Financiën op Kamervragen. Banktoezichthouder DNB vervult hierbij een controlerende taak, maar de uitvoering is aan de banken. “Het is voor rekeninghouders vervelend als zij tijdelijk niet bij hun bankgegevens of geld kunnen”, schrijven minister Wopke Hoekstra en staatssecretaris Menno Snel in hun antwoorden op de vragen van Kamerlid Henk Nijboer (PvdA).

Nutsfunctie van betalingsverkeer

Hierbij erkennen de minister en zijn staatssecretaris de nutsfunctie van toegang tot bankrekeningen en daarmee het kunnen verrichten van betalingen. “Het is van belang dat de toegang tot geld op orde is en blijft. De toegang tot geld, inclusief de infrastructuur van het betalingsverkeer en het gebruik kunnen maken van een bankrekening, is nodig voor het functioneren van de Nederlandse economie en daarmee van belang voor iedereen in Nederland.”

Dit landelijke belang heeft echter geen dwingende sturing vanuit de overheid. “DNB heeft tot taak om de goede werking van het betalingsverkeer te bevorderen”, legt de minister uit. “Zij heeft normen gesteld voor de veiligheid en beschikbaarheid van het betalingsverkeer in Nederland.” Het is dan aan de banken om te voldoen aan deze normen, waarop DNB dan toezicht houdt; ook voor retailbetalingsverkeer.

18-jarige verdachte

Juist dat laatste is begin dit jaar getroffen door een serie succesvolle DDoS-aanvallen op achtereenvolgende banken. Hierbij is ook de Belastingdienst tijdelijk onbereikbaar gemaakt. De vermeende dader van deze zware netwerkoverbelasting is een 18-jarige man uit Brabant, die op 1 februari is opgepakt. “Zoals blijkt uit mediaberichten wees het opsporingsonderzoek daags na de recente DDoS-aanvallen in de richting van een 18-jarige man uit Oosterhout”, erkent de minister van Financiën.

De jongeman, die alweer uit hechtenis is, kan een flinke straf krijgen. “Het uitvoeren van een DDoS-aanval is strafbaar en wordt gestraft met een gevangenisstraf van maximaal zes jaar indien gemeen gevaar voor goederen of verlening van diensten te duchten is”, schrijft de minister. Het is hierbij wel de vraag of de DDoS-aanvallen op banken en de Belastingdienst voldoen aan de juridische definitie van ‘gemeen(schappelijk) gevaar’.

Geen drie negens beschikbaarheid

In de antwoorden op Kamervragen stipt de minister namelijk aan dat de beschikbaarheid van online-bankieren in Nederland wel op orde is. “De Betaalvereniging Nederland publiceert op haar website actuele beschikbaarheidscijfers van het internet- en mobielbankieren voor de meeste banken. Uit deze cijfers blijkt dat de beschikbaarheid hoog is: over 2017 >99,75% voor internetbankieren en >99,73% voor mobiel bankieren.”

De zware DDoS-aanvallen van begin 2018 kunnen weliswaar impact hebben op deze percentages, maar onduidelijk is of dat ‘voldoende impact’ zal zijn. Een beschikbaarheidspercentage van 99,99 procent (waar online-bankieren in Nederland dus ónder zit) komt neer op een downtime van 52 minuten per jaar. De grote bankverstoring van eind januari heeft schijnbaar langer geduurd, maar dat is ook vanwege het geleidelijk aan weer beschikbaar stellen van de banksystemen voor gebruikers.

De verstoring bij de Belastingdienst kwam volgens de minister neer op een periode van “ongeveer tien minuten waarin burgers en bedrijven de websites van de Belastingdienst niet konden benaderen”. Deze downtime heeft ervoor gezorgd dat burgers en bedrijven tijdelijk geen aangifte konden doen of toeslagen aan konden vragen. “Dat is voor burgers vervelend”, schrijft de Hoekstra.

Waakzaam, alert en actief blijven

De minister van Financiën is in ieder geval hoopvol gestemd: “De actuele beschikbaarheidscijfers van het internet- en mobielbankieren laten gelukkig zien dat de beschikbaarheid van het betalingsverkeer hoog is. Dit, tezamen met de maatregelen die banken in samenwerking met elkaar, cybersecuritybedrijven en overheidsinstanties nemen, geeft mij het vertrouwen dat de toegang tot het betalingsverkeer voldoende op orde is.”

De bewindsman van Financiën erkent wel dat de DDoS-dreiging een reëel en groeiend probleem is. Hij schrijft dat “dergelijke aanvallen blijven voorkomen en aan verandering onderhevig zijn”. Het is aan de banken, toezichthouder DNB en andere betrokkenen om waakzaam, alert en actief te blijven. “Zodat cyberaanvallen zoveel mogelijk kunnen voorkomen dan wel tijdig kunnen worden gedetecteerd, zodat de impact ervan relatief laag blijft.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.