Hoe beschermen we ons spaargeld tegen AI-phishing?

Cyber & Data

Wapenen tegen cybercriminaliteit

Wie kent ze niet: frauduleuze berichten die je verleiden om onterechte betalingen te doen of om gegevens te delen. Rechtstreeks (phishing) of via een valse website (spoofing). Soms zorgt het kromme taalgebruik ervoor dat er alarmbellen bij de ontvanger afgaan. Maar AI-tekstgenerators schrijven al perfect Nederlands en zetten met online-informatie een zeer overtuigend verhaal neer. Voordat je het weet is je spaarrekening leeg. Nóg erger is het als de betaalsystemen van een bank zelf gehackt worden. Dan is mogelijk het spaargeld van een hele grote groep mensen in één keer weg. DNB helpt met ethische hacks de financiële sector zich te wapenen tegen dit soort aanvallen.

Cyberdreiging is prioriteit in DNB-toezicht

Er is veel te halen bij de financiële instellingen. Daarom is cyberdreiging een prioriteit in het toezicht van DNB. Want bij een bank die wordt gehackt kan, naast diefstal van geld, ook de toegang tot rekeningen via ransomware op slot worden gezet. Dan is de maatschappelijke schade en ontwrichting enorm. Verder is er nog de gevoeligheid van informatie bij pensioenfondsen en verzekeraars. Zo heeft een verzekeraar veel unieke persoonsgegevens in handen, zoals medische data of de waarde van de inboedel. Als deze gegevens op straat belanden heeft dat mogelijk een enorme individuele impact en tast dat het maatschappelijk vertrouwen in de financiële sector aan.

Lees de verhalen van onze medewerkers

“Ik test of banken bestand zijn tegen cybercriminaliteit."

Lees het hele verhaal van Huyen
Data Scientist

"Als toezichthouder houd je je bezig met het beschermen van hele gewone mensen."

Lees het heel verhaal van Younes
Senior Toezichthouder

"Ik ben ervan overtuigd dat ik met mijn werk Nederland veiliger maak."

Lees het hele verhaal van Roy
Toezichthouder Financieel Economische Criminaliteit

"Chartaal betalingsverkeer trekt me; het is een keten die erg in beweging is."

Lees het hele verhaal van Bas
Bedrijfsanalist Chartaal Betalingsverkeer

"Mijn comfort zone heb ik niet meer teruggezien sinds ik bij DNB in dienst ben gekomen."

Lees het hele verhaal van Willem Geert
Product Owner

Innovatieve testprogramma’s zoals TIBER

Bij onze divisie Data & IT werken zo’n tweehonderd IT-specialisten. Een deel van hen vormt het Cyber Defense Center dat de ICT-infrastructuur van DNB bewaakt. Andere afdelingen zijn juist gericht op de cybersecurity van de instellingen waarop DNB toezicht houdt. Dat zijn onder meer Cyber Resilience & Crisis Management. Onder andere via de ontwikkeling in eigen huis van innovatieve testprogramma’s wordt steeds breder gewerkt aan de bescherming tegen bijvoorbeeld geavanceerde phishing en andere cybercriminaliteit.

Liever luisteren?

DNB Dossier: Cyber is een speciale serie binnen DNB Talks. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus – die geïnspireerd is op echte gebeurtenissen – een beeld geschetst van het werk van cyberspecialisten van DNB. In deze eerste aflevering vertellen Marcel en Jasper hoe zij als eerste zouden reageren op deze ‘grootschalige ransomware-aanval’. Hoe zorgen hun teams ervoor dat de brand zo snel mogelijk kan worden geblust?

Luister de podcast op Spotify.

Het blussen van de brand

Wat moeten we doen bij een grootschalige ransomware-aanval?

februari 2024 - Met Marcel en Jasper

[00:00:01] Speaker 1 Je luistert naar een speciale editie van DNB Talks, een podcast van De Nederlandsche Bank. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus die geïnspireerd is op echte gebeurtenissen, een beeld geschetst van het werk van de cyber specialisten van DNB. Elke gelijkenis met bestaande personen of gebeurtenissen in deze casus berust op louter toeval. Dit is DNB Dossier Cyber.

 

[00:00:27] Speaker 2 Goedenavond. De Nederlandse financiële sector is opgeschrikt door een grootschalige ransomware aanval. Inmiddels zijn de systemen van tenminste één Nederlandse bank en één verzekeraar platgelegd, waardoor klanten niet kunnen internetbankieren of bij hun online verzekeringspolis kunnen. Nieuwe aanvallen worden niet uitgesloten. De Nederlandsche Bank werkt samen met de financiële instellingen aan het beschermen van de financiële data van de aangevallen. Banken en verzekeraars benadrukken dat de gegevens en het geld van klanten veilig zijn.

 

[00:00:58] Speaker 1 Dit is dus de casus. Hoe zouden jullie teams hierop reageren?

 

[00:01:03] Speaker 3 Nou, ik denk het belangrijkste wat wat er gebeurt op zo'n moment is dat dat de belangrijkste stakeholders binnen DNB geïnformeerd moeten worden. Dat er intern veel communicatie is. Er was een triage team opgezet en triage houdt eigenlijk in dat we gaan kijken wat er precies aan de hand is en waar. Waar zitten de grootste risico's en en moeten we interveniëren of niet? En ik werk vanuit toezicht, maar ik heb ook ontzettend veel collega's die werken vanuit bijvoorbeeld vanuit betalingsverkeer of vanuit crisismanagement. Dus met elkaar moeten gaan kijken of wij moeten gaan interveniëren bij de instellingen of dat we juist zien dat de instellingen daar bovenop zit en dat we niet hoeven te interveniëren omdat we anders alleen maar in de weg zitten.

 

[00:01:48] Speaker 1 Ja, precies oké. En vanuit jouw vakgebied.

 

[00:01:52] Speaker 4 Nou ja, mijn vakgebied is eigenlijk hetzelfde als mijn collega, alleen dan met het verschil dat voor mij de verzekeraars en de pensioensector het meest relevant is. En voor mijn collega de bancaire sector. Uhm. Wij hanteren een vergelijkbare aanpak op het moment dat we vanuit die sector en dergelijke berichten berichten ontvangen. Wat goed is om te weten is dat operationeel we een beperkte rol hebben, zeker bij de bij de instelling zelf. Het is in eerste instantie aan de instelling om hier zorgvuldig mee om te gaan, om een juiste analyse en dergelijke te maken. Wat wij wel doen als toezichthouder is zorgen dat zij zelf op de bal blijft zitten en dat ze ons ook tijdig informeren naar die informatie. Die is voor ons relevant om dat wat bij één instelling gebeurt. We willen voorkomen dat dat zich gaat verspreiden over verschillende sectoren heen, naar andere instellingen. Dus vandaar dat we altijd aangeven zorg dat je ook zo snel mogelijk niet alleen je eigen huis op orde maakt, maar dat je tegelijkertijd zorg dat je andere instellingen informeert en zorgt dat zij de juiste maatregelen kunnen nemen om te voorkomen dat zij ook geraakt worden.

 

[00:03:08] Speaker 1 Ja, precies. Oké, en dan even over jullie van Kunnen jullie jezelf introduceren en uitleggen wat jullie doen?

 

[00:03:16] Speaker 3 Ja, ik ben Jasper. Ik werk nu ASN Bank als toezichthouder IT. En dat houdt in dat kunnen. Ik werk in een expertise team en het expertise team. Daar zit zit ik met een groot aantal collega's, met een met een IT of met een oranje achtergrond. En wij houden toezicht op de IT risico's bij banken en betaal instellingen. En als specifiek hebben wij oog voor het feit of die bank in betaal instellingen hun risico's in voldoende mate beheersen. Dus wij gaan niet op de stoel van de bank zitten. Of dit nou waar ik bank zeg kan je ook betalen. Stelling hoor, het zijn eigenlijk onder toezicht staande instellingen. Uhm zij zijn zelfstandig verantwoordelijk voor en voor de risico's en wat wij doen is wij wij challenge hen. Wij doen ons uit inspecties, we sturen vragenlijsten, we hebben interviews, we krijgen signalen van hen op moment dat er iets mis is. Uhm, waarin we zien of zij risico's waarin ze blijven of bijvoorbeeld cyberrisico's waar we hier over praten. Bijvoorbeeld uh DDoS aanvallen, phishing emails aanvallen op op bancaire systemen? Of zijn voldoende mate die risico's in beeld hebben of ze die in voldoende mate beschermen, of ze ook hun omgeving monitoren en of ze in staat zijn om, wanneer er bijvoorbeeld een ransomware aanval plaatsvindt, of zij in voldoende mate in staat zijn om ook te reageren op zo'n aanval en of ze en of ze daarop kunnen, of ze daar tijdig van kunnen herstellen.

 

[00:04:42] Speaker 1 Ja, precies, Maar een heel groot deel van je werk zit dus eigenlijk aan de voorkant kijken van hoe is dat? Hoe zit die bank daarbij eigenlijk qua risico's? En uh ja, doen zij dat goed genoeg? Ja, en dat eigenlijk steeds controleren? Ja, ja. Dus jullie zijn iets minder betrokken bij zo'n aanval. Maar jullie houden juist van tevoren heel goed in de gaten. Weten die mensen wat de risico's allemaal zijn? En gaat dat goed? En geldt dat ook voor jou? Of kun jij eigenlijk ook jezelf even introduceren?

 

[00:05:11] Speaker 4 Ja, mijn naam is Marcel. Ik werk binnen het Expertisecentrum Operationeel en IT Risico van DNB. Ons expertisecentrum ziet toe op de verzekerings en de pensioensector en wij voeren daar vergelijkbare werkzaamheden uit als zojuist, ook toegelicht door mijn collega.

 

[00:05:29] Speaker 1 Op zich vind ik het best wel logisch dat jullie hetzelfde werk hebben. Alleen jij doet het meer voor banken en financiële instellingen en jij voor pensioenen en verzekeraars. Ja, klopt. En hoe doen jullie dat dan? Wat voor onderzoeken voeren jullie uit?

 

[00:05:41] Speaker 4 Nou, we hebben verschillende type onderzoeken in ons instrumentarium. Die wisselen qua intensiteit en dat kan eigenlijk heel eenvoudig zijn. Op het moment dat het een onderzoek is met een vrij beperkte scope, het uitsturen van een vragenlijst, het vragen van aanvullende toelichting over risico's, incidenten die we in de markt zien dus op het moment dat er een informatiebehoefte bij is bij ons als DNB als toezichthouder is om eigenlijk beter te begrijpen van is dit iets waar we meer mee moeten? Ehm. Maar dat kunnen ook individuele interviews zijn over bepaalde onderwerpen, zoals bijvoorbeeld voorbereiding op eventuele ransomware aanvallen, nieuwe wet en regelgeving. Hoe staat het daarmee? Hoe ver is de instelling daarmee? Ehm, en bij ons eigenlijk? En dat is dan voor onze afdeling het maximum zijn onderzoeken die zo'n twee of drie weken op locatie bij de instelling zijn, waarbij we met meerdere mensen spreken, waarbij we documentatie opvragen, documentatie ook evalueren en dan uiteindelijk binnen de kaders van ons onderzoek tot een conclusie komen over of inderdaad die beheersing van dat onderwerp adequaat en passend is bij de instelling en daarover dan rapporteren.

 

[00:07:04] Speaker 1 Ja, ja oké. En geldt dat? Geldt dat ook zo bij jullie of hebben jullie ander type onderzoek.

 

[00:07:09] Speaker 3 Dan is dat in grote lijnen onze werkzaamheden wel overeenkomen. Een groot verschil tussen het toezicht op de pensioenen van de verzekeraars en de banken betaal instellingen waar wij aan werken is dat voor banken ligt het primaire toezicht Madagaskar eigenlijk bij de Europese Centrale Bank in Frankfurt. Dus Wij werken heel veel samen met en met de ECB en het toezicht is eigenlijk volgens het ECB regime, om het zo maar even te zeggen. Uh, dus we werken ook dus de onderzoekers zoals Marcel die net heeft toegelicht uh die die volgen wij grote maar ook vragenlijsten uhm ons uit inspecties. Dus ja, bij alles is Engels, dus ik zie dat ik soms even in het in het Engelse jargon gebruik en die zijn grotendeels hetzelfde. Maar er wordt veel samengewerkt met de Europese Centrale Bank en met de andere toezichthouders per land. Dat kan bijvoorbeeld inhouden dat we ook een onsite inspectie doen. Dan gaan we ter plaatse bij zo'n instelling en dat kan soms wel 2 tot 3 maanden zijn. En dat is het best wel inclusief. We vragen, zoals net gezegd we doen interviews, opvragen documenten, bekijken mee in de systemen van een bank en en het leuke daaraan is, is dat je dus ook door die internationale samenwerking, dat dat ook kan zijn met een collega van zowel de ECB als van een buitenlandse toezichthouder en als een consultant die daarin meedraait. Dus daarin, uh, dat is best wel diepgaand.

 

[00:08:29] Speaker 1 En wat is dan de aanleiding om zo'n onderzoek te doen?

 

[00:08:32] Speaker 3 Nou kijk, ons toezicht is risico gebaseerd opgesteld dus. Onze kalender volgt enerzijds risico's die we in de buitenwereld zien, waarvan we denken van nou dat daar zien wij een verhoogde dreiging. Dus daar gaan we. Bank of challenge. En dat kan een aanleiding zijn voor een onderzoek. Of het kan zijn dat een bank uh dat er in t verleden incidenten hebben plaatsgevonden waarvan we denken nou hier zien wij dat ze t niet voldoende beheersen, dat we daarop inspringen en een onderzoek doen. Uhm. Of kunnen bijvoorbeeld zaken vanuit de media zijn? Er zijn verschillende aanleidingen signalen vanuit de klant, toezicht dat iets niet goed loopt en dat kan al. Uh nou, dat vormt allemaal input voor een keuze om tot zo'n toeschouwers kleine te komen en zo'n inspectie te plannen.

 

[00:09:16] Speaker 1 Ja, kun je ze gewoon een voorbeeld noemen van iets uit de media? Bijvoorbeeld dat jullie dachten hey, wat is dit?

 

[00:09:23] Speaker 3 Eventjes checken hoe vanuit de media? Uhm, dat was wel een goede eh. Nou, we zien natuurlijk wel. Kijk, dat is misschien wel weer een leuke moment met het uh. De aanleiding voor deze van deze podcast ook is dat we zien dat niet alleen media, maar ook natuurlijk elke dreiging radar er zijn. Er is een stijging in het aantal ransomware aanvallen. Uh dus wij zijn van mening dat uh dat instellingen zich daar voldoende mate tegen moeten wapenen. Dus wij doen ook inspecties op het gebied van cyber, waarin we kijken naar die specifieke elementen waarin we hebben, waarin banken zich moeten voorbereiden, maar ook maatregelen moeten treffen. Om voldoende gewapend te zijn tegen zo'n ransomware aanval. Dus niet alleen beschermen, maar ook afweren en ook herstellen. En dus dat. Dat is zo'n voorbeeld waar we dan, waar we ook naar de buitenwereld kijken van hé, dat gaat bij ons instellingen spelen.

 

[00:10:14] Speaker 1 Ja, precies, oké. En wat voor risico's worden er beoordeeld?

 

[00:10:23] Speaker 3 Wat voor risico's je kijkt is een feit. Wij spreken het meest uit over IT risico's en dat is breed. En ja, we hebben het in de literatuur vaak over bijvoorbeeld het kan je het hebben over officier, conferentie, politie, integriteit of labiliteit. Uhm. Dus eerst zijn aanvallers in staat om de OM de conferentie en de vertrouwelijkheid van gegevens te doorbreken of om data aan te passen, dus de integrity of om systemen plat te gooien die de vele bellen die um de data.

 

[00:10:51] Speaker 1 Dat is natuurlijk een nachtmerrie.

 

[00:10:53] Speaker 3 Exact. Ja, ja dus. En wanneer je uhm ja, dan kan je ze daar niet diep induiken. Maar je kunt ook kijken naar de motivatie van bijvoorbeeld aanvallers uhm die naar instellingen kijken. Maar uh, veel ability is inderdaad een factor om gewoon ja bijvoorbeeld vanuit uh sabotage te kijken of je systemen kan kan uh ja kan neerhalen kan plat. Uhm, om daarmee de continuïteit van een instelling uh in gevaar te brengen.

 

[00:11:20] Speaker 1 Hoe doorgrond je nou een financiële instelling die met veel systemen en infrastructuur aan elkaar vastgeknoopt zit?

 

[00:11:26] Speaker 3 Als wij ons laten gaan bij een instelling en we kijken in dit geval bijvoorbeeld naar een UH, naar een instelling die te maken heeft met en met een hoge, met veel incidenten of met veel verstoringen. Uhm, daar gaan we dan is het eerst aan de instelling zelf om achter te komen van joh, hoe komt dat nou? Want zij zijn niet alleen gehouden aan bepaalde wet en regelgeving ten aanzien van beheerste bedrijfsvoering. Uhm. Maar het is ook nog zo dat als er veel verstoringen voorkomen, dat zie je ook in de media dat het gelijk uh het vertrouwen van de consument kan en kan schaden. Uh dus dat is iets waar ons uh uh als toezichthouder heel scherp op zijn. Uhm. En in zo'n geval kunnen we dus overgaan tot uh, tot bijvoorbeeld eerst een gesprek of een brief, of een uh, of een kort onderzoek, of een of een uitgebreid onderzoek. Uh, eigenlijk met als doel om die instelling ertoe te bewegen. Uh ja, uhm, hoe zorg je nou dat je die eerste bedrijfsvoering hebt? Dat je gewoon alles zo'n controle hebt? En hoe overtuig je ons als toezichthouder dat die risico's uh beheerst zijn en dat je dienstverlening niet uh om de haverklap eruit ligt door uh door bijvoorbeeld incidenten?

 

[00:12:40] Speaker 1 Ja dus. Dan kan het zelfs zijn dat het niet eens illegaal is wat zo'n instelling doet, maar dat het gewoon ja als zo'n systeem zo vaak eruit ligt dat jullie zeggen van ja, je moet daar toch iets aan doen, want mensen vertrouwen anders jouw instelling niet meer.

 

[00:12:54] Speaker 3 Ja, ja da, daar komt het wel op neer inderdaad dat je uh dat uh dat dit is natuurlijk uh de de Het vertrouwen van de consument is hier in het in het geding. En ook al overtreed je met uh met al je fusies en overnames in je complex aan elkaar geknoopt ICT systemen overtreed je geen toezicht regel. Uh desalniettemin uhm uh kan het wel uh schadelijk zijn als je als dat als dat jouw uh de dienstverlening belemmert? Ja.

 

[00:13:22] Speaker 1 Wat voor type cyber specialisten werken er in jullie team?

 

[00:13:27] Speaker 3 Nou, als ik voor mijn team spreek dan. We zijn op dit moment denk ik met met een uh zestien man vrouw. Dat we op dit moment met ongeveer zestien personen in ons team uh zijn ook vrouwen? Ja ja zeker. Ja ja, wel in de minderheid. Waar het Uh ja, dat is een beetje afspiegeling van het van het idee vakgebied en dat de mannen toch in de meerderheid zijn, maar dat het veelal collega's zijn met een achtergrond in uh in audit en dan specifiek in IT audit. Uhm, omdat. En dat is heel simpel. Uhm, mensen die op de achtergrond hebben, die hebben het hele vakgebied geleerd van hoe doorgrond je eigenlijk een organisatie, hoe doorgrond je systemen en wat is de kleur achter de line of defense? In een uh, in een organisatie en als toezichthouder ben je erg rustig. Ja, de vorige line of of the vijftien of defense.

 

[00:14:19] Speaker 1 Ja dus. Het zijn vooral mensen die goed uh ja kunnen onderzoeken, vragenlijsten interviewen, dat soort dingen. Dus misschien iets minder keiharde IT techniek.

 

[00:14:31] Speaker 3 Ja, we zijn in ons team werken vooral uhm, analytische mensen met mensen met een onderzoeks specialisatie uh, die we goed weten te doorgronden en die hier inderdaad van een hele grote uh, laten we zeggen een hele grote bak aan informatie en data. Uh precies daar weten uh in te sommen waarvan wij denken dat er uh risico's zijn. Dus een beetje waar je een onderzoek zoals start eerst heel breed en dan denk je nou hier zijn een aantal dingen niet goed en dan uh smal en diep.

 

[00:15:00] Speaker 1 Ja precies en en bij jou is dat hetzelfde.

 

[00:15:04] Speaker 4 Ja, dat is enigszins vergelijkbaar. Ons team is rond de vijftien fte denk ik. Uh, vrij divers, zowel qua man vrouwverhouding als qua leeftijd. Ook een vrij divers opleidingsachtergrond. Uh, we hadden voorheen twee, nu nog één persoon met conservatorium opleiding. We hebben geschiedenis gehad uh data analyse binnen ons team computer science, maar ook bijvoorbeeld een accountancy achtergrond. Uhm, juist omdat ja, cybersecurity is niet alleen de techniek. Uh. Dus ja, we hebben ook gewoon verschillende disciplines nodig binnen het team. Verschillende invalshoeken. Zo kunnen we natuurlijk ook van elkaar uh van elkaar leren.

 

[00:15:47] Speaker 1 Wat is nou eigenlijk in jullie carrières het spannends wat je hebt meegemaakt, zeg maar? Zit je echt? Oei, hier wordt toch iets opgespoord of uh, door deze audit is het echt uh we echt?

 

[00:16:00] Speaker 4 Ik snap de vraag inderdaad. En ja uhm, wij kunnen uiteraard reageren op hetgeen dat in de media is geweest. Nou, we mogen ons enigszins gelukkig prijzen in Nederland als Nederlandse toezichthouders dat het aantal succesvolle grootschalige aanvallen in Nederland relatief beperkt is en ik denk op één hand te tellen uh te tellen is Tegelijkertijd. We hebben natuurlijk wel wat incidenten gehad. Als ik even kijk naar de pensioensector bijvoorbeeld, waar ik zelf werk. Kijk, het is nooit leuk als je s ochtends in de auto stapt en je zet de podcast van de Pensioen Pro op en je ziet in je dashboard de titel verschijnen over het grootste datalek in de pensioen geschiedenis. Uh, dat blijkt. Uiteindelijk was er toen uh ja, een hoop data gelekt via een marketingbureau, dus eigenlijk nog niet eens door ja rechtstreeks de instelling aan te vallen en daar data te ontvreemden. Maar een instelling die data, ja al dan niet bewust had overgedragen naar een externe partij en daar uiteindelijk was een datalek ontstaan.

 

[00:17:06] Speaker 1 Ja ja dus dat was eigenlijk een dieptepunt denk ik.

 

[00:17:12] Speaker 4 Nou ja, dieptepunt. Ieder incident is ook weer een kans om te verbeteren en om te kijken van wat kunnen we hier nu van leren? Ja, in principe hadden we dat als DNB al, maar het sterkt ons in de visie op toezicht die we hebben dat het inmiddels ook eigenlijk instellingen overstijgt. En wat ik daarmee bedoel is een financiële instelling staat onder ons toezicht. Daar komen wij langs, daar doen wij onderzoeken, daar kijken wij naar de cyber weerbaarheid. Maar in toenemende mate bestaat een onder toezicht staande instelling, werkzaamheden, delen van IT systemen, delen van processen uit aan leveranciers. En die leverancier zal ook niet alles zelf doen en die zal ook weer zaken uitbesteden. Nou, op een gegeven moment krijg je dan een vrij complex landschap waarvan het lastig is te doorgronden van ja waar zitten nu de kwetsbaarheden binnen die hele keten? Ja, en waar begint en eindigt het mandaat van DNB en waar hebben we wel en niet zicht op? Ja, en dat is natuurlijk ook vanuit cyber weerbaarheid gezien. We hebben het nu over een ransomware aanval voor een instelling. Maar wat we bijvoorbeeld ook zien is zeg dat twintig financiële instellingen binnen Nederland dezelfde leverancier gebruiken voor hun kritieke IT dienstverlening en die leverancier wordt geraakt. Dan zijn wij vrij content, want het probleem zit in principe niet bij de instelling, maar het heeft uiteraard wel effect. Ja, en wij moeten daar als toezichthouder ook iets mee, want het raakt uiteindelijk wel. Uh ja, sowieso de beschikbaarheid van de diensten, de integriteit van de diensten. Ehm. En ja, op termijn dan ook het vertrouwen wat de consument heeft in dat financiële stelsel? Ja, op het moment dat zo'n partij geraakt zou worden ja.

 

[00:19:19] Speaker 1 Dus na dat incident met dit, met dat marketingbedrijf zijn jullie allemaal even wakker van hé, daar gaat het toch? Moeten toch echt even verder kijken dan alleen die instellingen over de vloer komen.

 

[00:19:29] Speaker 4 Ja, het heeft laten zien hoe belangrijk het is om niet naar individuele instellingen te kijken, maar naar het systeem als geheel en ook de ketens die daarin opereren. Ja en ja. Het is nog vrij makkelijk om te kijken naar professionele partijen die daar misschien net onder hangen. Ja, bekende partijen Amazon, Microsoft, Google zijn dienstverleners die vrij veelvuldig gebruikt worden binnen de financiële sector. Maar waar het risico zit is de eigenlijk de wat kleinere partijen. Processen die misschien voor een instelling niet direct kritisch zijn, maar waar wel een wezenlijk reputatie risico in zit of waar data mee gedeeld wordt die vertrouwelijk van aard is.

 

[00:20:15] Speaker 1 Wat dan?

 

[00:20:16] Speaker 4 Zoals bijvoorbeeld het marketing.

 

[00:20:17] Speaker 1 Bureau wat we eerder als.

 

[00:20:19] Speaker 4 Voorbeeld aanraakten.

 

[00:20:21] Speaker 1 Stel je doet een audit bij een instelling en je doet een interview of een vragenlijst. Hoe weet je dat die antwoorden echt waar zijn?

 

[00:20:29] Speaker 3 Ja, dat is een goede vraag. Of de antwoorden echt waar zijn? Uhm. Ik denk dat het begrip bron en triangulatie ook best belangrijk is wat we doen in in onze onderzoeken. Omdat zo'n inspectie is doorgaans is ter plaatse is is echt wel inclusief bij een bank. En het is niet alleen een interview, het is echt een combinatie van factoren waarmee wij risico's boven water willen halen. Dus het is zeg maar. Je zit vaak ook live in een systeem. Wil je meekijken van UH van instellingen? Je Je spreekt met mensen, je bekijkt documenten, je stelt. Elke dag stel je een vragenlijst op die ze binnen zoveel tijd weer moeten moeten beantwoorden. En dat alles bij elkaar, dat neem je mee en daar heb je een oordeel over. Dus dat wanneer iets echt zou worden uitgesproken of gecommuniceerd wat niet uh niet waar blijkt te zijn. Ja, dat zou best een doodzonde zijn denk ik. En het komt ook vrij snel uit uh door eigenlijk de verschillende onderzoeks methodieken die wij gebruiken.

 

[00:21:28] Speaker 1 Ja ja, maar gebeurt wel eens.

 

[00:21:31] Speaker 3 Dus nee, ik kan me eigenlijk niet. Uhm. Nee, nee, ik kan mij geen dit apparaat voor bijvoorbeeld uh uh voor de geest halen. Waarbij ik echt het idee had dat uhm, dat er foute informatie werd verstrekt. De zaken wordt natuurlijk wel eens positiever voorgedaan dan uh dan dat ze zijn. Ja, maar.

 

[00:21:50] Speaker 1 Wat is liegen hè? Ja, precies.

 

[00:21:53] Speaker 3 Nee, ik zou. Ik zou onder toezicht aan de instellingen hier niet willen betichten van liegen, dus dat kan ook absoluut niet.

 

[00:21:58] Speaker 1 Nee.

 

[00:21:59] Speaker 4 Ja, we proberen ook sowieso altijd een setting te creëren waarin het goed is of waarin het makkelijk is om open te zijn. Dus sowieso we willen uh een een open dialoog willen en een goede toezichthouder zijn. Uh, dat betekent dat we kritisch kunnen zijn. Uhm. Maar wij interviewen en wij doen geen verhoren, dus we proberen altijd deelnemers op hun gemak te stellen uh te stellen. We zeggen ook altijd bij dat uh, het is geen individuele beoordeling van iemand. Wij zijn hier om te kijken naar het risicomanagement raamwerk van de instelling in de brede zin dat datzelfde geldt voor als wij uiteindelijk terug rapporteren naar de instelling. Dat we daarin nooit individuele namen uh opnemen is dat wij niet zeggen uhm, heel uh uh logisch. Toegangsbeveiliging is onvoldoende op orde, blijkt uit het interview met de heer Piet.

 

[00:22:55] Speaker 1 Ja, ja.

 

[00:22:56] Speaker 4 Ja Uhm.

 

[00:22:58] Speaker 3 Sowieso.

 

[00:22:59] Speaker 4 Ja. Wat wij altijd proberen is om uh aan te geven. We zijn hier met hetzelfde doel.

 

[00:23:06] Speaker 1 Oh ja, wat lopen jullie bij ons ook inderdaad. Of merk je wel eens weerstand? Of je mensen denken jeetje, we doen het gewoon allemaal echt heel goed.

 

[00:23:14] Speaker 4 Je. Je merkt ons.

 

[00:23:15] Speaker 1 Op met je onderzoek.

 

[00:23:18] Speaker 4 Je merkt weerstand en we hebben natuurlijk ook twee verschillende uh twee verschillende eigenlijk type bevindingen. Uhm. We kunnen iets zien waarvan wij vinden het is gemist. Dus wij brengen als toezichthouder iets boven water wat de instelling zelf niet gezien heeft. Het andere punt is dat wij ja het risico anders beoordelen, dus dat wij anders kijken naar wat is nu de kans en impact dat het hier misgaat? Of wat is uh de passendheid van de maatregelen die hier getroffen worden? Nou, daar kunnen we uh discussies over voeren. Uhm het is natuurlijk ook eigenlijk uh 111 goede eigenschap om te hebben als toezichthouder dat je ook enigszins kunt overtuigen. Dus dat je het ook op een bepaalde manier kunt brengen dat je de instelling ook wel meeneemt. Ik merk wel, en dat is uh voor mij wel uh iets typisch Nederlands. Dat de cultuur van toezicht en audit hier wel meer is van het is een kans om te leren. Dus wat hier uiteindelijk aangedragen wordt, uh, dat is een kans om weer een extern perspectief om een externe blik naar buiten te halen. Ja, ik merk wel Europees gezien, maar daar heeft mijn collega wat meer ervaring mee. Uhm, dat er landen zijn waarin dat wel anders is en waarbij het meer voelt als een individuele beoordeling of waarmee mensen zich echt zelf aangesproken voelen op het moment dat er een bevinding is in het domein waar zij voor verantwoordelijk zijn.

 

[00:24:52] Speaker 1 En dat is natuurlijk ook wel logisch, want wat merk je dan aan weerstand bijvoorbeeld?

 

[00:24:57] Speaker 3 Nou, die die weerstand hier, die kan zich op verschillende manieren uiten. Uhm door omdat 11111 inspectie is, is waar alles is aangekondigd maar is en anderzijds ook eigenlijk opgelegd en instellingen kan dat niet uh.

 

[00:25:13] Speaker 4 Weigeren te.

 

[00:25:14] Speaker 3 Weigeren, Dat komt nu even niet uit. Ja en wat je ziet is dat uhm, dat medewerkers die daarmee belast zijn, die hebben natuurlijk reguliere werkzaamheden en daar komt een inspectie komt daar bovenop. Ja dus dat kan inderdaad. Kan ik me voorstellen dat dat niet even leuk wordt uh wordt ervaren. Maar wat altijd wel proberen is, denk ik, is dat we dat we op de relatie dat we een goede relatie uh proberen op te bouwen door gewoon met respect en begrip voor elkaars en onderzoek uit te voeren en dat die relatie goed is met de uitkomst. Ja daar kan je over twisten ja.

 

[00:25:46] Speaker 1 Kunnen we eigenlijk ook straffen?

 

[00:25:49] Speaker 3 Ja zeker. Ja, dat is leuk. Daar zie je ook eigenlijk het verschil tussen tussen ons werk bij toezicht en bij een ander onderdeel van DNB waar echt interventie en handhaving zit. Bij toezicht maken we doen we een inspectie. We schrijven een rapport. Daar komt een brief uit aan een instellingen met met wat wordt verwacht, wat zij veranderen. Is het wat niet het hoe, het hoe ze veranderen. Dat is eigenlijk aan henzelf. Hoe gaat u? Hoe gaat u voldoen aan de geldende wet en regelgeving? Dat is aan hen. En op moment dat dat niet juist volledig tijdig gebeurt, dan kom je in een ander pad. Dat is eigenlijk een escalatie pad waarbij meer richting interventie en handhaving gaat.

 

[00:26:28] Speaker 1 Ja dus dan geven jullie dat dossier door.

 

[00:26:30] Speaker 3 Ja, daar komt het op neer.

 

[00:26:32] Speaker 1 Ja oké.

 

[00:26:34] Speaker 3 En misschien nog een leuke aanvulling is het dat wat ik net even over de weerstand en en de manier van toezicht houden en ook binnen Europa. En dan zie je inderdaad ik. Ik denk dat ik voor de manier waarop het team waar ik in werk dat het wel zou karakteriseren als best wel principle based toezicht versus rule based. Inderdaad echt kijken van dat je het niet ja niet de letter van de wet, maar meer de geest van de wet daarin meeneemt. Er was ooit een uh, een bekende goeroe op het gebied van toezicht die het dan vaak heeft over als je een regel overtreedt, is dat dan illegaal of is het schadelijk? En iets kan illegaal zijn. Goh, je hebt de rapportage een dag te laat ingediend, maar het is niet gelijk schadelijk. En dat schadelijk, daar gaat het meer over. Ja, welke risico's loop je nou door een regel te overtreden? Ja, en daarin kijken we ook wel sterk naar IS iets is niet schadelijk en als het illegaal is, dan overtreedt je dus de wet. Maar dat we ook kijken inderdaad van wat voor impact heeft het? Uh rapporten schrijven en boetes geven voor uhm ja voor zaken die uh met een hele lage impact? Ja, dat dan. Dan stuit je wat sneller op die weerstand waar we het net over hadden. Ja.

 

[00:27:49] Speaker 1 Met welke data en IT tooling werken jullie.

 

[00:27:54] Speaker 4 Naar de tooling specifiek die kan wisselen binnen DNB? Maar ik denk dat het ook interessant is om te benoemen dat we steeds meer datagedreven proberen te werken binnen DNB. Ook deels noodzakelijk. Wij zijn met vijftien medewerkers ongeveer in het team. Nou tellen we de verzekeraars en pensioenfondsen in Nederland waar wij toezicht op houden bij elkaar op. Dan komen we tot een getal van ongeveer 300. Nou ja, met zoveel mensen moeten wij keuzes maken in waar we wel en niet langsgaan en met welke identiteit. En sinds enkele jaren voeren we daarvoor de Sectorbreed Analyse Informatiebeveiliging uit. Dat is een questionnaire die ieder jaar naar alle verzekeraars en pensioenfondsen opgestuurd wordt, waarin een aantal kwantitatieve en kwalitatieve antwoorden gezocht wordt op vragen als het aantal incidenten en de frequentie waarmee ze een eigen onderzoek kunnen doen en hoe lang ze gemiddeld doen, over het installeren van kritieke beveiligings updates en dergelijke. En ja, waar wij intern mee werken is dan ehm, ja, de data. Zodra wij die ontvangen visualiseren we dat. Visualisatie heb je nodig om te kijken van ja, wat zijn bepaalde patronen die ik hierin zie? Wat zijn terugkerende terugkerende zaken? Wat valt mij? Wat valt mij op? Dat doen we door een combinatie van Python en PowerBI. Om dan heel specifiek te zijn, ehm, Python. Vooral voor de analyse en de modellering. Omdat we ook niet alle individuele datapunten zelf kunnen kijken. Dus Python gebruiken we om eigenlijk te modelleren. Dus alle ruwe data ontvangen wij. Dat gaat het model in het model. Daar zit tot op zekere hoogte onze intelligentie in. Dus hoe zouden wij normaal normaliter toezicht houden als we wel langs zouden gaan bij de instelling? Wat vinden we wel belangrijk? Wat vinden we iets minder belangrijk? Die geeft daar bepaalde gewichten aan, die gewichten en de output eigenlijk van dat model. Die gebruiken we dan weer om ons toezicht voor het volgende jaar te sturen.

 

[00:30:25] Speaker 1 Waar gaan we dit jaar langs?

 

[00:30:26] Speaker 4 Ja, waar gaan we dit jaar langs? Inderdaad. En dat.

 

[00:30:30] Speaker 1 Jaar. Misschien dat er al mensen zitten luistervinken of ze werkt met Python. Gewoon even solliciteren.

 

[00:30:35] Speaker 4 We hebben op dit moment minimaal één vacature volgens mij en we hebben ook vrijwel doorlopend een stage stageopdracht in dit domein. Daarbij zoeken we dus mensen die ervaring hebben met data analyse en bij voorkeur affiniteit. In ieder geval met IT of met informatiebeveiliging die ons kunnen helpen met het verder automatiseren van dit proces. Dus het gaat dan eigenlijk om de hele de hele straat. Dus dat maakt het ook interessant. Want je bent niet alleen aan het analyseren of niet alleen mooie dashboards aan het bouwen. Nee, we zoeken iemand die ondersteunt bij eigenlijk ontvangst, data analyse van de data, het visualiseren en dat ook kan overdragen op een manier naar de toezichthouders. Dat je zegt ik denk op basis van wat ik terug zie komen inderdaad dat ik jullie hier en daar een accent zouden moeten leggen in het toezicht. Of misschien wat meer aandacht voor moeten vragen. Ja maar ook. Want wat we ook doen is bijvoorbeeld terugkoppeling naar de sector resultaten van ons onderzoek. Benchmark rapportage bijvoorbeeld, die daar ook een bijdrage aan aan kunnen leveren.

 

[00:31:55] Speaker 1 Oh ja, je wilt er ook iets aan toevoegen.

 

[00:31:57] Speaker 3 Ja. Ik denk dat het dit zonder het hele antwoord van voor te reproduceren. Wat was dat, jullie spa idee hebben dat hij bij ons iets dat staat voor AT Iris Questionnaire in grote delen gelijk aan specifiek voor de voor de bancaire sector, waarin ook Ik heb een vragenlijst inzicht verkregen in de beheersing van risico's bij het bij banken. En het interessante daarvan is misschien is dat je dus per instelling een heel gedetailleerd beeld krijgt hoe een instelling er staat. Maar je kan ook een horizontaal beeld maken over een sector heen. Ja en en dat geeft niet alleen het het beeld van waar we het volgend jaar waar moeten we op focussen, maar ook doordat je daarover kan publiceren naar inzicht in kan bieden. Hou je de sector eigenlijk ook een spiegel voor van hoe? Hoe sta je ervoor? Want je kan die individuele instelling op microniveau eigenlijk zijn peer review laten zien van hoe doe je dit ten opzichte van je andere spelers in de sector? Door en door en dat u eigenlijk op het niveau van de individuele instelling en wat je dus kan doen is daarna. Wat we willen doen is het publiceren van een nieuwsbericht waarin je eigenlijk over de horizontaal beeld over de sector heen kan aangeven hoe ze ervoor staan om ook die aandacht te vragen en ze betrokken te houden bij bij risico's die in Chili zit, waar we echt nog over de sector heen verbetering nodig is.

 

[00:33:10] Speaker 1 Ja, dat klinkt wel klinkt mooi. Wat is nou het maatschappelijk belang van jullie werk?

 

[00:33:16] Speaker 3 Werk aan vertrouwen, Dat is de. Dat is volgens mij het het credo van de Engelse bank. En dat is waar je dit voor doet. Dat de Engelse burger de consument met vertrouwen uh gebruik maakt van de van de diensten van de financiële sector. Dat is niet. Dat zeg ik niet om de financiële sector te verdedigen, maar dat is wel het doel dat zoals ik zei, dat de consument zich niet hoeft af te vragen wat nou als ik mijn spaargeld bij bank A of B bank B neer? Nee, ze zijn beide even veilig omdat ze onder toezicht staan van De Nederlandsche Bank. En dat is het. Daar doe je het voor. Dat uh, dat zij zich geen zorgen hoeven te maken over het feit dat dat spaargeld verdwijnt of dat ze niet bij hun geld kunnen. Of dus uh, als je in de supermarkt met je pinpas wil betalen dat die gewoon dat je geweigerd wordt en afgezien kijkt. De storingen zijn altijd mogelijk, maar dat we wel een uhm.

 

[00:34:13] Speaker 1 Ja een basisvertrouwen hebben eigenlijk.

 

[00:34:15] Speaker 3 Ja, ja precies, dat heeft ja.

 

[00:34:18] Speaker 1 Nou hartstikke mooi. Dank je wel voor het gesprek. In de volgende aflevering gaan we luisteren naar hoe DNB ervoor zorgt dat andere instellingen veilig blijven door middel van ethische hacks. Dit was een aflevering van DNB Talks. Heb jij ook een vraag over het werk van DNB? Stel hem via DNB Talks at DBNL en wie weet beantwoorden wij hem in de volgende aflevering.

 

Voorkomen dat de brand overslaat

Hoe voorkom je dat een grootschalige cyberaanval overslaat?

februari 2024 - Met Anna en Rogier

[00:00:01] Speaker 1 Je luistert naar een speciale editie van DNB Talks, een podcast van de Nederlandse Bank. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus die geïnspireerd is op echte gebeurtenissen, een beeld geschetst van het werk van de cyber specialisten van DNB. Elke gelijkenis met bestaande personen of gebeurtenissen in deze casus berust op louter toeval. Dit is DNB dossier Cyber. Goedenavond. De Nederlandse financiele sector is opgeschrikt door een grootschalige ransomware van van. Inmiddels zijn de systemen van ten minste één Nederlandse bank en één verzekeraar platgelegd, waardoor klanten niet kunnen internetbankieren of bij hun online verzekeringspolis kunnen. Nieuwe aanvallen worden niet uitgesloten. De Nederlandsche Bank werkt samen met de financiële instellingen aan het beschermen van de financiele data. De aangevallen bank en verzekeraar benadrukken dat de gegevens en het geld van klanten veilig zijn. Jongens ja. Hoe zou het team reageren in deze cases?

 

[00:01:02] Speaker 2 Ja, wel dat t verschillende rollen h. Dus we testen instellingen of uhm en daar test we eigenlijk dat dit uhm had kunnen gebeuren. En hoe zou je dan reageren als instelling? En dat zou de Tiber testen die we uitvoeren. En we hebben nog een tweede rol voor als het echt misgaat. Dan hebben we ook t uh tripartite crisis overleg en dat is van uhm, AFM, DNB en ministerie van financiën. En dan uh is er een hele zee crisis structuur die zich ontspint op het moment dat dit plaatsvindt, waarin wij dan een adviesgroep cyber hebben en die adviseert dan uh, de base van die uh AFM, DNB en de ministerie van financiën over wat ze zouden moeten doen.

 

[00:01:44] Speaker 1 Ahh ok. En dat is dus uhm wat ik begrijp. Jullie doen dus die Tiber testen, dus jullie voorkomen eigenlijk H door teelt, door eigenlijk fictieve aanvallen te organiseren met die Tiber testen of allerlei soorten aanvallen. Misschien kunnen we straks nog over hebben. Uhm, dat uh banken of verzekeraars of instellingen uberhaupt? Te kraken zijn.

 

[00:02:08] Speaker 2 Dat klopt, dus we zorgen ervoor dat ze zo goed mogelijk beschermd zijn. En mocht het dan toch misgaan, dan zit in ons team ook nog een afdeling die zich daar mee bezighoudt.

 

[00:02:17] Speaker 1 Al wel, maar dat zijn mét jullie twee. Dus als zoon, als er dit gebeurt, dan zit jullie gewoon. Nou ja, die werken jullie gewoon door. Maar de dingen.

 

[00:02:26] Speaker 2 Die die adviesgroep die ik net noemde, die zit ik voor en we zitten dan uh, dertig van de belangrijkste security officers en decisions van die dertig kritieke instellingen in Nederland. Die zitten daarin en met elkaar, bereiden dan een advies voor. Uh, hoe ministerie van Financiën, AFM en DNB zouden moeten reageren.

 

[00:02:45] Speaker 1 Ok, dus dat is toch wel behoorlijk uh crisis gericht zeg maar.

 

[00:02:48] Speaker 2 Dat is behoorlijk griezelig echt. Alleen dat gebeurt natuurlijk bijna nooit. Dus vandaar dat ons team iedere dag met andere dingen bezig is en dit wel voorbereidt. Uhm en nou ja, uhm ja als t boek de ventilator raakt dan uh, zijn wij d'r ook?

 

[00:03:02] Speaker 1 Ja precies. En hoe gaat dat dan? Want moeten jullie dan? Uh. Nou dat wordt bekend. Uh moeten jullie dan? Uh ja ik weet niet hoeveel mensen daar je hebt. Noemt best wel wat mensen die daar in dat overleg zitten. Komt dan iedereen uit heel Nederland? Uh moet binnen 1.00u bij elkaar zijn en uh in de hoorn is ja sowieso een beetje. Dan zijn ze wel voorstelling.

 

[00:03:20] Speaker 2 Wij zitten inmiddels wel. Is dat dan een digitale boardroom? Mm hu. Uhm dus iedereen uh belt in uh wordt wel gevraagd. Uhm hij eerst via een signaal van whatsapp kanaal, maar.

 

[00:03:31] Speaker 1 Gaat dat per verbond? Stel dat zo'n aanval s nachts gebeurt. Er is dan iedereen oproepbaar en voor zoiets. G Gaan jullie dan echt meteen in actie, ook al is het 3.00u s nachts? Ja, dat moet wel. Ja.

 

[00:03:41] Speaker 2 Dus iedereen uh is bereikbaar.

 

[00:03:44] Speaker 1 Per sms als je je telefoon aan. Ja. Ow ja ja. En dan een ander. K Kunnen jullie dus gewoon s nachts in je pyjama's? Uh, meteen zo'n.

 

[00:03:54] Speaker 2 Ja klopt.

 

[00:03:55] Speaker 1 Overleg doen.

 

[00:03:56] Speaker 2 Nogmaals, t gebeurt bijna nooit. Uh, maar da's natuurlijk wel het idee, want op het moment dat uhm het betalingsverkeer eruit ligt, dan stopt alles. Dan kun je niet meer tanken. Dus dan zou midden in de nacht zouden mensen vast staan bij tankstations. Dan wil je wel dat t zo snel mogelijk opgelost is.

 

[00:04:09] Speaker 1 Ja. Maar t is dus wel is gebeurd in jouw carrière of niet?

 

[00:04:12] Speaker 2 Uh, we hebben n keer gehad dat we bij elkaar moesten komen omdat er een grootschalig uh deed DDoS aanval was.

 

[00:04:17] Speaker 1 Wat is dat.

 

[00:04:18] Speaker 2 Een uh ja dat het een distributie, heul of service. Dat betekent eigenlijk dat je een hele lange wachtrij krijgt. Uh. En dat je niet aan de beurt komt om met internetbankieren bijvoorbeeld uh te werken als die applicatie aangevallen wordt.

 

[00:04:31] Speaker 1 Ja. En toen?

 

[00:04:33] Speaker 2 Toen kwamen met z'n allen bij elkaar Waar komt ie nou vandaan? Wat is er aan de hand? En uh, d'r waren ook wel wat verstoringen, nog niet zo verschrikkelijk grootschalig, maar ik wil d'r ook proberen te voorkomen. Uhm, en t is gelukt om dat klein te houden met z'n allen. Uhm, maar dat had vervelender uit kunnen pakken. Ja, uiteindelijk is de politie is degeen die t uhm die de DDoS aanval aan t uitvoeren was. Hebben ze op kunnen pakken h en is t gestopt?

 

[00:04:57] Speaker 1 Nou hebben is zit ik al helemaal puntje van stoel door het spannende verhaal en iedereen die in z'n pyjama s nachts in belt. Maar uh, jullie hebben nog helemaal niet voorgesteld, dus laten we daar even mee beginnen. Uhm. Wie ben je en wat doe je bij DMB?

 

[00:05:09] Speaker 3 Ja hoi, ik ben Anna. Ik uh werk een aantal jaar nu bij DNB, zit bij het team van Rogier en ik doe daar vooral beleids uh vraagstukken. Dus ik werk mee aan Tiber veemarkt ontwikkeling daarvan uh en aan Europese wetgeving. Uh we zijn nu ook een nieuw verenpak aan tot ik dus daar een intensief mee bezig. En verder heb ik ook een functie binnen het intelligence team is. Dat betekent dat ik vanuit een bepaald land de natiestaten torens zoals we die noem, beste hackers die voor die staat werken een beetje in de gaten moet houden en kijken welke dreigingen komen er vanuit die hoek onze kant op?

 

[00:05:39] Speaker 1 Ok, hoe noem je dat nou, natiestaat actoren?

 

[00:05:42] Speaker 3 Ja, d'r zijn een aantal landen in de wereld die s super geavanceerde hackers in dienst hebben. Uh, en dat zijn ook landen waar wij niet oh die.

 

[00:05:49] Speaker 1 Echt in dienst zijn bij een.

 

[00:05:50] Speaker 3 Land. Ja en d'r zijn wij niet per se nou bevriend mee om t zo te zeggen. En dus jij. Bij M in Nederland heb je natuurlijk ook de AIVD en dat soort diensten. Uhm, die hebben natuurlijk ook hackers in dienst en andere landen doen dat ook, maar die doen dat misschien met uh niet altijd de meest zuivere intenties dus. Ze zijn een aantal landen die wij nauw in de gaten houden om te kijken van nou ja, waar zijn zij mee bezig? Uh hebben zij misschien een doelwit op t oog in Nederland en dan in het bijzonder in de financiële sector?

 

[00:06:17] Speaker 1 Ja. En welke landen moet ik dan aan denken?

 

[00:06:19] Speaker 3 Nou G. Een groot voorbeeld is natuurlijk Noord-Korea, maar denk ook aan Iran of China. Uhm. En Rusland uiteraard.

 

[00:06:27] Speaker 1 Ja. En hoe hou je dat nou in de gaten?

 

[00:06:31] Speaker 3 Ja, d'r zijn heel veel verschillende manieren voor. Helaas zijn wij uhm niet zo vooraf geavanceerd, dus wij zitten niet zelf broncodes te bekijken en zo van NLer die we langs zien komen. Dat gebeurt meer op uh ie uh andere plekken in Nederland. Maar wat wij wel doen is we houden wat we zo genaamde open source en telkens bron in de gaten. Uhm dus we kijken online en ook in een speciale tooling die we hebben. Uh wat voor aanvallen er gezien worden. Uhm en daar maken we eigenlijk zelf een vertaalslag van. Ok, is het dan relevant voor ons of is het relevant voor de Nederlandse financiële sector.

 

[00:07:03] Speaker 1 Waar jullie kijk? Je kan dus ergens zien dat er aanvallen. Op, dus niet per se op uh andere banken, verzekeraars of dr mee. Maar je kan dus gewoon zien wat er aan aanvallen soort van plaatsvindt.

 

[00:07:16] Speaker 3 Ja en nee. Niet alles is natuurlijk openbaar. Heel veel gebeurd ook zonder dat dat gemeld wordt, dus dat zouden wij dan nooit te weten komen. Maar er zijn wel aanvallen die uhm nou of in het nieuws komen of gemeld worden bij bepaalde instanties die dat dan vervolgens ook weer doorgeven aan andere geïnteresseerde binnen een bepaalde sector. Ja dus. Wij krijgen bijvoorbeeld een nieuwsbrief van t NCSC. Uh, als daar iets geks aan de hand is kan het zijn dat wij dus een bericht krijgen van o, dit hebben we gezien. Dreiging niveau vier bijvoorbeeld. Mm hu. Uhm. En verder hebben wij dus ook een speciale toon naar. Daarin kan je dus in telkens vinden, dus dan kan ik bepaalde aanvallen zien o of rapportages over aanvallen vinden. En ja, op die manier rapen wij eigenlijk een hoop informatie bij elkaar en dan maken we dan zelf een afweging, schelen relevant en wat niet.

 

[00:08:05] Speaker 1 Jeetje, dan moet je wel een speciaal talent voor hebben denk ik, want het klinkt gewoon zo. Moeilijk.

 

[00:08:12] Speaker 2 Want we hebben ook een hele mooie plek natuurlijk. Ha, wat Anja vertelt dat je cocktail vol in toiletten is uh in dus kun je commercieel gewoon uh in kopen. Zij struinen net af en doen allerlei dingen die wij misschien zelfs niet zouden mogen h Vertaald krijgen wij dat dan.

 

[00:08:25] Speaker 1 En dat mag wel.

 

[00:08:27] Speaker 2 Uh ja dat mag wel want uh wij kunnen er vanuit gaan dat zij bijvoorbeeld geen illegale activiteiten ondernemen.

 

[00:08:33] Speaker 1 Ja.

 

[00:08:34] Speaker 2 Uhm wat wij heel goed kunnen is uh begrijpen hoe die financiele sector in elkaar zit en dat kan z'n commerciele partijen natuurlijk veel minder goed. Dus wij weten niet alleen wat een bank is, maar ook uh welke partijen er nog meer bij zitten. Uhm payment service providers, afhandeling van effecten bijvoorbeeld. En die match. Daarom zijn de mensen uh in ons teams dan ook hartstikke goed. En fijn dat we h. Dat ze dat kunnen is echt maken van die hele specifieke afweging. Wat zien wij nou? H Hoe ziet onze sector eruit en wat zijn de intenties van die natiestaat actoren of die criminele groepen? Waar zitten ze naar te kijken? En dat kan eigenlijk niemand. Uh, behalve dat wij dat kunnen, want zelfs individuele instelling kan dat wel voor zichzelf, maar niet voor de sector. Ja, net als de unieke plek die daarin bij heeft.

 

[00:09:17] Speaker 1 Ja.

 

[00:09:18] Speaker 3 Goh, maar als t over nieuwe medewerkers hebt. Ik denk altijd bij vriendinnen van mij die heel graag soort van fpa agentje spelen uhm op facebook enzo om uh post over een exp over water te krijgen. Als je dat soort dingen leuk vindt dan vind je dit werk misschien ook wel weer terecht ja.

 

[00:09:33] Speaker 1 Want ik vind dat eigenlijk ook heel erg leuk. Ja. Nou de.

 

[00:09:36] Speaker 3 Spanning en sensatie.

 

[00:09:37] Speaker 1 Op in vier jaar toch? Ja, maar ok, is dat echt net zo opwindend?

 

[00:09:43] Speaker 3 Nou is ie bijvoorbeeld mijn huisgenoot, die werkt dan uhm, bij openbare orde en veiligheid, dus die is heel erg goed in t kijken op Instagram en snapchat. Uh en en dat soort zaken van waar nieuws komt over uhm demonstraties en dergelijke. En vaak is zij beter geïnformeerd dan haar collega's bij de politie omdat zij dus al die open source bronnen heel goed kan gebruiken. Ja ja en als je dat soort dingen leuk vindt om uit te zoeken, ja ja, dan zou het werk wat wij doen of in de buurt van wat wij doen daar ook heel erg goed bij je passen.

 

[00:10:13] Speaker 1 En wat leuk! Ja. Ja, want dat klinkt natuurlijk veel abstracter. Ja, denk ik, als ik dit hoor, dan ik. Alleen al door die termen moet je tien jaar informatica studeren om gewoon uberhaupt te begrijpen wat jullie doen.

 

[00:10:23] Speaker 3 En dat valt heel erg mee.

 

[00:10:24] Speaker 1 Dat valt wel mee als je de terminologie een beetje kent. Je houdt van spitten en graven dan.

 

[00:10:29] Speaker 3 Klopt ja, dan zit.

 

[00:10:29] Speaker 1 Je wel goed.

 

[00:10:30] Speaker 3 Ik hoef niet te weten hoe een computer werkt of hoe een hacker zijn aanval precies uitvoert. Ik moet op hoofdlijnen kunnen begrijpen en ik moet vooral ook kunnen begrijpen met welke intentie ze het doen en uhm wat de kans is dat ze dat eventueel ook bij bij onze sector komen doen. Ja, ik hoef niet precies heel gedetailleerd uh de technische details ervan te weten.

 

[00:10:50] Speaker 1 Nee, je hoeft niet zelf te kunnen checken. Bewijs van. Nee, nee, dank je wel. Je hebt duidelijk verteld uh wat je doet. Leuk! Uhm. En jij? Rogier, Ik weet dat je doceert, maar misschien kun je nog ook nog iets meer vertellen over jezelf en je functie. Uhm.

 

[00:11:05] Speaker 2 Ik ben zeven jaar geleden begonnen. Toen hebben we hem. Ben ik eigenlijk ingehuurd om het type raamwerk op te zetten? Uhm, als wat is dat? Ja, dat is het. Fred, een Italiaans beest eigenlijk al. Red. Timing. Een raamwerk waarin we samen met de sector ontwikkeld hebben hoe je je op een veilige manier kan laten hekken, zodat je daarvan kan leren. Daar waren we niet de eerste in de wereld die dat deden in de haven, in het Verenigd Koninkrijk en was er ook al een raamwerk, maar dat was wat meer vanuit een security partij geschreven en we hebben dat omgebouwd en hebben t eigenlijk voor de financiële sector een raamwerk van gemaakt zodat zij daar meestal leren.

 

[00:11:42] Speaker 1 Ah ok. Jullie hebben eigenlijk die Tiber test ontworpen. En voeren jullie die ook uit?

 

[00:11:47] Speaker 2 Wij begeleiden de test. Uh, wat zoveel wil zeggen is dat we kijken of t type raamwerk of dat gevolgd wordt. Hebben we stap voor stap uitgewerkt. Wat moet je daar nou in doen? Wat moet kwaliteitsstandaard zijn zodat na afloop ook vergelijkbaar is? En de financiële instelling die koopt en red. Maar in er een Fred Intelligents partij. Dus zij sluit de contracten en daar ligt ook de verantwoordelijkheid en t risico natuurlijk. Mm hu. Uh, dat ligt niet bij de n bij. Dus dat laten we uitvoeren door de instelling die getest wordt. N van die dertig instellingen die wij testen.

 

[00:12:17] Speaker 1 Ah ok. We gaan door met ethische hackers. Ja, misschien kun je toch heel even eerst uitleggen van wat zijn ethische hackers? En als we er even terug gaan naar die casussen waar we zelf mee zijn begonnen heeft jullie nog ransomware aanval? Uhm, hoe zouden die hier een rol in kunnen spelen?

 

[00:12:36] Speaker 3 Nou ja, ethische hackers zijn hackers, maar die zetten hun diensten in voor het goede doel eigenlijk. Dus uh wordt er uiteraard wel voor betaald. Maar d'r zijn dus hackers die met toestemming van het bedrijf of ingehuurd door een bedrijf een hek test uitvoeren.

 

[00:12:50] Speaker 1 Oh ja, dus dat zijn gewoon mensen die dus dit soort die dat doen wat jullie hebben ontworpen? Precies. Ja ok.

 

[00:12:58] Speaker 2 Je hebt zeg ik het onderscheid. Dat doen ze met uh hoedjes zoals je in uh ouwe cowboy films altijd kon zien wie de badkuip was, die had een zwarte hoed op.

 

[00:13:06] Speaker 1 Ja.

 

[00:13:06] Speaker 2 Dus dat is dan een uh, niet ethische hacker. Ja uh de white hij. Het hackers. Zo noemen ze zichzelf ook echt. En dat zijn degene die doen in opdracht. Euh, precies wat ze moeten doen. Ja, en daar zit natuurlijk ook nog uhm uh shades of grey tussen. Uh, wanneer iemand bijvoorbeeld een bedrijf voor de grap aanvalt en denkt ook kak, t is nog gelukt ook. Nee, laat ik het ze maar vertellen.

 

[00:13:27] Speaker 1 Oh. Uhm. Is dat niet in opdracht?

 

[00:13:30] Speaker 2 Ja uh. Dus dat gebeurt ook.

 

[00:13:31] Speaker 1 Maar die maakt geen misbruik van wat ie gehackt heeft.

 

[00:13:34] Speaker 2 Dat hoop je. Ja, en dat, da's dan vaak een beetje mistig op het moment dat ze dit oude. Maar dat is informatie, die kan ik heel makkelijk verkopen. Ja, en dat levert maar een half miljoen op. Ja, t is misschien aantrekkelijker dan dat je een T-shirt krijgt van bedrijven.

 

[00:13:45] Speaker 1 En zo moeten bedrijven daar dan ook ietsjes Uh.

 

[00:13:49] Speaker 2 Nou ja, dat soms en sommigen doen dat goed. H Dus uhm Google voor een zero day dus dat is een kwetsbaarheid die nog niet eerder bekend was. Mm hu. Uhm, dus daar kun je ook niet tegen verdedigen want dan weet je niet waartegen je moet verdedigen. Ja uh daar loof zegt flinke bedragen vooruit uit.

 

[00:14:03] Speaker 1 Op echt en dan is dat, dan roepen ze gewoon op alle hackers probeer iets te hacken bij ons.

 

[00:14:08] Speaker 2 Ja, als je vertrouwen hebt in jouw systeem en je hebt hartstikke goeie mensen zitten, ja dan vertrouw je d'r ook op dat er geen gekkigheid meer in zit. Ja, en op het moment dat dat dan toch ontdekt wordt, dan heb je veel. Die van dat iemand die dat vertelt. Dan is t echt je business die geraakt wordt. Ja, dan dat iemand anders dat gaat misbruiken.

 

[00:14:22] Speaker 1 En dan heb je dan ook rustig een paar ton voor. Tuurlijk. Ja, ja, precies.

 

[00:14:25] Speaker 2 Als ik ook onder een dag uitligt, dat loopt in de miljoenen natuurlijk. Ik zou niet eens weten hoeveel.

 

[00:14:30] Speaker 1 Ja. Dus dat soort uh TBR test. Plus.

 

[00:14:34] Speaker 2 Het is eigenlijk ongeveer wat wij doen. Ja, H Dus wij. Wij proberen ook kwetsbaarheden te ontdekken bij bedrijven die ze nog niet eerder wisten.

 

[00:14:41] Speaker 1 Mm hu.

 

[00:14:42] Speaker 2 En op het moment dat je dat dan weet kun je t hartstikke goed verhelpen. H En dan doen we nog iets bovenop. Wij zorgen er ook voor dat die instelling dan en uh andere instellingen die daar toch instellingen die we testen dat ze vertellen dit zal t bij ons niet goed. Uh, misschien moeten jullie zelf ook eventjes kijken of je dat kunt verbeteren. Dus wij ze uh v faciliteren ook die informatiedeling ja, zodat iedereen beter kan worden van de bevindingen bij N.

 

[00:15:01] Speaker 1 Ja precies. Oh wat handig! Weten jullie welke ethische hackers dan relevant zijn of goed zijn? En ja, hoe maak je zo'n selectie?

 

[00:15:11] Speaker 2 Je moet zeggen h.

 

[00:15:12] Speaker 3 Nou, we hebben uhm wat we noemen de Service Procurement Guidelines. Dus daarin staat uh aan welke eisen dit soort providers moeten voldoen. En dan zie je dat er dus minstens een aantal personen op zo'n test moeten zitten. Dus iemand in z'n uppie kan dit niet en die moet een aantal jaren ervaring hebben met dit soort testen. Uh en liefst natuurlijk eerder een Tiber test hebben gedaan. Uh t is waar he. We kunnen op die manier controleren. Hebben deze providers het niveau wat we n nodig achten voor een fiber test? En tegelijkertijd hebben we eigenlijk ook een community in Nederland, inmiddels gevormd van V providers die dit al eerder hebben gedaan, dus die kennen we. Een andere provider.

 

[00:15:46] Speaker 1 Is een ander woord voor hackers.

 

[00:15:48] Speaker 2 Ja, dat is gewoon een security bedrijf.

 

[00:15:50] Speaker 1 Dat.

 

[00:15:50] Speaker 2 Sprekers en diensten heeft die deze dienst aanbieden aan wie daar h geld voor over heeft.

 

[00:15:54] Speaker 1 Ja precies. Want jullie moeten er nog achterkomen. Ja, wie voor jullie dan belangrijk zijn voor die bepaalde.

 

[00:16:02] Speaker 2 Je ziet wel dat in die. D'r zijn bijvoorbeeld honderd uhm red team security service providers en zo zullen ze dat maar eventjes noemen. Uh, welk van die honderd bedrijven dan echt dit hoogste niveau van testen aankan?

 

[00:16:15] Speaker 1 Mm hu?

 

[00:16:16] Speaker 2 Uh, dat weten we niet van tevoren. Inmiddels hebben we ervaring en weten we echt wel dat tien van die honderd dat ie dat kunnen moet je nog heel goed in de gaten houden. De mensen die die test eerder uitgevoerd hebben, zitten die d'r nog steeds? Ja, hebben ze niet nieuwe collega's d'rin gekregen die uh van toeten nog blazen weten en dan toch leuk gaan meedoen op de oude naam? Ja is dat moeten we goed in de gaten houden.

 

[00:16:34] Speaker 1 Maar wat ik onwijs spannend lijk me voor, ook voor zo'n financiële instelling, want die mensen h. Als t lukt hebben ze ook toegang tot weet ik veel wat en superveel macht. V Hoe, hoe, hoe werkt dat? Want da's dat. Kijk, als iemand natuurlijk een soort gat vindt, dan wordt dat gedicht. Dat is t hele doel van die test. Maar hoe voorkom je dat er allerlei mensen met heel gevoelige informatie rondlopen? Of uhm nou ja.

 

[00:17:00] Speaker 3 Ja, daar hebben we allerlei risicomanagement uhm methodes voor. Dus n van de belangrijkste is dat er bij t instelling zelf een zogeheten white team of inmiddels noemen we dat meestal control team zit. En daar zit een aantal mensen van de instelling die weten dat de test plaatsvindt, want de rest van de instelling weet dat natuurlijk niet, want je wil dat dat zo realistisch mogelijk is. Ja, en dit zijn mensen die dus in de gaten houden van loopt de test niet uit de klauwen? Uh, dus die kritiek kunnen ze bijvoorbeeld zien als er uh meldingen binnenkomen bij zeg maar defensive team. Uhm waar zij mogelijk op gaan reageren. Dus we willen voorkomen dat bijvoorbeeld de politie erbij betrokken wordt of dat een medewerker denkt van oh nee, we worden nu aangevallen, ik ga op deze en deze knoppen drukken en ik leg het hele systeem plat. Dat wil je niet. Ja en daarnaast uh.

 

[00:17:44] Speaker 1 Maar d'r gebeurt dan wel toch? Of niet als het goed is.

 

[00:17:47] Speaker 3 Nou, het idee is dat de aanvaller, dus de ethische hacker, zolang mogelijk niet gezien wordt. Mm hu. En dan aan het eind uh misschien geluid maakt op moment dat ze de test aan t afsluiten zijn en dan kijken van hoe zouden de uhm uh zou de instelling zelf reageren? Maar dat gebeurt dus op een hele gecontroleerde manier. H Dus voordat er echt op knoppen worden gedrukt hij de noodstop wordt ingedrukt? Ja, is er wel iemand bij die zegt oké hou op, nee dit gaan we niet doen, want dit was dus een test.

 

[00:18:14] Speaker 1 Ja, ja, precies.

 

[00:18:15] Speaker 2 En je kunt een vergelijking altijd maken met een inbreker. Uh. De meest fantastische inbraak is natuurlijk dat een medewerker twee dagen uh nadat de een diefstal geweest is binnenkomt. Dan ontdekt hij de kluis is leeg.

 

[00:18:27] Speaker 1 Ja, dat.

 

[00:18:28] Speaker 2 Was natuurlijk t idee dat jij alle sporen wist. Dat is wat de meest geavanceerde hackers doen.

 

[00:18:33] Speaker 1 Ja dus dat het misschien niet eens waargenomen wordt, of pas later als de drank klaar.

 

[00:18:37] Speaker 2 Dat dat is hoe de meest optimale heck plaatsvindt. Ja, dan is alles al gebeurd. Alle doelen zijn bereikt zonder dat de instelling het ook maar door gehad heeft. Dat is ook hoe een meest geavanceerde hacker uh dat zou doen.

 

[00:18:48] Speaker 1 Ja.

 

[00:18:49] Speaker 2 Uhm. En op het moment dat wij die test doen, proberen we eerst dat scenario uit te spelen. Ja, en daarna zoals de ander zegt uh, ga je nou op een iets lager niveau kwaliteitsniveau ga je spelen daar en dan ga je kijken wanneer gaat dat verdedigende team gaat toch opmerken.

 

[00:19:03] Speaker 1 Ja precies, wanneer worden ze wakker?

 

[00:19:04] Speaker 2 De acties doen uh heel hard aan de deur staan rammelen.

 

[00:19:06] Speaker 1 Ja ja.

 

[00:19:07] Speaker 2 D'r stonden nog steeds niet gereageerd wordt. Ja, dan heb je wel een hele serieuze bevinding. K Heb altijd wel bevindingen en een heel enkele keer zie je dat. Uhm. Nou d'r zijn bijvoorbeeld heel veel wisselingen van de wacht geweest. Ze zijn echt goeie mensen kwijtgeraakt. Zie je dat een instelling die eerder hartstikke goed presteerde opeens veel slechter per gepresteerd?

 

[00:19:25] Speaker 1 Ja, omdat t gewoon hun eigen cyber afdeling uh om Samantha is zelf bijvoorbeeld.

 

[00:19:29] Speaker 2 Of d'r zijn net wat kwetsbaarheden of een rijtje van kwetsbaarheden waardoor het als t kaartenhuis in elkaar stort.

 

[00:19:34] Speaker 1 Ja, da's dan.

 

[00:19:35] Speaker 2 Heel fijn als je dat vindt. Want kun je daar wat aan doen? Mm hu. Maar t is ook wel een beetje genant af en toe. Ja, ja, nou ja, dat wordt voelen mensen uh nemen dat natuurlijk ook persoonlijk op en daar zijn wij dan ook wel weer voor. Dat ze zeggen jongens maar jullie zijn er H Jullie hebben hulp gehad. Uhm en je moet die mensen ook beschermen. Mm hu. Binnen de instelling dat ze uh h dat de koppen niet daarvan afgaat als je daar bijvoorbeeld als security medewerker al een paar jaar zit. Mm hu. Uh, en dan wordt iets ontdekt wat evident anders had gemoeten. En ja, foutjes mag je maken daar. Daarvoor doen we dit ook.

 

[00:20:04] Speaker 1 Ja precies. Ja, t is niet de bedoeling dat uh dat de helft van personeel ontslagen wordt na zo'n test, maar.

 

[00:20:08] Speaker 2 Ze moet je ook heel zorgvuldig doen.

 

[00:20:10] Speaker 1 Hoe begeleiden jullie een ethische Henk?

 

[00:20:13] Speaker 2 Ja, die begeleiden we met een testmanager en een Fred Intelligence manager. Uhm, en dat zit zo. De DIR is een financiele instelling, bijvoorbeeld een bank en die uh wil zo'n test doen. Die huurt vervolgens een RET team provider in. Die gaat de heck doen en een vriend Alette als provider. Die zorgt ervoor dat er een goed dreigingsbeeld is met een scenario wat ook echt zou kunnen gebeuren.

 

[00:20:37] Speaker 1 Ja.

 

[00:20:38] Speaker 2 De. Aan die financiele instelling weet eigenlijk niet dat de test uitgevoerd gaat worden, behalve echt een handje vol mensen en dat noemen we het control team.

 

[00:20:47] Speaker 1 Ja.

 

[00:20:47] Speaker 2 Het is als een van de teams dat uh testen het team het noemen Red team en het verdedigende team bij de instelling. Dat heet het blauw team.

 

[00:20:55] Speaker 1 Ja.

 

[00:20:56] Speaker 2 Ze hebben bijna alle teams te pakken. We hebben wij namelijk vanuit ons team. Bij DNB zijn wij ook nog het uh Tiber Cyber team en daarmee zorgen voor dat over alle testen heen. Dat de test op een bepaald kwaliteitsniveau verloopt en dat ze ook vergelijkbaar zijn. Ja, en we zorgen ervoor als uh TCT. De S-type start het team van de A en B dat de test resultaten ook gedeeld worden tussen de instellingen. Dus wat zij daar zelf over willen delen, daar kunnen andere ook weer van leren.

 

[00:21:22] Speaker 1 Ja precies. Dus die informatie blijft niet alleen bij die ene bank of die ene verzekeraar die de test eigenlijk zou worden. Dus uh, je leert.

 

[00:21:27] Speaker 2 Als community van dertig leer je heel veel van je eigen test, maar je kunt ook leren van de test bij de 29 anderen.

 

[00:21:33] Speaker 1 Ja ja, dus als ik mag samenvatten wel een beetje tricky. Maar je hebt dus uh, je hebt zeg maar een bank. Die wil zo'n Tiber test uitvoeren. Dan heb je dus dan worden er mensen ingehuurd. Die ethische hackers, zal ik maar zeggen. De worden mensen ingehuurd. Die maken een scenario. Welke dreigingen zijn voor jurylid uh relevant en uh h waar moet je nou echt uh op letten? Dan heb ik jullie wat dmv een overkoepelend soort controlerende functie. En je hebt dus nog t team vanuit de instelling die zich gaat verdedigen. Goed toch? Ja ja ja ok. Ja klopt. Hoop dat je dat thuis ook snapt. Ik zit er bij te tekenen om het te begrijpen. Maar uh ja. Ok. Nou ja, helder. Ja, en als je dan bijvoorbeeld zo'n scenario hebt als wat we hier hebben.

 

[00:22:21] Speaker 3 Ja, ik kan jullie wel even door de test lopen. Dus uh. Tess heeft een aantal fases en t begint bij ja de procurement fase. Uh daarin worden dus de providers ingehuurd, dus contracten geregeld en dergelijke. Maar ook intern wordt er bij de instelling uhm voor gezorgd dat de juiste mensen in het control team komen. Als dat allemaal geregeld is dan kan de test eigenlijk pas echt van start gaan en dan begin je dus bij de intelligence fase. En in die fase komt dus de provider die je in toilet jeans regelt die komt kijken. Van welke dreigingen komen ze op jullie af? Uhm, welke actoren zitten daarachter? Ja, en die schrijven dan is een scenario. En zo'n scenario kan dus bijvoorbeeld een ransomware scenario zijn. Ja dus. Dan zeggen ze ok Rense, maar is realistisch voor jullie. Uh, door die en die actor uhm en uh dat doen ze op die en die manier is dat uh schrijven ze dan heel gedetailleerd? Nou daarmee uh is ie in tijdens ins fase dan afgesloten en dan begint wat we noemen de red timing fase. En daar komen de ethische hackers aan zet. Die pakken dat scenario en die gaan dat dan dus ook echt uitvoeren. Die gaan de instelling binnen, die gaan bij de instelling kijken hoe komen we verder? Hoe komen we bij onze doelen? En als ze die dan hebben bereikt, dan gaan ze er ook weer uit. En bij die uit fase zie je dus in rente meer scenario dat ze de rente van we er uitrollen. Dus zo'n zorg is dat alle systemen gescript worden, versleuteld worden, dus je kan nergens meer bij. En wat ze vaak ook doen is dat ze voordat ze dat doen nog informatie uit de instelling trekken. Ja, en die informatie kan bijvoorbeeld gebruikt worden om druk te zetten op de instelling om uh drien Fransen weer geld te betalen. Of trouwens om geld te betalen.

 

[00:24:00] Speaker 1 Ja.

 

[00:24:01] Speaker 3 Nou met die stap is dan dus ook die fase afgesloten en dan is de red team een fase afgesloten en dan ga je eigenlijk naar de laatste fase waarin je uhm samen gaat kijken naar wat zijn nou de bevindingen? Uhm, hoe houden we ons beter kunnen verdedigen? Uhm wat zou een volgende keer anders doen? Maar ook kijken? We geven feedback aan elkaar. Hoe vonden we de test gaan? Uhm, meer op persoonlijk niveau zeg maar. Wat zouden we volgende keer anders moeten doen in onze samenwerking? Uhm, en daar worden natuurlijk allerlei uh rapporten geschreven en uiteindelijk wordt het daar de belangrijkste bevinding ja uit uh gedestilleerd en die worden dan ook anoniem gedeeld met de rest van de community.

 

[00:24:41] Speaker 1 Ok. Nou t is uh. Hoe lang duurt fantasie eigenlijk?

 

[00:24:45] Speaker 3 Naar de ethische hekken zelf is t echt uh uh hekwerk. Dat duurt minimaal twaalf weken.

 

[00:24:51] Speaker 1 Oh joh.

 

[00:24:52] Speaker 3 Ja, zo.

 

[00:24:52] Speaker 1 Lang is het een heel proces en misschien ook heel erg lang bezig met dat soort projecten.

 

[00:24:56] Speaker 3 Of zeker die kunnen misschien wel een jaar voornemen. Ja. Dus twaalf weken valt eigenlijk nog best wel mee als AS.

 

[00:25:02] Speaker 1 Nou gewoon even als kneus, maar als nou als al die data gestolen zijn. Nu krijg je kun je die dan ooit nog terugkrijgen?

 

[00:25:09] Speaker 3 Ja, dat ligt eraan hoe de rente meer groep opereert. Soms proberen ze die data terug te verkopen of gebruiken ze t als pressiemiddel. Mm hu. Dus ze zeggen als jij niet aan ons gaat betalen dan gaan we t online zetten. Mm hu. Uhm soms verkopen ze t ook gewoon op t dark web of gaan ze t uh sowieso publiceren omdat ze dat gewoon ja lollig vinden. Weet je dat? Dat ligt heel erg aan t uh modus operandi van van de Gulden zuil.

 

[00:25:33] Speaker 1 Ja ok. En uhm zijn instellingen verplicht om aan een timer test mee te werken?

 

[00:25:41] Speaker 2 Zijn ze niet. Uhm. Tot nu toe zijn die dertig instellingen doen t allemaal vrijwillig. Uhm. En wat altijd wel bijzonder is aan dit werk ook. En ik denk ook aan de financiering van dit team. Uh ze betalen zelf de helft van mijn team dus ze zijn uh met z'n dertien en uh de financiele sector betaald. Nou ja da's uh zeg uh bij iets iets minder dan de helft daarvan. Uh omdat ze heel graag willen dat t raamwerk ook gebruikt wordt en dat je met elkaar beter wordt. H Dus de uh n bank heeft heel erg veel LNV aan als ze weten dat de andere bank op hetzelfde niveau getest wordt, want ze zijn direct van elkaar afhankelijk iedere dag.

 

[00:26:16] Speaker 1 Ja precies, erg graag. Ja dus. Het belang is eigenlijk voor iedereen zo groot dat ze zelfs.

 

[00:26:21] Speaker 2 Ze financieren t zelf meer. Uh ja dus uh uh niet alleen financieren, maar ook op het moment dat ze één van die testmanager s bij mij een andere baan krijgt bijvoorbeeld, dan kan ik ook vrij serieus aan de uh zou ze de baas van de security en binnen die dertig bedrijven vragen goh, heb je nog iemand die bijvoorbeeld geïnteresseerd is om weer een aantal jaar bij ons te komen werken? Ja dus. Da's echt een sector initiatief.

 

[00:26:40] Speaker 1 Ja. Nou dat uh. Klinkt wijs. Ok ja. Uhm uh. Ik heb ook uh begrepen dat t soms best wel spannend is, die teacher test. Hebben jullie een voorbeeld van iets? Ja dat dat t echt heel uh heet werd uh onder de voeten of dat t uh echt is misgegaan of.

 

[00:27:00] Speaker 2 Ja nou d'r zijn. D'r zijn natuurlijk altijd grappige voorbeelden waarbij een uh uh red team uh via een nooddeur uh bij een bedrijf naar binnen was geslopen. En daar liepen ze dan met z'n drien uh en hadden ze zo'n uh kastje bij zich.

 

[00:27:13] Speaker 1 Goh, fysiek bedoel je dus ik niet.

 

[00:27:15] Speaker 2 Binnen zijn gegaan, want dat had een echte aanvaller dan nou kunnen doen volgens het scenario.

 

[00:27:18] Speaker 1 Mm hu.

 

[00:27:19] Speaker 2 Uh. Vervolgens uhm en worden ze gesnapt door een bewaker? Mm hu. Ik zeg wat jullie hier. Jullie mogen hier niet komen. En uhm de snel denkende hackers die zeiden ja we zijn uhm uh van t telecombedrijf en we hebben hier de wifi kastjes geplaatst en we proberen te scannen, maar wel onszelf opgesloten. Kun je ons misschien door bedrijf leiden zodat we de UH scan uit kunnen voeren en of de dekking overal is? En die medewerker die beveiligingsmedewerker heeft keurig netjes door t hele bedrijf geholpen en ze hebben ergens in het netwerk een apparaatje kunnen plaatsen en zijn we via de voordeur d'ruit gegaan. Oei. Soms is juist de behulpzaamheid van zo'n medewerker en die zorgt ervoor dat je als je kwetsbaar wordt.

 

[00:27:56] Speaker 1 Want zo'n brief dat is wel uh dat is wel terror.

 

[00:28:00] Speaker 2 Ja, dat is misbruik maken van de hulpvaardigheid van mensen.

 

[00:28:03] Speaker 1 Ja, nee, dat verbaast me op zich niet zo, maar dat is toch afschuwelijk als je als je dingen hier achter komt dat je dat je w. Ja is fantastisch.

 

[00:28:12] Speaker 2 Nee, Maar serieus. Dus die medewerkers, die kun je daar op aanspreken zeggen Ja, ik begrijp dat je behulpzaam wil zijn. Da's ook een belangrijk deel van je werk, maar je moet ook heel goed controleren. Wat doet die VIP uh figuur hier? Nou ja, vooral toen deze jongens in aanklopte t al.

 

[00:28:23] Speaker 1 Ja.

 

[00:28:23] Speaker 2 Dus je moet ook je onderbuikgevoel uh gevoel gebruiken, want die altijd wel gevoeld.

 

[00:28:27] Speaker 1 Had ik achteraf.

 

[00:28:28] Speaker 2 Dat ik dacht van klopt dit nou wel? Nou ja, ik ga maar mee.

 

[00:28:31] Speaker 1 Ja. Kun je bij de volgende klopt het maar wel maar bij te zeggen. Toch maar even buiten en ik pleeg een telefoontje.

 

[00:28:36] Speaker 2 Uh een kras met verf.

 

[00:28:37] Speaker 1 Oh ja ja ok. En uh, heb jij misschien ook nog een spannend voorbeeld? Want dit vind ik een hele leuke, maar ook omdat t. Uh ja dat kan je bij wijze van spreken thuis ook overkomen zeg maar. Maar uh dat het zeg maar echt in de hoe zeg je dat digitaal eenmaal misging?

 

[00:28:52] Speaker 3 Mmm. Nou d'r zijn wel momenten geweest waarop het bij zo'n test ook voor ons erg spannend wordt. Dus niet zozeer voor de instelling omdat we uhm zien. Ja, soms gaat het toch gewoon bijna fout H dan. We hebben gelukkig dus heel veel maatregelen in plaats van voor t zorgen dat dat niet gebeurt. Mm hu. Uhm maar een keer uh waren de red timers al behoorlijk ver uh gevorderd met hun test. En uhm ze daar hadden ze ook al wat geluid gemaakt en toen reed opeens een politiewagen bij n van de red teams de straat in en die dacht van o nee, komt ie voor mij. Mm hu. En toen was t dus al spraak van dat dat ze bang zouden zijn dat Blue team dus t verdedigende team.

 

[00:29:29] Speaker 1 De politie had gebeld.

 

[00:29:31] Speaker 3 Ja, toen bleek het achteraf gelukkig nog niet zo ver te zijn en dat de politie voor de buurman kwam. Maar toen is direct het team er natuurlijk wel echt even zitten zweten.

 

[00:29:37] Speaker 1 Ja. Ja, dan is t ook wel eens uhm gebeurd bij zo'n test. Want ik neem aan toch dat hackers ook wel op geld uit zijn? Dat er gewoon geld gejat is bijvoorbeeld. Ja, geld overgemaakt, geld overgemaakt?

 

[00:29:50] Speaker 2 Wel ja. Gejat is het dan niet H.

 

[00:29:52] Speaker 1 Hoezo niet? Ja, ook omdat t t t test is, maar in principe is dat.

 

[00:29:56] Speaker 2 We hebben dan natuurlijk een vertrouwde tegenrekening waarop ze mogen storten. Ja uh, maar dan uhm t is eigenlijk juist wel belangrijk op t moment dat t lukt z'n van een hacker om in een betaalsysteem van een bank te komen, dan kunnen ze zelf de t aantal nullen aanpassen. Uh, dus dan kan het best hard gaan met het bedrag wat je dan overboekt. Mm hu. Uhm dat hebben we ook al gespeeld en hebben we tegenrekening. Want vaak hebben banken uh die monitoren bedragen die afwijkend zijn en dat kan natuurlijk per € 1.000 bij TINA stel bij honderd of bij miljoen zetten. Uh dus dan wil je ook echt zien of die monitoring of d'r ook iets mee gedaan wordt, of ie bij de detectie regel aangaat of dat er dan ook iemand achter ze computer zit en er iets mee doet en die betaling stopt. Ja of dat t gewoon doorgaat. Ja H Dus dan wil je ook echt die betaling doen. Dat doen we dan wel bij een vertrouwde tegenrekening zodat dat geld niet poef weg is. Ja. Uh, maar dat spelen we ook.

 

[00:30:44] Speaker 1 En hoeveel geld is dan gelukt? Wel ns bijvoorbeeld om over te maken.

 

[00:30:47] Speaker 2 Nou, 5 miljoen bijvoorbeeld was dan een bedrag wat uh gebruikt. Maar ja, daar kun je dus ook nummertjes bijzetten.

 

[00:30:54] Speaker 1 Je kan ook 50 miljoen uh dan overmaken.

 

[00:30:57] Speaker 2 Wil ja J jij bent de bank H Dus op het moment dat je hackt en jij gaat over de systemen kun je alles wat een medewerker kan. Ja en dan ook nog een keer de medewerker met de hoogste rechten, want daar gaan we voor.

 

[00:31:07] Speaker 1 Ja precies.

 

[00:31:08] Speaker 2 Dus je kunt het licht uit doen. En dan bedoel ik dat niet te letterlijk en misschien ook wel in letterlijke zin.

 

[00:31:13] Speaker 1 Ja, maar je kan niet echt alles. Ik heb de bank helemaal leegtrekken of uh ja, we.

 

[00:31:17] Speaker 2 We hebben wel eens een test gehad. Uhm uh. In de beginjaren waarbij we alle virtuele machines inclusief de backups van een instelling konden verwijderen.

 

[00:31:27] Speaker 3 De de liet ons assisteren squads deed ons. Uh ja die is erg gepronkt op terecht bij ons.

 

[00:31:31] Speaker 2 Ja, op het moment dat h dat.

 

[00:31:33] Speaker 1 Gewoon dat gebeurt er als je die indrukt.

 

[00:31:36] Speaker 2 Na letterlijk was het bedrijf dan niet meer geweest. Dan hadden ze nog een kantoorpand gehad met de naam erop. Mm hu. Maar ze hadden niet eens met naar binnen kunnen gaan omdat uh pas censor ze geen toegang zou geven omdat er niks achter zat.

 

[00:31:47] Speaker 1 En waar aan al dat geld? Van waar zal dat dan zijn gebleven? Weg maar uh, gewoon verdwenen of overgemaakt?

 

[00:31:52] Speaker 2 Ja nee, letterlijk gewoon al alle geschiedenis, alles wat dat bedrijf kent. Alsof je je eigen computer helemaal leeg maakt. T Is niet weggemaakt. T Is gewoon. T is er niet meer, t is niet ergens anders naar verplaatst. Van alle data's vernietigd.

 

[00:32:05] Speaker 1 Kan nergens. Dat kan, dus dat kan. Ja, en jullie zijn er ook met zo'n timer test bij die knop gekomen.

 

[00:32:11] Speaker 2 Ja, het is dus niet n knop. Uh nee, maar dat is dan uh h. Da's een soort van i uh beroemd uh verhaal waarbij een hacker liet zien uh met een screenshot dat ie als uh hoofd en midden straat er dus de zeg maar uh it baas van alle systemen die alle rechten heeft kon ie al de systemen selecteren en deleten.

 

[00:32:32] Speaker 1 Mm hu.

 

[00:32:32] Speaker 2 Uh, en laatst was ook nog gebleken dat alle back ups die online stonden dat je die kunt deleten.

 

[00:32:37] Speaker 1 Wow.

 

[00:32:38] Speaker 2 Ja dat is echt alle heftige bevindingen Dat dat enorme consequenties gaf. Natuurlijk niet alleen voor Nederland, maar voor opa misschien wel meer.

 

[00:32:45] Speaker 1 Maar o, en ook voor heel veel mensen toch? Want als u dan bijvoorbeeld geld hebt bij zo'n bank, is dat ook weg.

 

[00:32:50] Speaker 2 Ja, ja. Betrof dit in dit geval niet een bank? Uhm.

 

[00:32:53] Speaker 1 Wat is dat voor bedrijf? Was dat?

 

[00:32:55] Speaker 2 Nou, dat is echt zo. Laat t maar heel leuk, t is in het midden.

 

[00:32:58] Speaker 1 Ah ja, jammer, het is toch wel gepast.

 

[00:33:02] Speaker 3 Ja, dan weet je te veel van wie het is denk.

 

[00:33:04] Speaker 2 Nee, nee, t is uhm. Maar dit is dus een fantastische bevinding. Ja, want op het moment dat dit echt was gebeurd hadden we een heel serieus probleem gehad. Was gewoon de financiële stabiliteit dat je echt een issue gehad?

 

[00:33:14] Speaker 1 Ja dus dan is t niet alleen voor dat bedrijf een probleem, maar dan dus ook voor en voor alle bedrijven. Dit soort zaken, die zaken, die.

 

[00:33:20] Speaker 2 Delta, die zijn met elkaar verbonden.

 

[00:33:22] Speaker 1 Ja. Jeetje mina, ik krijg helemaal warme wangen van het was toch Het is echt dat t dat is. Uh t lijkt me echt heel spannend.

 

[00:33:30] Speaker 2 Ja maar t is g Uh ja, dit is gewoon hoe het systeem in elkaar zit en dat is hartstikke goed beveiligd en stevig. Uhm, maar als je heel erg goed bent in dingen stuk maken.

 

[00:33:38] Speaker 1 Ja.

 

[00:33:39] Speaker 2 Uh. Zoals die bedrijven bijvoorbeeld. China heeft 300.000 hackers in dienst die gewoon 9 tot 5 zitten te hacken. Als die het op jou gemunt hebben dan ga je om.

 

[00:33:48] Speaker 1 China heeft 300.000 hackers in dienst. Ja. Goede staat.

 

[00:33:52] Speaker 3 Ja, in China is t een beetje een apart geval dat ze het vaak niet direct in dienst van de staat zijn, maar ze werken bij uh contractors die dan door de staat inderdaad. Zo ja.

 

[00:34:01] Speaker 1 Op die manier. En in Nederland hebben we dat niet.

 

[00:34:06] Speaker 3 Niet op die manier in ieder geval. Nee, maar dat.

 

[00:34:08] Speaker 1 Je voordat je het al zei inderdaad uhm uh Ivo idee heeft zal ook hackers in dienst hebben of niet?

 

[00:34:13] Speaker 3 Nou we weten dat de Ivo idee lang uh bij de Russen binnen zat om daar af te kijken wat ze allemaal aan het doen waren. Dus n van de Russische en inlichtingendienst is door de IVO het jarenlang uh nou ja digitaal afgeluisterd. Ja ja dus we weten dat ze het wel doen. Dat is gewoon publieke informatie. Ja maar hij hoe, hoeveel ze dat doen? Met welke doe het dat dat Uh.

 

[00:34:34] Speaker 1 Nee. Ja, nou ja, sowieso geen 300.000 natuurlijk.

 

[00:34:36] Speaker 3 Nee, dat zou het zijn.

 

[00:34:38] Speaker 1 Jeetje, heel veel Arnhemmers. En wat zeg jij nou nu eigenlijk van ja uh Gol, d'r zitten daar dus uh 300.000 mensen. Nou in China zal het wel niet van 9 tot 5 zijn en was minstens van 9 tot 9 zitten uh te hacken. Uhm dus als die het op jou gemunt hebben ben je gewoon de sjaak. Zelfs als je gewoon braaf die testen uitvoert en je en je dingen op orde hebt.

 

[00:34:59] Speaker 2 Nou dan kun je t moeilijker maken. Dus dan wat er dan gebeurt is dat ze misschien naar een ander gaan omdat t gewoon business wise meer tijd kost.

 

[00:35:05] Speaker 1 Twee sloten op je fiets hebt gaan ze liever precies met de fiets. Want ja uh.

 

[00:35:09] Speaker 2 Totdat jij bijvoorbeeld data hebt van uh Chinese dissident waar ze heel erg in geïnteresseerd zijn. Die heeft de buurman niet. Mm hu. Dus dan komen ze bij jou.

 

[00:35:17] Speaker 1 Ja.

 

[00:35:18] Speaker 2 Daarom is die traagjes informatie ook zo belangrijk. Ja, je moet echt weten wat is de intentie nou van die groep die t op jou gemunt heeft?

 

[00:35:24] Speaker 1 Ja.

 

[00:35:25] Speaker 3 En dan is het dus mooi om te zien of geruststellend om te zien dat een heel aantal van die staten niet per se uit zijn op disruptie. Althans niet op dit moment. Nee, maar meer uhm, ja, genteresseerd dan in spionage?

 

[00:35:38] Speaker 1 Ja, maar ik vind t toch niet geruststellend, want ik maak me dan zorgen over zo'n oorlog in Oekraïne. En uh, Isral, dat is hele zichtbare dreiging. Maar als jij dit nu zo vertelt, denk ik aan je als er een probleempje met China en dan zijn we binnenkort is ons hij de hele financiele systeem weg.

 

[00:35:54] Speaker 2 Nou dat valt uh gelukkig dan wel een beetje mee want zij zijn daar net zo afhankelijk van als wij. Het westen. D'r is n wereldwijd financieel systeem. Ja en dat is allemaal met elkaar verweven dus.

 

[00:36:04] Speaker 1 Maar in China toch niet. Trouwens je hebt toch hun eigen beurs en zo die die doen toch niet mee?

 

[00:36:09] Speaker 2 Ja maar die doen ook gewoon mee in t internationaal financieel systeem. Ze handelen natuurlijk ook overal. Ze hebben ook overal bedrijf uh die van hun zijn die weer afhankelijk zijn van t financieel systeem dus ze zijn knetter met elkaar verweven.

 

[00:36:20] Speaker 1 Ok.

 

[00:36:20] Speaker 2 H Dus ik zal eerder uhm uh de Chinese overheid zeggen. Misschien moet Chili ook eens die protesten gaan doen, want wij zijn ook afhankelijk van jullie want dat ze hier heel en dat is ook wat uh uhm wat de inlichtingendiensten aangeven h Dus de financiele sector. T is onwaarschijnlijk dat een uh geavanceerde statelijke groep dat die hier de boel komt platleggen. Het is waarschijnlijker dat een criminele groep z'n grote uh geldelijke overboeking wil doen. Ja precies, daar richt ons meer op.

 

[00:36:46] Speaker 1 Ja maar die mensen heb je natuurlijk ook in uh alle werelddelen en dat maakt tegenwoordig tuurlijk ook niet meer uit. Uh waar je dan zit. Maar die kunnen ze toch ook verenigen en 900H de hele week lang daarop focus h.

 

[00:36:57] Speaker 2 Ja maar daar kan zien we toch dat dat er geen 300.000 worden?

 

[00:37:00] Speaker 1 Nee, we.

 

[00:37:00] Speaker 2 Zijn echt wel slimme mensen en uhm die kunnen ook echt wel van alles met alles. En die fouten kunnen we met type wel redelijk nabootsen.

 

[00:37:06] Speaker 3 Ok ja want s te zijn echt super veel van die groeperingen die criminele groeperingen die dit soort dingen doen. Maar die zijn dus vaak wel op zoek naar het laaghangend fruit. En de Nederlandse financiele sector is gewoon geen laaghangend fruit.

 

[00:37:18] Speaker 1 En wat is wel laaghangend fruit?

 

[00:37:20] Speaker 3 Nou in Amerika zie je nu heel veel aanvallen op scholen, dus uh Sorensen weer aanvallen.

 

[00:37:25] Speaker 1 Vooral op scholen.

 

[00:37:26] Speaker 3 Ja dat heeft er misschien ook mee te maken dat deze mensen die die dus bij zo'n groep zitten en misschien zelf niet zo'n prettige school ervaring hebben gehad. Ik weet t niet precies, maar dat zijn gewoon makkelijke doelwitten.

 

[00:37:36] Speaker 1 Ja, want scholen, ja waarom zou dat? Super groep, veilige denk je eigenlijk?

 

[00:37:39] Speaker 3 Ja ja, en daar zitten ook natuurlijk wel veel gevoelige informatie. Maar je ziet ook dat ziekenhuizen heel veel worden aangevallen. Die hebben vaak hun beveiliging ook niet optimaal op orde. Is natuurlijk ook geen core business voor ze.

 

[00:37:51] Speaker 1 En help je die scholen dan ook?

 

[00:37:53] Speaker 3 Niet zozeer scholen, maar we zijn wel in nauw contact met een aantal andere sectoren, waar we ook proberen ze te helpen bij het opzetten van vergelijkbare testing frameworks. Ja ja, want het is daar waarschijnlijk harder nodig dan dat ze eigenlijk bij de financiële sector is.

 

[00:38:07] Speaker 1 Ja, omdat jullie er zo op gefocust zijn. Al heel lang, relatief lang moet ik zeggen.

 

[00:38:10] Speaker 2 Ja dat is ook wel veel te halen. En de financiele sector. Dus ik ben wel heel blij dat dat hier gewoon blijven doen. Ja uh, dat is ook waarom we d'r in investeren.

 

[00:38:16] Speaker 1 Mm hu.

 

[00:38:17] Speaker 2 Uh maar zie bijvoorbeeld dat t rijk die hebben ook aangegeven goh, we willen die ministeries beter beveiligen. Ja uh, willen de dienstverleners van de ministeries. Die andere overheidsdiensten willen we ook beter beveiligen, dus daar gaan ze nu ook cyber testen uitvoeren.

 

[00:38:28] Speaker 1 En dat is een nieuwe ontwikkeling.

 

[00:38:30] Speaker 2 Da's een nieuwe ontwikkeling. Uhm en de uh testmanager daar? Uh die heeft ook weer met ons meegelopen om t vak te leren en die kan dat nu dus ook heel goed uitvoeren voor die andere uh rijksoverheid instellingen.

 

[00:38:42] Speaker 1 Dat gebeurt nu pas eigenlijk. Ja ja. Maar ik denk.

 

[00:38:47] Speaker 2 Dat je vindt dat we hier wel tien jaar geleden mee bezig moesten zijn.

 

[00:38:50] Speaker 1 Uhm nee, jij begrijpt dat heel goed dat het er is, maar het verbaast me ergens dat het er niet al was. Maar er is ook zo'n school.

 

[00:38:56] Speaker 2 Misschien is dat nog even goed uitleggen, want uh d alle instellingen waar we het over hebben, maar ook uh al die andere overheids partijen die doen al wel dingen. H Maar ja dat noem je dan bijvoorbeeld een penetratie test, een pen test en dat is gewoon een technische test op n systeem. Ja uh en dat kun je wat geadviseerde doen en dan vraag je iemand om te om een s. Uh nou om te kijken of ze binnen kunnen komen en wat ze dan zouden kunnen doen. Dat noem je dan een read team oefening. Ja maar wij zijn echt top of the bill. H Wij zeggen we willen alleen maar bepaalde groepen spelen. Bepaalde scenario's die het meest waarschijnlijk zijn hebben we tijdsperiode. We hebben heel controle en we richten ons alleen maar op de live kritieke productiesystemen. Dus wij komen maar af en toe langs bij instellingen die al heel veel zelf gedaan hebben.

 

[00:39:37] Speaker 1 Ja, op die manier.

 

[00:39:38] Speaker 2 Dus ze, en dat is al tientallen jaren dat instellingen dat zelf doen. Alle bedrijven doen.

 

[00:39:42] Speaker 1 Dat. Ja, precies, ja, ja, ja, je gaat natuurlijk ook niet de hele tijd. Uhm, dat lijkt me ook een mega investering dan zo'n.

 

[00:39:50] Speaker 2 Ja en dan komen ook echt grote bevindingen uit bij misschien wel een jaar bezig om alles weer recht te zetten.

 

[00:39:54] Speaker 1 Ja. Want moet je. Ja, ik vond het heel leuk dat jij al even aangaf van als je goed uh de instruction cream van je ex uh uh kan volgen dan uh dan zit je in dit werk ook behoorlijk uh geramd. Maar wat moet je voor dit werk kennen en kunnen? Wat voor type cyber specialisten werken in jullie team?

 

[00:40:15] Speaker 3 Nou, als we het over ons team hebben zitten heel veel verschillende mensen in. Dus je hebt de test managers die zijn nauw betrokken bij het begeleiden van de test. Uh, die hebben vaak wel uh een redelijke iets achtergrond dus die snappen ook. Nou op vrij uh diepgaand niveau wat er in zo'n test gebeurt. Dan heb je de mensen die zoals ik meer met beleid bezig zijn. Dus wij moeten begrijpen hoe dit uh ongeveer in elkaar steekt, hoe dit wereldje werkt en moeten daar beleid mee kunnen maken. Uh, en we hebben een beetje een mix tussen uh beleids maar medewerkers en intelligente medewerkers, da's nou hoe het eenmaal zo gelopen is. En dat zijn dus ja de uh de mensen die in de gaten houden. Welke dreigingen komen er op ons af, hoe vertalen we dat? Uh, hoe geven we dat door aan onze sector en hoe kunnen we daar bijvoorbeeld mooie overzichten van maken?

 

[00:41:03] Speaker 2 Ja ok. Een beetje de opleidings achtergronden van iedereen.

 

[00:41:08] Speaker 3 Ja, we aantal mensen die echt meer een informatica achtergrond hebben. Uh, ik heb zelf rechten gestudeerd Criminologie. Wat hebben we nog meer security studies in Den Haag? Uhm i biomedische wetenschappen geloof ik al wat, wat studeren? Zoiets. Dus je ziet dat heel uit uiteenlopend is.

 

[00:41:26] Speaker 1 Ja.

 

[00:41:27] Speaker 3 Dus t maakt niets. Ja. Mmm. Uiteindelijk moet je natuurlijk wel geïnteresseerd zijn in cyber en je moet er wel uh iets van kunnen maken als je een bepaald rapport moet lezen. Maar je hoeft niet per se informatica gestudeerd te hebben. Als je gewoon een beetje goed kan nadenken en je vindt het werk leuk, dan zit je bij ons wel goed.

 

[00:41:43] Speaker 1 Ja. Maar voor jullie werk zit je wel de hele dag achter een computer.

 

[00:41:47] Speaker 3 Ja, maar dat zit je bij DNB eigenlijk bijna altijd wel.

 

[00:41:51] Speaker 1 Ja, ja, dat weet je gewoon als je er aan begint. Ja.

 

[00:41:55] Speaker 3 Ja.

 

[00:41:56] Speaker 1 Ja. Ok.

 

[00:41:58] Speaker 3 Maar ik doe wel heel veel. Uh, achter mijn computer. Dus sommige mensen bij DNB zitten heet het een nota te schrijven of die zijn uren bezig met ja n vraag of n probleem. Uh mijn dag ziet er meestal heel anders uit waar ik juist een soort kort bezig ben met verschillende projectjes en zo nu en dan moet ik ns een keer een hele dag of een hele middag echt op n ding focussen, maar t is heel erg afwisselend.

 

[00:42:23] Speaker 1 Ja dat is wel leuk.

 

[00:42:24] Speaker 2 Is toch eigenlijk ook nergens waar je zoveel instellingen binnen een relatief klein team van dertien mensen hebben zien dertig instellingen. Ja, dat is sowieso natuurlijk uniek en ook nog een keer heel diep in de keuken. Zo werkt het daar echt. Uh. En daarnaast werken we internationaal samen met al die centrale banken die ook inmiddels timmeren bij Uitgehold. Het zijn er nu veertien en vanaf uh januari 25 zijn t de 27 want dan wordt t programma wordt ook een wet. Ze wordt verplicht. Wel echt. Uh dus dan moet t overal in Europa ingevoerd worden. En daar gaan we natuurlijk ook weer heel veel samenwerken met al die andere, dus dat vind ik dan heel leuk. En het team T heeft een erg grote internationale component en best wel een diepgaande nerd kant ook. Ja uh binnen je eigen uh land en het.

 

[00:43:04] Speaker 1 Jullie hebben die test ontwikkeld en die dat is nu dat wordt uh Europese wetgeving dat alle landen die testen uitvoeren zoals t.

 

[00:43:10] Speaker 3 Wat leuk dat je erkent dat dat heel cool is, want dat vinden wij ook heel cool.

 

[00:43:14] Speaker 1 Ja nou ja, dat snap ik, dat is ook echt waanzinnig toch? Dat lijkt me een beetje een.

 

[00:43:18] Speaker 3 Uh ja.

 

[00:43:19] Speaker 1 Natte droom. Ja, eigenlijk hebben jullie hebben het hier al heel erg over gehad, maar ik kan het wel nog uhm uh vragen. Uh wat is de maatschappelijke betekenis van dit werk?

 

[00:43:31] Speaker 3 Nou ja, wij proberen ons steentje bij te dragen en dat doen we denk ik ook heel goed om t financiele systeem in Nederland cyber weerbaarder te maken. En dus ja hopelijk tra t uh draagt dat eraan bij dat het financiële systeem in Nederland uh of dat n instelling is of meerdere uhm niet zomaar een grote uitval zal zien.

 

[00:43:53] Speaker 2 Ja ja. En als het er is dat de gevolgen beperkt worden.

 

[00:43:58] Speaker 1 Ja dan dat niet alles omvalt. Uh in n keer.

 

[00:44:01] Speaker 2 Dat niet alles omvalt en op het moment dat er dan toch iets misgaat dat je al geoefend hebt, wat zou je dan doen? H Dus dat je mensen snel oproept dat s uh telefoonlijst te heel praktisch klaarliggen met de mensen die nu bij je werken en niet die vorig jaar bij je werkten. Uh, dat zou hebben een heel aantal dingen ook opgezet en natuurlijk dat ze echt een community met elkaar gebouwd hebben voor mensen die elkaar vertrouwen. H Dus dat wordt de vroeg worden. Uh worden de berichten doorgespeeld? Uh jongens t, ik ben nog niet omgevallen, maar d'r is echt wel iets aan de hand. Mm hu. Kunnen jullie allemaal ook goed monitoren. Ja uh. Dus zo zorg je dan ook echt voor dat je met z'n allen waakzaam bent.

 

[00:44:34] Speaker 1 Ja. En uhm, hoe zorgen jullie nou zelf? Dat je veilig blijft. De Nederlandsche Bank.

 

[00:44:42] Speaker 3 En wij doen ook mee aan het programma. Dus DNB is een van de instelling die getest wordt, dus dat is natuurlijk al een uh uh grote stap. En verder uhm werken wij ook weer samen met andere afdelingen binnen de bank om dreigingen door te geven en te overleggen? Wat zien we op ons afkomen? Hoe moeten we daarop reageren? Uhm ja dus op Op die manier werken we ook intern nauw samen met anderen.

 

[00:45:06] Speaker 1 Ja, met weer andere uh beveiligings afdelingen.

 

[00:45:10] Speaker 3 Ja, want wij.

 

[00:45:11] Speaker 1 Gewoon binnen de DNB.

 

[00:45:12] Speaker 3 Precies te meer de interne afdelingen.

 

[00:45:14] Speaker 1 Ja ja. Ok, nou volgens mij ga ik die ook nog spreken. Dus uh hartstikke leuk! Dank jullie wel. Uhm ja. In de volgende aflevering bespreek ik weer met collega's van jullie hoe De Nederlandsche Bank haar eigen data veilig houdt. Dit was een aflevering van DNB Talks. Heb jij ook een vraag over het werk van DNB? Stel hem via DNB, tax ed DNB punt NL. En wie weet beantwoorden wij m in de volgende aflevering.

 

Hoe beschermen we onszelf?

Hoe beschermt DNB de eigen data bij een grootschalige cyberaanval?

februari 2024 - Met Jason en Joost

Speaker 1 [00:00:01] Je luistert naar een speciale editie van DNB Talks, een podcast van de Nederlandse Bank. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus die geïnspireerd is op echte gebeurtenissen, een beeld geschetst van het werk van de cyber specialisten van DNB. Elke gelijkenis met bestaande personen of gebeurtenissen in deze cases berust op louter toeval. Dit is DNB dossier Cyber.

 

Speaker 2 [00:00:27] Goedenavond. De Nederlandse financiele sector is opgeschrikt door een grootschalige ransomware aanval. Inmiddels zijn de systemen van tenminste één Nederlandse bank en één verzekeraar platgelegd, waardoor klanten niet kunnen internetbankieren of bij hun online verzekeringspolis kunnen. Nieuwe aanvallen worden niet uitgesloten. De Nederlandsche Bank werkt samen met de financiele instellingen aan het beschermen van de financiele data. De aangevallen bank en verzekeraar benadrukken dat de gegevens en het geld van klanten veilig zijn.

 

Speaker 1 [00:00:58] Nou Joost, en dan?

 

Speaker 3 [00:01:00] En dan? Dan gaat het aan t Uh, nou komt t eigenlijk aan t rollen. Uh, dat betekent dat wij ook uh lijnen hebben richting uh onze evenknie, onze counterparts bij andere banken om te kijken of wij als DNB bij omdat wij wat meer intern gericht zijn op onze eigen ICT infrastructuur of wij niet uh dezelfde problemen hebben of dat t uh een zero devil mobility is en wat dat we eigenlijk kwetsbaarheden in je systemen of een kwetsbaarheid uh die uitgebuit kan worden, maar dat is eigenlijk verborgen in je infrastructuur. Dus eigenlijk op moment dat we een uh zero day ontdekken, dan zijn we eigenlijk al te laat, want we worden overvallen door iets wat we niet wisten.

 

Speaker 1 [00:01:38] Ja, maar dat dat dat kan wel gebeuren uiteraard. Ja, precies.

 

Speaker 3 [00:01:43] En dan uh betekent natuurlijk wel dat wij rekening houden met bepaalde zaken, dat wij rekening houden hoe we uh onze procedures inrichten, uh waar we toegang toe geven hebben bepaalde gedeelten van onze infrastructuur goed afgeschermd. Uh veranderen zo dat dat uh voor andere gedeeltes zodat dat uh niet ook geïnfecteerd raakt dus. Uh dat is n van de voorbeelden die je dan als een maatregel kan toepassen om ervoor te zorgen dat je de schade van bijvoorbeeld een zero day zo beperkt mogelijk houdt.

 

Speaker 1 [00:02:11] Ja. H En hoe moet ik dat nou zien? Jullie hebben het over dreiging, maar hoe vaak wordt de Nederlandse bank nou aangevallen?

 

Speaker 2 [00:02:21] Ja, dat uh ken ik natuurlijk. Geen exacte getallen over noemen. Uhm maar wij uh uh zien genoeg voorbijkomen.

 

Speaker 1 [00:02:29] Ja maar is dat? Is dat echt iets wat uh wat dagelijks wel geprobeerd wordt dan? Dagelijks ja. Joost knikt. Ja, ja, ja.

 

Speaker 3 [00:02:38] Ja, ja. T zou ongeloofwaardig zijn om te zeggen dat je niet dagelijks aangevallen wordt.

 

Speaker 1 [00:02:43] Echt dagelijks wordt je aangevallen. Ja oh, was wel heftig.

 

Speaker 3 [00:02:47] Uh nou inmiddels normaal. Ja dus dat betekent wel dat je uh je maatregelen op orde moet hebben. Ja, dat je er eigenlijk voor zorgt dat die aanvallen niet uh niet uh geslaagd zijn. Ja, in de zin van dat ze door kunnen dringen in je, in je infrastructuur.

 

Speaker 1 [00:03:01] Dus in je systeem. Ja. Uh, jullie hebben nog helemaal niet voorgesteld, dus laten we daar even mee beginnen. Uhm, wie ben je en wat doe je bij DNB?

 

Speaker 3 [00:03:08] Uh, ik ben Joost, ik ben Information Security me officer bij DNB. En ik hou mij bezig uh met het beschermen van de interne organisatie tegen dreigingen van binnen af, maar ook van buiten af.

 

Speaker 1 [00:03:20] Oké, maar worden jullie ook van binnen af bedreigd?

 

Speaker 3 [00:03:24] Dat zou kunnen. Daar houden we altijd rekening mee dat het risico daarin zit. Dus daar proberen we dan ook de juiste maatregelen voor te treffen. Dat dat niet kan gebeuren.

 

Speaker 1 [00:03:32] Ja, ja, wat bedoel je dan echt? Collega's die lekker.

 

Speaker 3 [00:03:35] Kan.

 

Speaker 1 [00:03:36] Dan? Daar moet ik aan denken. Ik bedoel, van buitenaf kan ik me iets voorstellen bij aanvallen of bedreiging, maar van binnenuit?

 

Speaker 3 [00:03:43] Ja, en we hebben natuurlijk ook uh een bepaalde zwaarte van informatie die niet iedereen tot zich hoeft te nemen. Dus als dat in verkeerde handen valt, ook al is dat een interne collega, dan kan dat ook consequenties hebben.

 

Speaker 1 [00:03:54] Oh ja, of wel? Spannend hoor. Ja, je hebt echt uh over de ogen. Ja. Ja. Ok. Mooi. En en wie ben jij? En wat doe jij?

 

Speaker 2 [00:04:02] Ik ben uh Jason. Ik werk voor het Cyber Defense Center van De Nederlandsche Bank. Wij houden ons op, zeg maar bezig met de operationele kant en dat wil zeggen van uh waar Joost die net zichzelf geïntroduceerd heeft uh zich heel erg uh zorgen maakt over de uh uh raakvlakken van uh security en waar we daadwerkelijk invulling moeten geven uh voerden wij zeg maar dat operationeel uit. Dat wil zeggen wij houden ons bezig met de monitoring en de incident respons mocht er wat gaan gebeuren.

 

Speaker 1 [00:04:33] De watte?

 

Speaker 2 [00:04:33] Incident respons? Mm hu. Dat wil zeggen uhm. Indien er een incident uh optreedt zorgen wij voor een correcte afhandeling daarvan. Daarnaast bezig met allerlei andere processen die daar ook mee te maken hebben. Uhm, waar we ons zo bijvoorbeeld bezighoudt met cyber that intelligence. Dat is een onderdeel dat zich uh richt op uh daar. Nou ja, de buiten uh kant van uh van onze instelling. Wij kijken uh voor ons zijn bij defensie centra ook enkel maar naar DNB, uh niet naar uh overige dreigingen in de financiele stelsel. Daar hebben andere afdelingen weer voor.

 

Speaker 1 [00:05:09] Ja.

 

Speaker 2 [00:05:10] En uh bij uh gaan die threat intelligence uh gaan wij opzoeken in ons netwerk. Mocht er daadwerkelijk een dreiging zijn die gericht is aan DNB dan zullen wij uh daarop acteren en uh nagaan in het netwerk of we die ook voorbij zien komen.

 

Speaker 1 [00:05:27] Ja, ik vind t dus al een hele uitdaging om gewoon uh me e-mail te beveiligen zeg maar. Lijkt me echt een drama om zo'n hele bank uh onder de verantwoordelijkheid voor te hebben.

 

Speaker 3 [00:05:36] Nou k zou t geen drama willen noemen, maar juist ook uh eervol en ook wel een stuk maatschappelijk belang wat erachter zit. Ja dat wij daar met z'n allen voor zorgen dat uh de bank veilig blijft. Ja uh dat doen Jason en ik niet met z'n tweeën. Dat doen we met een heel aantal collega's.

 

Speaker 1 [00:05:49] Ja, hoe groot is de jullie hele afdeling ongeveer?

 

Speaker 3 [00:05:53] Onze afdeling an sich is ongeveer veertig uh veertig TSO collega's. Uhm, maar natuurlijk staan die niet op zichzelf. Wij staan natuurlijk ook in contact met de gele bank. Uhm. Dus ja, uiteindelijk dragen we allemaal die verantwoordelijkheid. En ja.

 

Speaker 1 [00:06:08] Uhm, je hebt dus wel iets van een militair, maar misschien is dat ook te maken met je groene bloed.

 

Speaker 3 [00:06:15] Ik ben geen militair. Nee, is uh dat niet.

 

Speaker 1 [00:06:18] Nee. Maar goed, uh ik zou. Ik zou geloof ik wel uh t heeft wel iets. Uh. Hoe noem je dat geruststellends die jullie zijn? Wel een soort poortwachters natuurlijk. Klopt toch?

 

Speaker 3 [00:06:27] Ja en dat doen wij met uh uh. Veel plezier. Ja, maar t betekent niet dat t een uh een niet intensief is en uh dat je vaak wel een stapje extra moet zetten om ervoor te zorgen dat BMW veilig blijft en uh dat ook samen met collega's uh doet.

 

Speaker 1 [00:06:41] Ja. En dat stapje extra, betekent dat dat je dag en nacht achter computers zit? Of hoe moet ik dat zien?

 

Speaker 3 [00:06:48] Dat niet. Uhm, maar betekent wel dat je kritisch bent naar je eigen werk, maar ook kritisch naar collega's kijkt en dat zij ook kritisch naar jou mogen kijken op een gezonde manier. Ja, dan klopt het wat we hebben gedaan. Staat alles nu goed? Of moeten we toch nog even die stap extra zetten om ervoor te zorgen dat t uh geen uh uh negen is, maar juist een tien?

 

Speaker 1 [00:07:06] Ja ja. Oh ja. Wow, dat is t niveau. Ja, ik ben meer van de zesjescultuur, maar ik ben blij dat jullie voor een tien gaan. Uhm even kijken want uh door wie wordt DNB dan aangevallen en waarom?

 

Speaker 2 [00:07:18] De aanvallen kunnen politiek gemotiveerd zijn en daarnaast ook uh financieel gemotiveerd. De uh uh. We hebben namelijk verschillende uh uh taken als DNB en die taken kunnen daadwerkelijk uiteenlopen van toezicht tot het financiële stelsel. Uh en uh uh betrouwbaarheid van het financiële stelsel. Mm hu. Uhm d'r zijn actoren uh actief uh die uh voor uh dat omleggen van t financieel vertrouwen bezig zijn uh om DNB en slecht daglicht te zetten, maar ook actoren die uh kiezen voor financieel gewin en die proberen dan in onze transacties systeem te komen.

 

Speaker 1 [00:07:57] Ja vroeger ging je met een pistool uh en een zak over je hoofd een bank overvallen en tegenwoordig doe je dat dan via zo'n soort aanval.

 

Speaker 2 [00:08:05] Op een zolderkamertje achteraf zoals het meeste mensen dat kennen. Ja. Nou dat is niet echt altijd waar. Maar uhm, dat zijn kleine dreigingen. Dat zijn individuele hackers die daadwerkelijk dat soort dingen zouden doen. Maar je hebt grotere dreigingen, dat zijn statelijke actoren. Het zijn dreigingen vanuit uh landen ja, die daadwerkelijk gesponsord worden door hun eigen staat.

 

Speaker 1 [00:08:24] Oh echt? Ja en wat moet ik me voorstellen bij een politiek getinte aanval?

 

Speaker 3 [00:08:29] Uh, nu bijvoorbeeld de spanningen die in Oost-Europa zijn. Uhm met Rusland? Uh die ook uh politiek gezien uh ja veel druk met zich meebrengt in de zin van de sancties die wij opleggen. Dus als Europa hebben natuurlijk besloten om een aantal uh sancties op te leggen en dat uh maatregelenpakket. Mm hu. Nou kunt u zich voorstellen dat uh die maatregelen dat Rusland daar niet uh erg content mee is? Nee. En dat ze als een soort van vergelding ook proberen om onze infrastructuur te ontwrichten om ervoor te zorgen dat die maatregelen uh niet meer gehandhaafd worden of juist minder streng worden toegepast.

 

Speaker 1 [00:09:04] Ja. H Dus Rusland voert echt aanvallen uit op de Nederlandse bank om hier die infrastructuur uhm ja te ontwrichten. Zoals je zegt, dat is wat er nu gebeurt. Hebben jullie daar Willy dagelijks mee te maken? Ja. Oh. Oh, schrik ik wel een beetje van?

 

Speaker 3 [00:09:24] Hoeft niet, want wij zorgen natuurlijk voor dat wij wel procedures in acht nemen. Dat uh onze infrastructuur, dat we daar continu naar kijken, dat continu verbeteren door daar maatregelen op te treffen, door goed te monitoren wat komt er binnen, welke zaken zien we? Uhm, maar dat we ook uh onszelf testen.

 

Speaker 1 [00:09:43] Want jij zegt van ja. Vanuit Rusland worden bijvoorbeeld dat soort aanvallen uitgevoerd. Uhm maar krijgen jullie dan ook echt uh aanval? Kusjes Rusland. Ik bedoel hoe is dat zo duidelijk?

 

Speaker 2 [00:09:56] Nou, d'r zijn aankondigingen die daadwerkelijk worden gedaan door de politiek georiënteerde aan uh uh threat ethos. Mm hu. En uhm die gebruiken daar ook kanalen voor om bepaalde uh uh uh de doen aankondigingen voordat ze daadwerkelijk uh uh echt aanval plegen ook.

 

Speaker 1 [00:10:13] Waarom?

 

Speaker 2 [00:10:14] Het gaat me met name om uh t politiek gewin en dat ze ieder geval daarmee volgers krijgen om zo te laten zien dat ze achter hun land staan.

 

Speaker 1 [00:10:23] En uh ja maar ze zeggen als jullie niet dit of dat doen dan vallen we jullie aan. Moet ik t zo zien?

 

Speaker 2 [00:10:30] Hu?

 

Speaker 3 [00:10:31] Nou d'r worden natuurlijk. Zoals Jason zei worden d'r uh vooraankondiging gedaan, dus d'r worden bepaalde en bepaalde platformen worden dan uh bepaalde statements gemaakt over uh van wij gaan nu aanvallen plegen uh op uh bepaalde infrastructurele kan financile infrastructuur zijn. Dat kan uh uhm maar ook t uh waternet of t elektriciteitsnet. Uh is een hele range aan uh soorten vertellen infrastructuur die we in Nederland hebben. Mm hu. Uhm daar wordt dan een vooraankondiging gedaan of uh van wees voorbereid. Uh wij gaan hier een steenman maken.

 

Speaker 1 [00:11:04] Ja.

 

Speaker 3 [00:11:05] Dus dan is t vast een jochie belt. Ja en dan uhm uh word je daar eigenlijk op geattendeerd?

 

Speaker 2 [00:11:10] Wil nog een paar dingetjes gewoon toevoegen aan het verhaal van Joost. Uhm, het is niet alleen dat wij zeg maar beveiliging vanaf de zeg maar de de eerste stap doen, maar je moet t ook gewoon zien als de doelman. Uh het t operationele gedeelte uh wat we daadwerkelijk uh binnen het cyber defense zijn te doen. Aan de ene kant we adviseren uh zorg voor preventieve maatregelen. We mochten al die preventieve maatregelen nimmer uh helpen of niet succesvol zijn geweest bij een aanval, dan kom je daadwerkelijk bij de monitoring terecht. En bij ons gaan alarmbellen af als de preventieve maatregelen uh gefaald hebben.

 

Speaker 1 [00:11:50] Mm hu.

 

Speaker 2 [00:11:51] En ook weer om terug te komen op zo'n zero day aanval. Die valt daar bijvoorbeeld ook onder. Dan kan het zijn dat er bij ons weer alarmbellen afgaan op t moment dat er misbruik is gemaakt van een toegang die normaal eigenlijk uh gezien wordt als een valide toegang. Mm hu? Uhm. Maar dat er handelingen worden uitgevoerd die weer niet overeenkomen met die aan poging?

 

Speaker 1 [00:12:13] Ja ja.

 

Speaker 2 [00:12:14] Dus wij kijken gewoon voornamelijk naar de afwijkingen op het normale gedrag.

 

Speaker 1 [00:12:18] Ja precies ja. En dan denken jullie van he? Iemand heeft wel bijvoorbeeld gewoon een goeie inlog uh gebruikt. Wachtwoorden komen overeen, maar wat zijn dit? Wat is er daarna gebeurt? Ja. Ja dus jullie speurden de hele tijd. O ja, hoe moet ik dat zien? Alles af op bijna of andere manier? Of hoe gaat.

 

Speaker 2 [00:12:33] Als we dat handmatig zouden moeten doen dan uh, gaan we wel wat meer mensen nodig in het team? Ja uhm wij uh hebben daar natuurlijk tooling voor uh die ons daarbij helpt en daar hebben we een heel uh Zeeuws kennismanagement systeem in zitten. Uh San Jos Kees ken ik beschrijven als een regel of over een of een melding die afgaat op t moment dat er daadwerkelijk uh een regel wordt getriggerd in dat systeem. Mm hu. En die regel controleert bijvoorbeeld afwijkend gedrag. Of ja, nog pogingen. Ja, bijvoorbeeld met maar een gebruiker die zich bevindt in Nederland. En t zal heel gek zijn als die gebruiker of de medewerker uhm zich binnen een half uur in Rusland bevindt bijvoorbeeld.

 

Speaker 1 [00:13:15] Ja. Ja.

 

Speaker 2 [00:13:16] Dat zijn dingen die wij bijvoorbeeld controleren.

 

Speaker 1 [00:13:19] Van nou, dat gebeurt er dan. Dan zie je dat.

 

Speaker 2 [00:13:21] Daar zien we dat meteen.

 

Speaker 1 [00:13:22] Ja, ja, ja. En wat doe je dan?

 

Speaker 2 [00:13:25] Nou, we gaan natuurlijk g kijken. Van wat precies aan de hand is, noemen we analyseren van zo'n zo'n dreiging. En indien die dreiging uh dus uh valide is gedetecteerd door het systeem, want uh niet alle.

 

Speaker 1 [00:13:38] Dreiging is dus ook een foutmelding.

 

Speaker 2 [00:13:40] Ja valt, constateren noemen we dat inderdaad. Ja ja, dan zullen we daadwerkelijk die gebruikers gaan isoleren of die een medewerker gaan isoleren.

 

Speaker 1 [00:13:46] Ja precies. Ok. Kan me er iets bij voorstellen. Maar waarom is het zo belangrijk dat de data van DNB veilig blijft? En om wat voor data gaat t dan precies?

 

Speaker 3 [00:13:57] Dat is wel belangrijk om daar een onderscheid in te maken dat t niet alleen uh dmv data is. Dus t is niet alleen van onszelf, maar we hebben ook uh gegevens van de Europese Centrale Bank. Wij hebben gegevens van onderzoeken onder toezicht staande instellingen. Dus dan kan je denken aan pensioen, uh pensioenen en verzekeraars.

 

Speaker 1 [00:14:19] Ja.

 

Speaker 3 [00:14:20] Uhm, dat zijn onder andere onder toezicht staande instellingen. En uhm welke dan? Uh meest in t oog springt zijn natuurlijk de uh. V Of is de informatie van andere banken?

 

Speaker 1 [00:14:31] Ja.

 

Speaker 3 [00:14:32] Uhm. Want bij DNB denkt men als toezichthoudend instituut o zou er alleen toezicht op andere banken? Maar ze hebben natuurlijk ook uh de verantwoordelijkheid. Een toezichthouder op uh pensioenen en verzekeraars. Dus wij hebben ook de verantwoordelijkheid om ervoor te zorgen dat informatie van andere partijen die wij in huis hebben om die ook veilig te houden en een veilig in de vorm van dat het niet in de verkeerde handen komt. Ja, zowel intern niet als extern niet.

 

Speaker 1 [00:14:59] Ja ok, dus t zijn data van eigenlijk uh heleboel bedrijven. En en waarom is het zo belangrijk dat die beschermd zijn?

 

Speaker 3 [00:15:09] Omdat dat gevoelige informatie kan zijn. Wij vragen als uh uh toezicht houden vragen wij behoorlijk wat informatie op van onder toezicht staande instellingen. Uhm dus dat gaat vrij ver. Van financiele situatie van mensen, jaarrekeningen uhm ook ja ook maar ook over de bank zelf. En dat is niet informatie of over de banken zelf. En dat is eigenlijk niet informatie die we uh uh op straat willen hebben liggen. Zowel de instantie was van is.

 

Speaker 1 [00:15:37] Mm hu.

 

Speaker 3 [00:15:38] Als wij als DNB niet. Dus wij hebben daar ook zorg voor te dragen dat dat uh niet in verkeerde handen komt te vallen.

 

Speaker 1 [00:15:44] Ja precies. Want wat zou er dan kunnen gebeuren als dat in verkeerde handen valt?

 

Speaker 3 [00:15:48] Nou dan kan het schadelijk zijn voor ons als D en B, want S zal natuurlijk ook op ons af. Euh, dat wij onze informatie niet goed kunnen beschermen, maar ook niet de informatie van andere instellingen. Dus dat betekend een stuk imagoschade enzo. Uhm, maar betekent ook voor de uh instellingen die bij ons onder toezicht staan dat en die informatie ook uh schadelijk kan zijn voor hen op t moment dat dat op straat komt te liggen. Ja dus zij kunnen daar ook weer slachtoffer van worden en uhm ja kan hen ook in vervelende situaties brengen op t moment dat gevoelige informatie over jaarrekeningen uh noem het allemaal maar op als dat uh in verkeerde handen komt.

 

Speaker 1 [00:16:28] Ja. En kan het ook nog gevolgen hebben? Gewoon voor de mensen, gewoon voor jij en ik.

 

Speaker 3 [00:16:33] Dat zou dan kunnen zijn uh handelen met voorkennis uh. Dus bijvoorbeeld weten dat er een rente wijziging is of wetende dat een instelling op omvallen uh staat. Uhm ja, dan kan je dus eigenlijk een bankrun veroorzaken terwijl je dat als toezichthoudende instelling niet zou willen.

 

Speaker 1 [00:16:53] Ja ja, een bankrun omdat iedereen daar snel uh vertrekt of wat.

 

Speaker 3 [00:16:56] Nou ja, als t b. Als het bekend wordt dat een bank uh op omvallen staat, dan gaat iedereen z'n geld opnemen.

 

Speaker 1 [00:17:02] Ja.

 

Speaker 3 [00:17:03] En ja, dat is eigenlijk geen wenselijke situatie omdat t heel veel onrust creëert. Mm hu. Omdat er in n keer zoveel aanvragen binnenkomen bij die bank. Ja, dan bijvoorbeeld t eten bij rentebesluit. Uhm, als bijvoorbeeld de rente wordt verhoogd of verlaagd. Mm hu? Uh ja, dan kan je handelen met voorkennis op de markt. En we hebben de afgelopen periode gezien dat er een aantal rente wijzigingen zijn geweest.

 

Speaker 1 [00:17:24] Ja. Ja precies. Dus dan uh, kun je daar? Kun je speculeren eigenlijk met uh info die je niet had moeten weten? Ja en dat is inderdaad. Ja ok. De Nederlandsche Bank staat zelf niet onder toezicht. Hoe voorkom je nou dat een slager zijn eigen vlees keurt?

 

Speaker 3 [00:17:42] Een manier om dat uh dus niet te doen. Dat je niet je eigen vlees keurt. Is bijvoorbeeld een uitvoer van een Tibetaans en een Tibetaanse is eigenlijk op basis van uh thread en toiletten informatie. Dus dat is eigenlijk actuele dreiging is informatie testen gaan uitvoeren op onze eigen systemen, op onze infrastructuur, om te kijken hoe weerbaar we eigenlijk zijn, hoe veerkrachtig eigenlijk onze systemen zijn. Want wij kunnen procedures schrijven tot een ons wegen, maar we kunnen maatregelen treft er dan een totdat we een ons wegen.

 

Speaker 1 [00:18:10] Mm hu.

 

Speaker 3 [00:18:11] Maar als we pas gaan testen, dan weten we we pas. Zijn die maatregelen voldoende? Jullie procedures op orde? Zijn uh de juiste mensen op de juiste plek, op de juiste tijd op t moment uh dat er een aanval plaatsvindt?

 

Speaker 1 [00:18:24] Ah, daar kun je dus die zo'n timer test. Dat is gewoon een soort aanval. Uh uh. Door wie is die? Is dat dan een organisatie die dat dan weer zo'n aanval bedenkt of wat? Hoe komt zo'n timer test dan bij jullie?

 

Speaker 2 [00:18:37] Uhm, terugkomend op de vorige podcast aan die Tibet testen. Die worden daadwerkelijk uitgevoerd door een team dat vanuit DNB eigenlijk gestuurd uh uh aansturing geeft aan een red team en red team. Dat zijn er een zijn bedrijven uh die eigenlijk uh door DNB worden ingehuurd om uh met hun kennis en kunde uh om onze beveiligingsmaatregelen heen te kunnen komen. Ah ja ja. Uh dus t is onafhankelijk vanuit die zin. Uhm d'r worden wel cases uh genoemd van uh bijvoorbeeld deze dreiging. Er zijn nu actueel op de individuele markt en uhm die uh die drijven uh die uh willen we getest zien binnen de organisatie, binnen en binnen de infrastructuur van DNB? Ja. Daar krijgen ze dus al die scenario's toegespeeld en die worden uitgewerkt tot dat red tien. Mm hu. En uh wij als zijn we de fan center vormen dan een bloed team? Uhm daarmee uh uh proberen wij uh die aanval af te slaan.

 

Speaker 1 [00:19:38] Ja precies. Dus dat is eigenlijk een soort uh ja brandalarm. Dus je uh laat alarm afgaan zie kijkt uh werkt het systeem?

 

Speaker 2 [00:19:45] Ja nou daar is t we eigenlijk procedures ook mee aan. Hij onze weerbaarheid.

 

Speaker 1 [00:19:49] Ja. Nou wat? Uh wat goed en dan waar. En W zijn dat dan? Ja, ik wacht nog heel even. Benieuwd. Zijn t dan aangekondigde aanvallen? Of is t gewoon ineens uh wow, wat gebeurt hier?

 

Speaker 2 [00:20:00] Nee, t is allemaal onaangekondigd ja. Uh, mij wordt t mee verrast eigenlijk. Gewoon uh.

 

Speaker 3 [00:20:05] En dat is ook wel goed, want anders op t moment dat er een aankondiging plaatsvindt. Mm hu. Dan ga je voorbereiden. Ja, en eigenlijk kan die test worden gezien als de wedstrijd dag.

 

Speaker 1 [00:20:15] Ja.

 

Speaker 3 [00:20:15] Van Wanne, waarvan je niet wist dat ie ging komen. Oh ja, en dan is heel interessant om te zien. Uhm, ben ik niet alleen de technische kant, maar werkt ook de menselijke kant nemen mensen onder druk. Uh, in alle lagen van de organisatie op het juiste moment de juiste beslissing? Ja en achteraf uh kunnen we dan uh evalueren van ja zijn dat de juiste beslissingen geweest? Maar t is heel interessant om dan te zien op verschillende vlakken hoe iedereen reageert. Uhm en of ook aan die andere kant ook die maatregelen op orde zijn. Die procedures waar we zojuist over gepraat. Ook hebben. Ja en dan kom we eigenlijk uh wat minder ver weg van bekeuren. Ons eigen vlees. Ja uh nee. Wij laten dat extern.

 

Speaker 1 [00:20:56] Keuren ja en niet alleen keuren, maar dat wordt ook echt uh in praktijk gebracht. Jullie worden gewoon aangevallen. Maar jullie weten dan op zo'n moment ook niet of t gewoon een echte aanval is of een TBR test.

 

Speaker 3 [00:21:06] Nee, want uhm wij moeten eigenlijk uh als D. En bij iedere dreiging die we binnenkrijgen uh behandelen zoals iedere andere dreiging. Ja dus. Het zou heel vreemd zijn om om met dat wij onze uh infrastructuur testen, dat wij op een andere manier uh bepaalde aanvallen anders gaan behandelen. Ja. Dus dan betekent het dat wij uh iedereen zouden reageren zoals we dat ten tijde van een crisis zouden doen. Ja precies. Bedoel je eigenlijk wel simuleren tijdens zo'n test?

 

Speaker 1 [00:21:32] Ja. Ja dus dan je wij j j Jij bent net misschien een kater die dag toevallig, want er was een personeels borrel en uh nou ja uh. Marietje is heel ongesteld en chagrijnig maar iedereen moet gewoon op de dag van zo'n Tiber test op de toppen van z'n kunnen functioneren. Net als dat altijd zo is eigenlijk.

 

Speaker 2 [00:21:48] Daar is dat eigenlijk altijd op scherp.

 

Speaker 1 [00:21:49] Ja.

 

Speaker 2 [00:21:50] Je moet t elk moment eigenlijk uh uh zien dat er een dreiging uh uh uitgewerkt wordt en dat we aangevallen worden.

 

Speaker 1 [00:21:57] Ja. En dat gebeurt dus ook dagelijks blijkbaar.

 

Speaker 2 [00:22:00] Ja, ik kijk natuurlijk niet zo allemaal van die grote uh impacts, maar uhm eigenlijk een type test is natuurlijk wel iets wat wat wat behoorlijk zwaar is. Uh waar ze al inside information hebben gekregen van hoe ons netwerk eruit ziet.

 

Speaker 1 [00:22:13] Ja precies. En uh, wat zijn de? Wat is dan een voorbeeld dat je daar tijdens een Tiber test achter kwam van oei, hier zit nog wel iets waar we eventjes uh met z'n allen over na moeten praten.

 

Speaker 2 [00:22:26] De ene aanval gebeurt zeg maar uh vanuit uh internet en de andere aanval gebeurt eigenlijk fysiek. En wat er dan gedaan wordt. Uh d'r worden uh ja een soort is bij drives bij wijze van spreken achterin computers gestoken tot in stations en andere randapparatuur. Mm hu. D'r wordt wifi netwerk. Uh ja, nagebootst. En uh, op zo'n manier krijg je daadwerkelijk ook een manier om je organisatie binnen te dringen. Dus dan krijg je daadwerkelijk echt op fysiek gebied de mogelijkheid om kwaadaardige bedoeling uit voeren.

 

Speaker 1 [00:23:00] Precies. Ja. En dit is dus gebeurd waar zo'n Tiber test dat je denkt uh hoe zou zit? Wie heeft die usbstick hier in die computer kunnen stoppen?

 

Speaker 2 [00:23:07] Klopt inderdaad.

 

Speaker 1 [00:23:07] Ja ja.

 

Speaker 3 [00:23:08] D'r wordt eigenlijk geprobeerd om een de normale gang van zaken na te bootsen. Ja dus om in ons dagdagelijkse werk in een normale routine ja, om daarin uh te proberen of daar ontwrichting kan plaatsvinden, of daarvoor gezorgd kan worden, kan er ook op een andere manier ja uh toegang worden gekregen kan via zo'n test ook op een uh uh andere manier inderdaad die toegang worden verkregen. Mm hu. En als men dat probeert, valt het dan ook op?

 

Speaker 1 [00:23:34] Ja. En hoe was dat dan gelukt met die usb stick? Uhm, had iemand een hondje mee of wat gezien? Maar dat moet iets afwijkend zijn gebeurd.

 

Speaker 2 [00:23:44] Maar zoals ik al zei van Uhm uit het de RET team of uh de de aanvallende partij. Uhm die heeft al wat mogelijkheden gekregen om binnen te komen, dus ook toegang tot het gebouw bijvoorbeeld. Wordt dan al die gave gefaciliteerd? Mm hu. En op die manier konden ze dat werkelijk ook. Uh, in vergaderzalen die eigenlijk ook toegankelijk zijn voor bezoekers. Mm hu? Uh. Bijvoorbeeld apparatuur plaatsen om uh in te breken op systemen die we daadwerkelijk daar aan zouden sluiten.

 

Speaker 1 [00:24:13] Ja precies.

 

Speaker 3 [00:24:14] En precies daar komt dan die inside threat terug. Ja, want d'r wordt even geholpen om toegang te verschaffen.

 

Speaker 1 [00:24:20] Ja.

 

Speaker 3 [00:24:20] Dus we gaan dan wel uit van een horrorscenario in de zin van dat dus iemand uh van binnenuit helpt. Ja, als t dan gebeurt, is het dan ook op orde?

 

Speaker 1 [00:24:29] Ja, precies. En wat is er nu dan veranderd?

 

Speaker 2 [00:24:33] Voor ons zijn sowieso detectie mogelijkheden die op dat vlak uh uh uh verbeterd en die zijn verbeterd op dat vlak waardoor wij sneller kunnen detecteren en niet in een later stadium pas. Uh dat er iets gaande is wat niet helemaal in de haak is.

 

Speaker 1 [00:24:49] Jullie krijgen nu melding van iedere IDE usbstick die ergens wordt ingebracht of momenteel.

 

Speaker 2 [00:24:54] Zijn er ook preventieve maatregelen toe genomen op dat vlak. Uh, daar krijgen we sowieso meldingen ook van Als daadwerkelijk iemand iets in zijn laptop uh of of in een donker steeds aansteekt wat daar niet thuishoort. Dan wordt de bron is al lang een melding gemaakt van uhm op dat toch nog steeds en of dat werkstation uh is er iets gaande wat niet klopt? Ja ja of wat in ieder geval niet toegestaan is. T Kan gewoon betekenen dat iemand, ja ze.

 

Speaker 1 [00:25:18] Vakantiefoto's effe uit wil printen.

 

Speaker 2 [00:25:20] Wat onbewust inderdaad de laatste vakantiefoto's van uitprinten.

 

Speaker 1 [00:25:23] Wel ja. Is Tiber de enige manier waarop jullie testen of jullie systemen veilig zijn?

 

Speaker 3 [00:25:29] Nee, we hebben ook nog andere manieren. Uh, wij schaffen natuurlijk veel producten aan, van uh hardware tot software. Uh vanuit de verschillende taken die d'r bij DMP zijn. Uhm, maar daar zorgen de eigenlijk voor dat er op moment dat wij overgaan tot definitieve aanschaf dat wij uh voordat we live gaan dan wordt dat product. Wordt er nog een keer door een uh derde partij getest of het daadwerkelijk veilig is ja.

 

Speaker 1 [00:25:54] Stel jullie krijgen toch een soort uh idee van er is een aanval gaande. O wat gebeurt er dan op de afdeling? Gaat iedereen dan? Uh voel je dat? Is er spanning? Is het echt zoals in de film?

 

Speaker 2 [00:26:08] Dat geeft een bepaalde spanning binnen het team. Uhm eerst kijkt er n analist naar ja gezien de dreiging misschien Martijn dan al opvalt van dit is helemaal niet in de haak worden de meteen meerdere analisten aangehaakt. Totdat we dat hele team op scherp hebben staan.

 

Speaker 1 [00:26:25] Ja ja.

 

Speaker 2 [00:26:27] En ja, dan ga je dat werkelijk met z'n allen analyseren van wat er gaande is. Mm hu? Proberen terug te redeneren waar precies die aanval vandaan komt.

 

Speaker 1 [00:26:35] Ja.

 

Speaker 2 [00:26:36] En kijken of er op bepaalde doelstellingen zichtbaar zijn van waar die aanval naartoe zou G willen gaan?

 

Speaker 1 [00:26:42] Ja.

 

Speaker 2 [00:26:43] Wat zit je te vinden? Ja, En hoe ver zijn ze al gekomen?

 

Speaker 1 [00:26:47] Ja. En heb je dan Kun je dan ook met n druk op de knop zeg maar nog t systeem soort van platleggen? Of is dit gewoon veertig man met klotsende oksels? Uh, wat gebeurt weer?

 

Speaker 2 [00:26:59] Ja, gelukkig hebben we wel die mogelijkheden om daadwerkelijk systemen te isoleren.

 

Speaker 1 [00:27:02] Ja ja.

 

Speaker 2 [00:27:03] Platleggen, dat zullen we niet snel doen. Ook omdat we dan anders forensische bewijslast uh zeg maar wat en wat een politieagent eigenlijk ook doet. Of een rechercheur. Mm hu. Uhm, je gaat niet de crime zien vervuilen met uh informatie uh die daadwerkelijk afkomstig is van de politieagent.

 

Speaker 1 [00:27:18] Ja, de.

 

Speaker 2 [00:27:19] Rijksrecherche, dat is je wel zoveel mogelijk van die aanval bewaren, maar doen we daarvoor? Daar isoleren we systemen. Mm hu? Om later forensische analyse op te doen. Uh van ons onderzoek?

 

Speaker 1 [00:27:29] Ok. Uhm ja. Met welke data et tooling werken jullie?

 

Speaker 2 [00:27:36] Nou, dat zijn verschillende. We hebben preventieve maatregelen en detective maatregelen. N van de detective maatregelen. Uh, die vind je wel heel veel thuis doen in heel veel organisaties. Dat is de security incident en die vind monitoring ok. Uhm die tooling die uh die zorgt ervoor dat wij daadwerkelijk once uh uh Jos Keizers d'r in kwijt kunnen en daar alarmering op gaan krijgen. Uh preventieve maatregelen zijn bijvoorbeeld uh. Firewalls zie je ook heel vaak in films.

 

Speaker 1 [00:28:03] Mm hu.

 

Speaker 2 [00:28:04] En intrusie preventie systemen die er voor zorgen uh dat we dat werkelijk uh uh rare activiteiten uh anders dan virussen. Mm hu? Ook gedetecteerd worden? Ja en natuurlijk uh virusscanners of en uh i ADR systemen op eind werkstations of servers?

 

Speaker 1 [00:28:25] Ja. Kijk, ik kan me voorstellen dat t een hele studie uh vergt om te snappen wat je precies bedoelt. Maar goed, onze luisteraars doen die studie misschien ook wel. Wat? Wat is jullie achtergrond qua opleiding?

 

Speaker 2 [00:28:36] Ja ik heb uh ik heb uh in de richting telematica uh uh uh gestudeerd. En uh omdat t eigenlijk al raakvlakken had met uh uh data en netwerken is t eigenlijk voor mijn een soortement van ja uh vervolg geweest van ik vond het geweldig vroeger. Ik dacht van dit is dit is mooi en ik ben ook hiervoor eigenlijk al heel lang netwerk specialist geweest en voornamelijk in de hoek van beveiliging. Ja. En eigenlijk groter denken zou in. Ja precies ja, t ging vanzelf. Uh voor mij uh deze route.

 

Speaker 1 [00:29:11] Leuk! En jij?

 

Speaker 3 [00:29:13] Ik heb uh achtergrond in Scouting Risk Management. Dat was eigenlijk mijn bachelor die ik gevolgd heb. Ze betekent eigenlijk risico inschattingen maken en dat ook op een begrijpelijke manier kunnen vertalen vanuit iets uh naar gewoon uh de business zoals wij dat dan uh vaak noemen. Mm hu. En uh. Daarnaast heb ik ook nog uh beleids kundige master gedaan uh in de vorm van bestuurskunde met een specifieke richting naast zeventien security.

 

Speaker 1 [00:29:40] Ok, even kijken wat is de maatschappelijke betekenis van jullie werk?

 

Speaker 3 [00:29:45] Dat er in ieder geval DMB uh haar taken veilig kan uitvoeren. Uhu, maar dat we ook uh die infrastuctuur die wij hebben waarin dus heel veel gevoelige informatie zit, dat we die ook veilig houden.

 

Speaker 1 [00:29:57] Ja.

 

Speaker 3 [00:29:58] En uh. Daarnaast wat mij betreft wel een groot maatschappelijk belang dat het allemaal gewoon doorgang kan vinden. Ja uh en dat uh DNB ook in haar breedte ook die taken uit kan blijven voeren. Alleen nu maar ook in de toekomst. Betekent er ook een moment dat wij uh bepaalde dingen in huis waar dat we ook nadenken over. Ja, als we iets in onze infrastuctuur gaan gebruiken ja we gebruiken het, het is uh t is meerwaarde, maar dat we t ook op een veilige manier gebruiken en ook op een veilige manier uh uh toepassen.

 

Speaker 1 [00:30:27] Ja. Ja, want als ik denk aan de bescherming uh van het land of infrastructuur dan denk ik toch aan uh defensie. Maar nu uh merk ik toch dat jullie ook? Uh nou ja, met dat soort aanvallen uit Rusland ook een uh eigenlijk een heel belangrijke rol spelen in het beschermen van infrastructuren. Toch?

 

Speaker 3 [00:30:45] Wij doen ons.

 

Speaker 1 [00:30:46] Best. Ja en.

 

Speaker 3 [00:30:47] Uh naar eer en geweten dus.

 

Speaker 1 [00:30:48] Uh. Ja. Nou hartstikke mooi. En uhm, da's misschien een vraag voor jou. Want hoe werkt DNB dan internationaal samen?

 

Speaker 2 [00:30:59] Uhm, daar hebben wij uhm ook uh platformen voor waar we dat werkelijk? Uh met meerdere centrale banken. Uhm nou ja, regelmatig om de tafel zitten. Uh waar waar dat werkelijk de de de ten de orde van de dag eigenlijk doornemen van wat hebben jullie meegemaakt en uh waar kunnen wij uh meehelpen? Wij helpen elkaar ook op dat gebied. Ja. Zowel op uh technisch niveau als procedureel.

 

Speaker 1 [00:31:28] Ja.

 

Speaker 2 [00:31:29] Dan geef je elkaar gewoon invulling in de gaten die we bij mekaar vinden of althans die je eigenlijk zelf vind. O uh, in je eigen organisatie, in die veel je daar aan met de informatie die je van hun mee krijgt bij wijze van spreken.

 

Speaker 1 [00:31:40] Ja precies de server wel heel veel uitwisseling en uh wat dat betreft. Ja. Ja precies. Want hoe leveren jullie een bijdrage aan een veilig Europees uh systeem van banken?

 

Speaker 2 [00:31:51] We nemen deel uit uh van werkgroepen.

 

Speaker 1 [00:31:55] Mm hu?

 

Speaker 2 [00:31:56] Uh die onder andere door de ACB uh uh worden aangestuurd.

 

Speaker 1 [00:32:01] Ja.

 

Speaker 2 [00:32:02] En uh daar stellen we uh richtlijnen op. Bijvoorbeeld op van waar een centrale bank aan moeten voldoen.

 

Speaker 1 [00:32:08] Ja. Ok, nou ik kan me voorstellen dat dat ook heel uh heel nut. Want is dat elk woord? Lijkt me dus zo'n soort business. We hadden die dingen echt met de dag veranderen dat je denkt gister dacht je van nou op die manier kan je helemaal niet een systeem binnendringen bijvoorbeeld. En vandaag lukt dat dan ineens wel. Hoe is dat ook zo? Is dat lijkt me iets waarbij je de hele tijd op je hoede moet zijn.

 

Speaker 3 [00:32:32] Het betekent dat je kennisniveau uh vrij hoog moet zijn, maar ook actueel. Ja uh. Dus ook niet tevreden zijn met de kennis die je nu bij je draagt. Uh. Maar dat je ook zo dat die kennis bijblijft? Uh. Maar dat je ook zorgt dat je een goed netwerk hebt waar Jason al uh aan refereerde. En om ook terug te komen op die internationale informatie uitwisseling uh vanuit de BIS bank voor International Settlements. Uhm die op die had eigenlijk ook om ervoor te zorgen dat uh centrale banken bij mekaar komen en informatie uitwisselen. Ja een actueel voorbeeld is dat ik zelf gister uh vanuit uh Basel terug ben gekomen waarin ik met uh verschillende counterparts uit de hele wereld samen zit om met elkaar security zaken te bespreken. Ja uhm. En t is heel interessant om te zien dat je eigenlijk met elkaar voor dezelfde uitdagingen staat. Ja. Dus op moment dat ik in zo'n zaal zit samen met een collega en wij horen de ervaringen en uh de uitdagingen waar uh onze evenknieën voor staan, ja, dan heb ik eigenlijk t idee om af heb ik eigenlijk t idee dat ik met directe collega's praat. Het enige verschil is dat ze een andere taal spreken. Ja. Uhm, maar we zien eigenlijk dat iedereen voor dezelfde uitdagingen staat. Uh. En ook de snelheid van die uitdagingen dat ie ook vrij hoog is. Ja, en t is heel mooi dat we daar de lessons learned van elkaar kunnen leren. Ja. Uh. En daarin ook uh informatie uitwisselen. Een front van presentaties uh om ervoor te zorgen nou op t moment dat je een bepaalde weg er bewandeld uh dan kunnen wij die ervaringen delen. Dan hoeft onze uh ja collega laat ik t dan maar even zo noemen uit t andere gedeelte van de wereld, die hoeft die weg niet te bewandelen, want die heeft die uh.

 

Speaker 1 [00:34:10] Informatie van.

 

Speaker 3 [00:34:11] Jullie, die heeft die informatie al van ons. Ja en vice versa natuurlijk. Ja uh als uh diegene bepaalde weg heeft bewandeld uh dan weten wij ook van nou dan hoeven wij niet die afslag te nemen, dan kunnen wij gerust een andere afslag nemen want die is blijkbaar uh toen niet vruchtbaar geweest of niet effectief genoeg. Ja.

 

Speaker 1 [00:34:28] Nou dat lijkt me ook dan echt superleuk aan dat werk eigenlijk. H Dat je zo uh de hele tijd nieuwe kennis moet vergaren en dat dat ook zo internationaal uh gebeurt.

 

Speaker 3 [00:34:37] Ja en t is ook een feest der herkenning op moment dat je dan met elkaar uh in zo'n uh meeting zit en daar informatie uitwisselt.

 

Speaker 1 [00:34:45] Ja. Nou hartstikke leuk. Ja nou uh dank jullie wel. Uh heren. Dit was een aflevering van DMB Talks. Heb jij ook een vraag over het werk van DMB? Stel hem via D en B talks et D en B punt nl. En wie weet beantwoorden wij hem in de volgende aflevering.

 

Napraten met de directie

Wat doen zij op het gebied van cyber?

februari 2024 - Met Nicole en Nienke

Speaker 1 [00:00:01] Je luistert naar een speciale editie van DNB Talks, een podcast van De Nederlandsche Bank. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus die geïnspireerd is op echte gebeurtenissen, een beeld geschetst van het werk van de cyber specialisten van DNB. Elke gelijkenis met bestaande personen of gebeurtenissen in deze casus berust op louter toeval. Dit is DNB Dossier Cyber.

 

Speaker 2 [00:00:27] Goedenavond. De Nederlandse financiële sector is opgeschrikt door een grootschalige ransomware aanval. Inmiddels zijn de systemen van tenminste één Nederlandse bank en één verzekeraar platgelegd, waardoor klanten niet kunnen internetbankieren of bij hun online verzekeringspolis kunnen. Nieuwe aanvallen worden niet uitgesloten. De Nederlandsche Bank werkt samen met de financiële instellingen aan het beschermen van de financiële data. De aangevallen bank en verzekeraar benadrukken dat de gegevens en het geld van klanten veilig zijn.

 

Speaker 1 [00:00:58] Wanneer en hoe kom jij überhaupt in beeld? Als er nou zo'n casus zich voordoet als die we net gehoord hebben?

 

Speaker 3 [00:01:05] Ja, wanneer zo'n casus zich voordoet dan uh word ik uhm uh. Of ik hoor het natuurlijk via de media. Dat gaat heel snel. Of ik wordt geïnformeerd door de Chief Information Security Officer van De Nederlandsche Bank. Dit is een casus die zich met name richt op dit moment, als ik het zo beluister, uh, op de financiële sector. En dan wordt al vrij snel het uh tripartite coördinatie overleg geactiveerd. En dat gaat onder leiding van mijn collega Olaf Slijper, andere directielid.

 

Speaker 1 [00:01:32] Dat had me eigenlijk ook verbaasd dat als er dan met name jou aan de lijn hing, dat zeg maar dat is natuurlijk wel wat. Dat gebeurt wel. Ja, ja, ja. Oké, ik bedoel, als DNB wordt aangevallen, nou. Dan moet je meteen en wordt je ook lid. Ja ja, ook al eens midden in de nacht.

 

Speaker 3 [00:01:47] Ook al is het midden in de nacht.

 

Speaker 1 [00:01:48] En wat gaan jullie dan doen dan?

 

Speaker 3 [00:01:50] Uhm. En afhankelijk van de zwaarte van de melding op het moment dat het echt een serieuze aanval is, dan activeren we het UH. Crisismanagement Team en het Crisismanagement team van De Nederlandsche Bank bestaat uit de hele directie. En ik zit dat crisismanagement team namens DNB voor.

 

Speaker 1 [00:02:07] Ah oké. En en. En wat zijn dan de volgende stappen? Want dan komen jullie allemaal bij elkaar. Ik stel me zo voor dat jullie s nachts. Gaan jullie dan echt fysiek ook bij elkaar komen?

 

Speaker 3 [00:02:18] Ik verwacht dat ze midden in de nacht uh zo'n aanval is. En we moeten echt meteen met elkaar spreken dat het dan een digitale cool gaat worden. En uhm, uh, je begint natuurlijk met de feiten. Wat? Uh wat is de situatie, Wat weten we? Uh En op basis van de feiten zetten we vervolgacties uit. En uh ja, dat is echt afhankelijk van de situatie uh wat de volgende stappen zullen zijn. En dan laten we ons ook adviseren door de CISO die ik net al noemde, maar ook door de directeur IT en ook door de beveiligingsmensen die uh verstand hebben van security en die ook verstand hebben van hoe die systemen met elkaar gelinkt zijn zodat je altijd kijkt van waar zitten besmettingsgevaar en wat moet. Wat is nu een verstandige volgende stap?

 

Speaker 1 [00:03:03] Ja, en en. Het klinkt alsof je dit wel eens hebt meegemaakt ook.

 

Speaker 3 [00:03:08] Ja, we hebben uh. We worden natuurlijk continu uhm aangevallen. Uh uh. Zelden dat het echt een uh serieuze of een uh rake aanval is. We hebben wel een keer een besmetting gehad via een toeleverancier van DNB en uh. Want het gaat natuurlijk niet alleen maar dat je zelf veilig bent en cyber safe bent, maar ook toeleveranciers kunnen besmettingen opleveren. Ja uhm, een.

 

Speaker 1 [00:03:33] Toeleverancier van wat was dat dan?

 

Speaker 3 [00:03:35] Uh, dat was een toeleverancier. Uh Van Uhm, diensten aan DNB en meer kan ik er niet over zeggen, want het is uh zeker die.

 

Speaker 1 [00:03:44] Elke dag proberen gewoon.

 

Speaker 3 [00:03:46] Uh. De informatie die deze die daarmee buit was gemaakt was door ons gecompromitteerd. Dus dat betekent dat we de uh kwaadwillende wel die informatie hadden maar niets mee konden omdat ze zodanig gefragmenteerde informatie had dat ze t niet konden combineren. Dus het is natuurlijk ook aan ons om je informatie zodanig te compartimenteren dat als het buit wordt gemaakt, dat dan een kwaadwillende er nog niets mee kan.

 

Speaker 1 [00:04:12] Oké, nou, dat klinkt uh, dat klinkt heel gunstig. Uh. Dus zelfs als het misgaat, dan heb je nog heel veel stappen voordat je echt een groot probleem hebt.

 

Speaker 3 [00:04:22] Als DNB echt afhankelijk van de situatie. Maar uh, je vroeg naar deze casus en dat is was. In deze casus was dat het geval omdat uh. Ze konden de combinatie van de informatie niet maken.

 

Speaker 1 [00:04:33] En jullie hebben nog helemaal niet voorgesteld, dus laten we daar even mee beginnen. Uhm, wie ben je en wat doe je bij De Nederlandsche Bank?

 

Speaker 3 [00:04:41] Ik ben Nicole Stolk. Ik ben uh directielid bij De Nederlandsche Bank en uh. Mijn aandachtsgebied is resolutie en de interne organisatie.

 

Speaker 1 [00:04:48] Wat is de resolutie?

 

Speaker 3 [00:04:50] Resolutie uhm uh is één van de kerntaken van De Nederlandsche Bank en richt zich op de afwikkeling van banken en verzekeraars die uh falen, die uh het niet goed doen.

 

Speaker 1 [00:05:02] Ja precies. Oké. En wie ben jij en wat doe jij bij De Nederlandsche Bank?

 

Speaker 4 [00:05:07] Ik ben Nienke Griffioen. Ik ben uh divisie directeur bij de divisie Onsite Toezicht en Bancaire Expertise. En dat is een divisie die op verschillende risicogebieden onderzoek en bij banken doet en account toezicht ondersteund met uh allerlei expertise vragen op. Ja dus. Het risicogebied.

 

Speaker 1 [00:05:23] Oké, nou hoog bezoek vandaag. Echt ontzettend leuk dat jullie er zijn. Uhm Nienke Ja, hoe belangrijk is cyber risico voor een bank?

 

Speaker 4 [00:05:33] Ja, heel belangrijk. Uhm zeker in in deze wereld waar alles steeds digitaler wordt. Uh banken volledig afhankelijk zijn van hun IT voering eigenlijk en IT systemen? Uh ja, als er dan een aanval plaatsvindt en het ligt plat dan uh is denk ik een groot deel van de bank is ja out of business dus superbelangrijk.

 

Speaker 1 [00:05:52] Ja En hoe staat de financiële sector ervoor op cyber gebied en veiligheid?

 

Speaker 4 [00:05:57] Nou, we zien dat de sector het ontzettend serieus neemt. Al vrij lang en ze doen ontzettend veel. UH besteden er veel aandacht aan hoeveel moeite om de cyber weerbaarheid continu op peil te houden. Tegelijkertijd zien we ook dat de buitenwereld zich ook heel snel ontwikkeld. Dus de criminelen worden ook steeds sneller en er vinden ook steeds geavanceerdere manieren om toch weer nieuwe aanvallen uit te voeren. Dus dit is een onderwerp wat aandacht zal moeten blijven krijgen. Je bent eigenlijk nooit klaar mee. Wij doen regelmatig onderzoeken naar uh de cyber weerbaarheid van instellingen en er komen toch ook altijd wel weer aandachtspunten uit. Uhm uhm. Nou, bijvoorbeeld als ik de drie belangrijkste mag noemen. De eerste eigenlijk de cyber hygiëne. Dus zijn de basis maatregelen op orde. En dan moet je denken aan hebben ze voldoende updates? Uh, continu zeg maar in de lucht uh gedraaid dat alle bestanden eigenlijk en systemen up to date zijn? Je moet denken aan de identity en access management, dus kan de juiste toegang geregeld voor mensen. We zien ook wel vaak dat uh kritische processen nog draaien op end of life systemen die eigenlijk niet meer ondersteund worden. Dus dan wordt de kwetsbaarheid steeds groter. Naast de basis hygiëne en de cyber hygiëne blijven we wijzen op dat ja testen en voorbereiding op cyberaanvallen echt heel belangrijk zijn. Je moet oefenen, je moet leren. Hoe je gaat herstellen als het toch een keer overkomt. Want je kunt zo goed voorbereid zijn, maar er is gewoon geen garantie dat je niet een keer wordt aangevallen. Maar aangevallen wordt je zeker. Maar dat het ook een keer gaat lukken. Uhm. En het laatste is dat de cyber dreiging via de keten van uitbesteding gewoon echt een heel belangrijk onderwerp blijft om heel alert op te blijven. Dus ja, dat dat geven wij dan weer terug aan de instellingen en dan blijven we daarover in gesprek. We blijven kijken hoe het gaat en of ze zich blijven verbeteren daar. Maar ik denk dat we wel kunnen zeggen dat dat de Nederlandse financiële instellingen zich heel bewust zijn van het risico en hier heel hard aan werken.

 

Speaker 3 [00:07:44] Ja ja, in die awareness die zitten, maar ook eigenlijk in heel veel verschillende zaken. Dat zit ook in een UH in een goed wachtwoord hanteren. Uhm uh opletten dat er uh wanneer er toch vreemde vragen worden gesteld, ook op de werkvloer. Want we kunnen ook op de werkvloer mensen proberen informatie los te krijgen waarvan je denkt wat gebeurt hier eigenlijk? Ja uhm.

 

Speaker 1 [00:08:05] Want wat zou zo'n vreemde vraag kunnen zijn? Ik stel me voor dat je samen koffie automaat of uh ja.

 

Speaker 3 [00:08:09] Dat je dat mensen die eigenlijk uh en geen uhm toegang tot specifieke informatie hebben over Swift betalingsverkeer of zo hele specifieke vragen daarover gaan stellen. Want je denkt waar uh, heb je dat eigenlijk allemaal voor nodig dat je daar bewust van bent? Ja, uhm uh en uhm. En dus. En de phishing mails inderdaad. Uhm, waarbij er vaak sprake is van uh urgentie. Je moet nu iets doen uh, waarbij je soms ook ziet dat het wat slechter Nederlands is, maar ze worden steeds geavanceerder. Afgelopen zomer hebben we onderzoek uitgevoerd uh met phishing uh binnen DNB en hebben we eigenlijk heel alle collega's van DNB een phishing mail gestuurd waarbij je wel kon zien dat het een phishing mail was. Maar hij was redelijk geavanceerd en geavanceerder dan eerdere phishing mails. Want we doen dat vaker en we zien dat er toch ook collega's zijn die daarop klikken. En we hebben daarna naderhand ook aangegeven waarom we die phishing mail gestuurd hebben. En dat leidt ook weer tot het gevoel van ja, we moeten echt goed opletten, want ook collega's die toch gewend zijn om snel te lezen, die uh gewend zijn om met veiligheidsvraagstukken om te gaan, zagen niet meteen dat het een phishing mail was. Dus de awareness uhm uh creëren door phishing mails uit te sturen is nog steeds een aanpak die in ieder geval bij ons uh de ja de ogen weer opent.

 

Speaker 1 [00:09:37] Ja wat erg. Dat was niet de uitnodiging voor het kerstfeest hier in Amsterdam.

 

Speaker 4 [00:09:41] Nee, de timing was ook goed, want heel veel mensen waren op vakantie en dan ben je misschien toch ook.

 

Speaker 3 [00:09:45] Pas in de zomerperiode?

 

Speaker 4 [00:09:46] Ja, dan zie je hem op je telefoon en dan ben je misschien ook sneller.

 

Speaker 3 [00:09:49] En ik heb begrepen van het Cyber Defense centrum dat juist ook kwaadwillenden graag ook uh Pasen, Kerstmis en de zomerperiode gebruiken voor dit soort mails omdat dat bekend is dat de medewerkers dan minder goed lezen.

 

Speaker 1 [00:10:02] Uhm. En de mensen die op die mail klikten, wat is daarmee gebeurd?

 

Speaker 3 [00:10:07] Ja, die zijn geïnformeerd dat het een uh fake mail was, dat het een phishing mail was en er zijn ook geïnformeerd waar ze op kunnen letten omdat in het vervolg beter te detecteren. Uhm nee, je wordt niet afgerekend. Het is niet een uh. Ik denk uiteindelijk dat het helemaal niet werkt in de organisatie om iedere persoon die een uhm een vergissing maakt. Want dat is wat je doet uhm, meteen af te rekenen. Het is wel zo dat ik hoop dat iedereen ervan leert. Uh, want alleen een lerende organisatie is uh uiteindelijk uh steeds beter beveiligd tegen cyberaanvallen.

 

Speaker 1 [00:10:40] En nog heel even terug naar onze ransomware aanval. Uh ja, wat zou de impact van zo'n aanval kunnen zijn op de financiële sector?

 

Speaker 4 [00:10:48] Dat is natuurlijk sterk afhankelijk van hoe geslaagd uh de aanval is, maar dat kan enorm zijn. Uhm, als het een een goed geslaagde aanval is en alle IT systemen liggen plat bij een bank, dan kan dat betekenen dat mensen niet meer online kunnen bankieren, geen geld meer kunnen opnemen, geen overschrijvingen meer kunnen doen. En dat kan denk ik ook best eventjes duren, afhankelijk van hoe goed ook een bank weer is in het herstellen uiteraard. Uh, als er ook nog allerlei verweven heden zijn met andere financiële instellingen of andere überhaupt instellingen kan dat zich ook nog uitbreiden buiten de instelling die geraakt is. Dus afhankelijk van hoe geslaagd het uh de aanval is kan dit behoorlijk wat impact hebben.

 

Speaker 3 [00:11:24] Na wat we hebben gezien en een uhm uh. Bij een aanval op de centrale bank in Bangladesh is dat ook echt geprobeerd. Is via die systemen ook met een uh insider uh die daar uh uh werkte uhm uh om geld over te schrijven van de centrale bank naar een uh account van een kwaadwillende. Uhm en uh, dat is één keer ook gelukt.

 

Speaker 1 [00:11:49] Hoeveel was dat dan echt? Miljoenen? Ja, miljarden?

 

Speaker 3 [00:11:52] Nee, miljoenen en uhm. En de tweede keer was het bijna gelukt. Maar toen heeft uh de de de persoon die het intikte gewoon een verkeerd nummer ingetikt. Dus uh dat is toeval geweest dat dat niet gelukt is. Jeetje, en daar heeft ook de centrale bank sector in brede zin internationaal. Heel veel van geleerd.

 

Speaker 1 [00:12:11] Ik wou zeggen, want je zou denken van oké, dat gebeurt één keer. Ja, want hoe gaat het dan? Daar is dat dus gelukt. Nou, dat is dan nieuws natuurlijk. Groot nieuws in jullie wereld. Gaan jullie dan ook zeggen van hé, we doen even een vergadering, wat is er nou gebeurd? Hoe hebben jullie daarop gereageerd? Waarom? Hoe heeft dit kunnen gebeuren? Wat kunnen wij daarvan leren?

 

Speaker 3 [00:12:30] Ja, in de financiële sector wordt eigenlijk niet geconcurreerd op cyber informatie en dat is een groot goed. Dat betekent als er iets gebeurt, wat dan ook, hoe klein ook, dan is het zo. Is het belangrijk om die informatie te delen en zodanig te delen dat een ander daarvan kan leren en kan voorkomen dat iets gebeurt. Uh, breder in de sector. En uhm, ja, wat? Uhm ik uh. Ik ken de situatie bij DNB het beste, maar wat ik ervan weet is dat die informatie ook tussen onder toezicht staande instellingen met DNB en UH en met elkaar gedeeld wordt. Uhm en uh. Ik merk het ook als ik uh op conferenties kom op over cyber, dat uh daar op vraagstukken en op dilemma's. Maar ook op de ontwikkelingen die je ziet, bijvoorbeeld met de geopolitieke situatie op dit moment open met elkaar gesproken wordt. Wat? Wat verwachten we, waar maken we ons zorgen over en hoe kunnen we ons het beste voorbereiden?

 

Speaker 1 [00:13:27] Ja, en dat gebeurt dus echt op internationaal niveau.

 

Speaker 3 [00:13:32] Ja, dat gebeurt op internationaal niveau.

 

Speaker 1 [00:13:33] Ja. Oké, ik heb begrepen uit de vorige drie afleveringen dat DNB uhm heel veel doet vanuit diverse taken op het gebied van cyber. Hoe belangrijk is cyber voor DNB?

 

Speaker 3 [00:13:47] De aandacht voor cyber is heel erg toegenomen de afgelopen jaren en ik verwacht dat die ook nog alleen maar toe zal nemen. En het is aan ons om onze kennis en kunde met elkaar te verbinden. Dus niet alleen maar van de mensen binnen DNB, maar ook van de mensen bij toezicht die verstand hebben van cyber en de mensen bij Monetair. Allemaal werkzaam binnen DNB die verstand heb van cyber om die kennis met elkaar te bundelen. En dat is de beweging die we de afgelopen jaren hebben gemaakt, want dat waren zelfstandig opererende eenheden en die bundelen nu echt hun kennis.

 

Speaker 1 [00:14:20] Ja, dat al erg helder voor mijn beeld. Hoeveel mensen werken er ongeveer bij DNB en hoeveel zitten daarvan op Cyber zal ik maar zeggen.

 

Speaker 3 [00:14:29] We werken ongeveer drie van de honderd mensen intern bij DNB natuurlijk ook veel externen en op het terrein van cyber werken ongeveer tussen de veertig en vijftig mensen.

 

Speaker 1 [00:14:37] Oh oh, dat is eigenlijk dan nog helemaal niet zo heel veel.

 

Speaker 3 [00:14:40] Ja, dat zou je kunnen zeggen. We hebben uh. Als je dat vergelijkt met enkele jaren geleden is dat uhm, uhm, misschien wel een uh van uh of uh van vijf naar zo ongeveer vijftig gegaan. Oh echt, zo snel gaat dat. Ja jeetje.

 

Speaker 1 [00:14:56] Oké, Lijkt me ook als directie best wel spannend als je eigenlijk midden in zo'n ontwikkeling zit die zo hard gaat en die ook zo actueel wordt door geopolitieke situatie. Ervaar je dat ook zo?

 

Speaker 3 [00:15:09] Ja wat? Uhm uh voor ons als directie natuurlijk belangrijk is, is dat wij ook bij de tijd blijven, want wij zijn wel geschoold in uh digitalisering. Maar deze ontwikkelingen gaan zo snel dat ook. Ik ben afgelopen jaar ook weer naar Nijenrode gegaan om hen weer bij te scholen op het terrein van cyber en de nieuwe digitale transformaties. Uhm, en dat doen mijn collega's ook. We hebben ook regelmatig thema's, sessies en kennissessies over cyber en over de ontwikkelingen. Uhm. Dus uhm ja, dat blijft belangrijk. Het is niet iets statisch, het is iets wat van continu leren.

 

Speaker 1 [00:15:43] Ja en echt ook van dag tot dag lijkt me dat zich dat ontwikkelt. Ik bedoel, je kan niet denken ik heb naar de cursus gedaan, ga even drie jaar achterover zitten.

 

Speaker 3 [00:15:51] En ja, het is in ieder geval belangrijk om ook te blijven leren. Dus op het moment dat er ergens in de wereld iets zich voordoet, dat wij dat tot ons nemen en weer uh denken, wat betekent dat voor ons en zijn onze procedures en onze aanpak en onze aandacht zijn hier nog steeds goed gericht?

 

Speaker 1 [00:16:07] Ja, ik heb begrepen dat jullie een recent een DNB cyber strategie hebben geschreven. Waarom hebben jullie dat gedaan en voor wie is dat bedoeld?

 

Speaker 4 [00:16:18] Ja, we hebben een cyber strategie gegeven omdat het gewoon een van onze prioriteiten is in het toezicht in de betalingsverkeer intern bij ons als DNB en wij het goed vinden om daar ook zeg maar iedereen met wie wij samenwerken in Nederland daarvan op de hoogte te brengen waarom dit een belangrijk onderwerp is, welke risico's wij zien, waar die vandaan komen en uit te leggen wat wij als DNB uh doen aan cyber risico.

 

Speaker 1 [00:16:41] Ja.

 

Speaker 4 [00:16:41] Vanuit de verschillende taken.

 

Speaker 1 [00:16:43] Ja precies. Begrijp ik dat nou net? Heel even gemist. Maar voor wie hebben jullie dat dan geschreven?

 

Speaker 4 [00:16:48] Nou, eigenlijk voor iedereen die het interessant vindt. Het komt gewoon op onze website en iedereen kan het lezen. Dus het zal met name ook zijn voor de voor de doelgroepen die meer met DNB te maken hebben, zoals de onder toezicht staande instellingen, mensen die werkzaam zijn in de financiële sector die iets meer willen weten over cyberrisico's.

 

Speaker 3 [00:17:06] Ja, en we hebben ook uh bijzondere belangstelling vanuit het NCSC. Dat is het uh cyber centrum van de Rijksoverheid, zou je kunnen zeggen, die zich richten op alle vitale sectoren in Nederland. En die zijn natuurlijk ook geïnteresseerd van hoe doen jullie het? Uh DNB en hoe is jullie relatie met de financiële sector op het terrein van cyber?

 

Speaker 1 [00:17:24] Ja dus ook op dat gebied werken jullie dan weer samen eigenlijk? Ja.

 

Speaker 3 [00:17:28] En naast uh de samenwerking op nationaal niveau werken we ook samen met de ECB, de Europese Centrale Bank. Want ook daar uh zie je dat de samenwerking op Cyber uhm ja echt toeneemt op dit moment. En Nederland is verregaand gedigitaliseerd. Dus uh. Andere Europese landen kijken soms ook uit naar naar Nederland van hoe pakken jullie het aan en wat kunnen wij ervan leren?

 

Speaker 4 [00:17:51] Ja, en tegelijkertijd, ik bedoel dat is waar. We lopen voorop, Maar tegelijkertijd is dit echt als je het kijkt vanuit Europees toezicht. De ECB heeft het Europese toezicht op de banken. Het is ook voor de ECB over heel Europa gezien gewoon een toezicht prioriteit. Dat is een risico wat overal opduikt. Juist omdat. Ja, cyberrisico's, cyberaanvallen houdt zich niet aan de landsgrenzen. Uhm, dus we moeten dit echt breder aanpakken dan binnen een land?

 

Speaker 1 [00:18:13] Ja, maar er is een.

 

Speaker 3 [00:18:14] Toevoeging ja en uh. Onze president uh Klaas Knot is uh voorzitter van de Financial Stability Board en ook in internationaal globaal dus de hele wereld zie je dat uh daar ook cyber vraagstukken op de agenda staan.

 

Speaker 1 [00:18:29] Oké, En wat zijn op dit moment de belangrijkste cyberrisico's?

 

Speaker 4 [00:18:35] Nou eentje hebben denk ik al uitgebreid aan de orde gehad. Ransomware aanvallen, Die blijven gewoon heel erg actueel en dreigend. Aanval op derde partijen dus. Dat je ziet dat een derde partij die een vitale dienst levert kan ook zorgen voor uitval van systemen of diefstal van gelden Aanval via die derde partij. We besteden veel uit, dus via de keten kun je ook weer aangevallen worden via eigenlijk de uitbestede partners. Wat ik al eerder ook al aangaf.

 

Speaker 3 [00:19:01] En dat vind ik ook wel wat. Ik zie wel dat uh het water gaat uh naar het laagste punt. Ehm, hier zie ik wel een grote dreiging op dit moment. Uh. En voor de hele financiële sector. We zijn afhankelijk van dienstverlening van derden en je ziet dat de sector steeds hoger niveau qua cyberveiligheid komt. Het kan altijd nog beter, maar dat niveau stijgt. Uh, en toeleveranciers, uh die die moeten eigenlijk diezelfde stijging mee maken. En uh, dat zie je nog niet bij iedere toeleverancier op dezelfde maat.

 

Speaker 1 [00:19:30] Want hoe kun je daar een voorbeeld van noemen?

 

Speaker 3 [00:19:32] Op het moment dat je afhankelijk bent van dienstverlening van derden, dan gaat dat uh Zijn de connecties met jouw systemen.

 

Speaker 1 [00:19:38] En waar maakt het concreet? Wat is dan hun dienstverlening? Bijvoorbeeld die risico.

 

Speaker 4 [00:19:44] Cloudserver? Ja, service. Dat je uiteindelijk toch daar die digitale uitwisseling van data en gegevens hebt. En als die wordt aangevallen, dan zijn ook jouw gegevens niet meer veilig.

 

Speaker 3 [00:19:55] Maar het kan ook heel simpel zijn een uh uh een externe partij waarbij je haar echt uh data uh plaatst bijvoorbeeld omdat uh die voor jou gaan searchen. Ja en uh. Of daar maak je ook connectie mee. En op t moment dat die systemen want uh, dat we weten dat uh uh CV's bijvoorbeeld, dat is een makkelijke manier om binnen te komen. Uhm, op het terrein van Cyber Uhm, als die besmet zijn en via die besmetting komt het in je systeem, ja dan uhm uh moet je zorgen dat je dat meteen detecteert en uh ook uh de systemen veilig stelt.

 

Speaker 1 [00:20:32] Maar via cv's.

 

Speaker 3 [00:20:33] Ja, een CV is een uh en iets wat je open klikt. En we weten vanuit de Tudors.

 

Speaker 1 [00:20:38] Gewoon een curriculum vitae zeg maar. Ik denk dat het dezelfde centrale verwarming was. Ja ja.

 

Speaker 3 [00:20:44] We weten vanuit het type aanvallen, die zoeken altijd naar plausibele scenario's. Uh, dat uh één van de scenario's is om via een CV toegestuurd CV dat open geklikt wordt door de HR afdeling of de recruiter dat je daar een uh een besmetting mee opent.

 

Speaker 1 [00:21:01] Het grappigste? Goh, niet bij stil dat ook weer dan zo simpel is of zo toch? Of iets met cloud data en dingen als Ik hoef niet.

 

Speaker 3 [00:21:09] Per se een IT dienstverlener te zijn waar je door besmet kan raken. Dat kan bij iedere dienstverlening zijn deze.

 

Speaker 4 [00:21:15] En dat is denk ik het mooie. Want als je t dan over de risico's hebt. De Artificial Intelligence kunnen steeds meer. Ze kunnen steeds meer naar hele geavanceerde phishing mails, stem stemmen namaken et cetera. Dus dat denk ik ook een steeds groter toenemend risico. En ook insiders dus dat ze toch moedwillig iemand plaatsen binnen je organisatie met het doel om.

 

Speaker 1 [00:21:34] Uh binnen te dringen in de systemen los te halen en uh. Want hoe? Kijk. Ik bedoel, stel ik wil solliciteren via DNB. Ja nou dat CV opsturen is al een dingetje, maar hoe weet jullie nou of iemand een spion is of niet? Gaat er als een private detector detective op Ieder nieuw uhm werknemer of.

 

Speaker 3 [00:21:56] Nagenoeg alle medewerkers hebben een screening? Uh, sommige een lichtere screening en andere een veel zwaardere screening en afhankelijk van de uhm de wet, de werkwijze die je hebt en ook de toegang tot specifieke systemen heb je steeds zwaardere screening? Uhm, ik heb het beeld dat de insider threat niet het grootste dreiging is. De grootste dreiging op dit moment is echt via toeleveranciers. Ja oké, dat is er nog veel gemakkelijker. Nee, je hebt gewoon verbinding met UH meteen bij ja, we hebben intern ook wel discussie gehad. Tot hoe ver ga je? Ga je ook? Uhm uhm. Ik was onlangs bij ASML en die hebben het uh qua cyberveiligheid zo georganiseerd dat ook hun belangrijke toeleveranciers daar de cyberveiligheid gaan zij over. En uhm nou daar hebben we ook wel discussie over gehad. Vinden we ook dat van onze belangrijke toeleveranciers dat DNB over die cyberveiligheid gaat? Ja, en dan heb je het echt over een veelvoud aan medewerkers dat je ook nodig hebt om daar op te acteren.

 

Speaker 1 [00:22:57] Ja.

 

Speaker 3 [00:22:58] En wij hebben op dit moment gekozen dat we eisen vereisten stellen en daar ook op controleren. Uhm, aan onze toeleveranciers op terrein van cyber, maar niet dat wij echt.

 

Speaker 1 [00:23:09] Uh dat overnemen.

 

Speaker 3 [00:23:10] Dat overnemen. En uhm, nou dat is best een discussie ja.

 

Speaker 1 [00:23:14] Want wat was dan de afweging om dat niet te doen?

 

Speaker 3 [00:23:16] Omdat je uh, dat ze ook een uh doelmatigheid afweging van ben je in staat om uhm zoveel mensen vrij te maken op het terrein van cyberveiligheid om dit risico af te dekken? En uh, hoe staat dat dan in verhouding tot dat risico?

 

Speaker 4 [00:23:31] En ik denk ook dat we moeten concluderen hoe goed je je ook wapent tegen cyber aan. Vallen. Je hebt gewoon geen garantie dat je niet wordt aangevallen op welke manier dan ook. Dat is echt.

 

Speaker 3 [00:23:39] Sterker nog, ik denk dat je rekening moet houden dat je wel je wordt aangevallen en dat je je veel meer. Naast alle de voorkomen dat je een kwaadwillende binnenkomt, je rekenschap moet geven van dat. Als ze binnen zijn, hoor je dan zorg dat je systemen zo snel mogelijk weer up en running komen en welke systemen eerst? Dus dat recovery beleid opwekken per recovery beleid, zo heet dat. Ja, dat moet op orde zijn en daar zijn wij je ook zelf nog echt mee bezig om dat helemaal up to date te krijgen en daar ook geen misverstand over te laten bestaan. Want op het moment dat het gebeurt, moet je er klaar voor zijn.

 

Speaker 1 [00:24:17] Ja ja. Oefent DNB zelf ook om bestand te zijn tegen cyberaanvallen?

 

Speaker 3 [00:24:24] Ja. Naast de Type-R oefeningen hebben we ook CMT crisismanagement team oefeningen en dat is echt op directieniveau. Uhm, we oefenen met een uh een reële casus uh, met een externe partij die uh deze reële casus inbrengt en uh bij voorbeeld dat de laatste casus was dat er een deepfake was van Klaas Knot uh, waarbij hij uhm aankondigde dat er samen cyberaanvallen waren, terwijl dat eigenlijk feitelijk niet het geval was. Uhm uh. Aan tafel heb je dan bij een crisismanagement team uh de hele directie, maar ook uh de directeur IT en uh communicatie en de beveiliging security mensen. Uhm. En ja, we bespreken dan hoe we daarmee omgaan, zowel communicatief maar ook uh wat doet het met onze systemen en wat doet het met de sector? Want dan schalen wij natuurlijk ook meteen op als het niet alleen maar DNB betreft, maar de hele sector. Ja.

 

Speaker 1 [00:25:20] Hoe ging dan dat? Klaas Knot zei dus van er is een cyber aanval gaande, wist jij toen dat dat een test was of niet?

 

Speaker 3 [00:25:28] Nou, wij vonden de deepfake die we zagen aan de deepfake dat het een fake was. Maar je moet natuurlijk uh. Het is in zoverre wel realistisch dat je tegenwoordig ook deepfakes kunt maken die nagenoeg niet van echt te onderscheiden zijn. Ja, en als je een uitspraak hebt van iemand zoals Klaas Knot met deze stevige implicaties, ja, dan is het goed om na te denken. Wat betekent dat dan en hoe verifiëren we dat? Dat konden we vrij snel verifiëren, want Klaas Knot zat aan tafel en zei Dit heb ik niet gezegd. Uhm. Maar uh, dat is natuurlijk niet altijd het geval.

 

Speaker 1 [00:26:02] Maar was het dan wel een serieuze test? Want het klinkt dan Ik bedoel je, het was niet heel goed gedaan, maar je zag dat hij het niet was en hij zat naast je om het meteen te ontkrachten.

 

Speaker 3 [00:26:11] Ja toch is het wel een goede test, want je uh. We zijn wel meegegaan in de gedachte dat het een hele goede uh deepfake zou zijn. En wat betekent dat dan voor een organisatie als DNB? Wat zijn de stappen die wij moeten doorlopen om te toetsen of uh of het waar is? Uh. Of stel dat Klaas Knot in het buitenland is, die is nogal eens op reis. En uh, wat uh zou dat dan betekenen? Uh in Indien het toch een effect heeft op de sector terwijl er eigenlijk uh een uh een fake nieuws is? Ja uh, dus de waarheid hebben we toch wel heel veel van geleerd en uh ook wie we allemaal moeten raadplegen en wie we ook moeten informeren. En dat is een behoorlijke uh behoorlijk veel instanties en behoorlijk veel organisatieonderdelen.

 

Speaker 1 [00:26:53] Ja, hoeveel ongeveer?

 

Speaker 3 [00:26:55] Ja, dat uh is zowel nationaal en en dan uh ik moet je echt aan de tientallen denken, maar ook internationaal, ook met de ECB die je daar ook direct van op de hoogte moet zijn met dit soort zaken. Op het moment dat t en dat hadden was in de casus zo. Dat had effect op de sector. Dus uh, daar moesten wij dan ook.

 

Speaker 1 [00:27:11] Het alarm slaan en na overleggen. Ja, wat zijn de belangrijkste thema's vanuit toezicht in 2024 op het gebied van cyber en het verhogen van jullie weerbaarheid?

 

Speaker 4 [00:27:23] Ja, Cyber is ook in 2024 weer één van onze toezicht prioriteiten. En dat geldt voor alle sectoren, dus ook voor pensioenfondsen, verzekeraars, voor de banken Uh, zowel bij DNB als bij de ECB het uh, het overkoepelende Europese toezicht op de banken. En wat gaan we doen? Ja, we gaan weer uh diepgaand onderzoek doen bij alle verschillende instellingen. De ECB komt met een cyber stresstest voor het eerst uh voor de Europese banken. Uh. We nemen deel aan allerlei uh kennissessies, ronde tafels die we organiseren. We beginnen nieuwsberichten uit waarin we weer aangeven wat we in de verschillende onderzoeken hebben gevonden. Dus we proberen zeg maar. Zowel via onderzoeken als via communicatie en kennisdeling proberen we het niveau van de sector continu omhoog te krijgen.

 

Speaker 1 [00:28:06] Ja, en hebben jullie daarbij ook nog belangrijkste thema's binnen DNB?

 

Speaker 3 [00:28:11] Zie je dat? Uhm. En cyber gerelateerde thema's zijn onder meer UH, identity en access management. Wie heeft toegang tot wat? Maar ook uh back up en bestuur. Dus uh, wat herstel je als eerste en hoe zorg je dat die data niet meer corrupt is? Ja uh, ik zeg het nu snel heel ingewikkeld. Uhm. Maar ook uh. De vraagstukken als business continuity management is ook een vraagstuk dat daar direct aan verbindt. Zonde is. Dus hoe zorg ik dat ik zowel aan de preventie kant als aan de repressie kan, zodat het moment dat er iets aan de hand is de juiste mensen aan tafel hebt en de juiste besluit kan nemen. Ja.

 

Speaker 1 [00:28:50] Wat maakt werken bij DNB uniek op het gebied van cyber?

 

Speaker 3 [00:28:54] DNB is top employer en staat in de top tien van Nederland. En we zijn een hele goede werkgever en ook onze omgeving ziet ons als goede werkgever. En bij DNB zou je kunnen verwachten dat je veel economen juristen tegenkomt. Dat is ook zo. Maar in toenemende mate zien we veel mensen met een data en IT profiel bij DNB werken en zo'n ongeveer 40% al.

 

Speaker 1 [00:29:22] Oh.

 

Speaker 3 [00:29:23] En dat komt omdat we steeds meer data niet ook gebruiken in onze wijze van toezichthouden en ook in onze wijze van analyses monetaire analyses. Op terrein van cyber hebben wij ook nog vacatures voor mensen die belangstelling hebben om bij ons te komen werken. En dan is qua achtergrond zou je verwachten informatica of misschien specialisten op het terrein van Cyber of IT, maar ook criminologen en mensen met een bestuurskundige achtergrond. Politicologen werken binnen de cyber eenheid omdat het natuurlijk een samenspel is van verschillende disciplines en verschillende kennis en ervaringen, dat uiteindelijk de kracht maakt van zo'n cyber eenheid. Ja, nou, onze cyber eenheid uh werkt uh natuurlijk voor DNB, maar heeft ook internationaal timmert aan de weg. Zie je ook dat ze heel actief zijn in het delen van kennis en informatie en in de voorhoede zijn op Europees verband bij de ECB en uh. Dus uh. Als werkgever kunnen wij naast nationale uh werkzaamheden ook aanbieden dat je veel, ook internationaal en uh in samenwerking met andere Europese landen werkt.

 

Speaker 1 [00:30:35] Ja, nou dat is natuurlijk wel heel leuk ja.

 

Speaker 4 [00:30:37] En misschien in aanvulling daarop het is het speelveld waar je als cyber specialist of als IT specialist kan werken denk ik binnen DNB heel breed. Stel dat je begint aan de kant van de Tiber testen. Uh, nou dat is al super interessant omdat je dan dus echt van binnenuit kan zien hoe hoe het gaat binnen de instellingen waar je de testen doet. Je kunt een overstap maken naar toezicht waar je meedraait in onderzoeken bij banken, verzekeraars, pensioenfondsen. Dat is in Nederland, maar zeker als het de grote Europese banken zijn, dan kunnen dat ook onderzoeken bij buitenlandse banken zijn. Uhm. Maar je kunt natuurlijk ook op een gegeven moment overstap maken naar het interne bedrijf en kijken van hoe is het met de eigen cyber weerbaarheid van DNB gesteld. En wat ik echt heel erg leuk aan DNB vind is dat die mogelijkheid er ook is. Je kunt ook echt rouleren en overstappen naar andere takken van sport binnen de bank. En zelfs ook als je op een gegeven moment denkt nou, ik zou wel eens iets heel anders willen dan cyber, is dat ook altijd één van de mogelijkheden.

 

Speaker 1 [00:31:27] Je wordt dan gewoon intern weer opgeleid tot je weer bij een andere andere afdeling aan de bank.

 

Speaker 4 [00:31:31] En dat gebeurt ook echt heel veel.

 

Speaker 1 [00:31:34] Oh ja.

 

Speaker 3 [00:31:34] Ja, kernkwaliteit van DNB is leren en ontwikkelen. Uhm. Dus de bereidheid om elkaar uhm up to speed te maken, dus uh te leren en uh, weer net een andere aspect van dat uh van cyber uh je eigen te maken is heel groot. En uh, dat uh is zowel groot bij de mensen, maar ook bij je leer en ontwikkelmogelijkheden bij het opleiden met de DNB Academy.

 

Speaker 1 [00:32:00] Wat ontzettend leuk! Nou dat is toch natuurlijk wel tamelijk uniek dat je gewoon, uh heel erg bijgespijkerd een andere richting op kan worden. Of juist de cyber richting op? En zijn jullie nog op zoek naar een specifieke expertise binnen cyber? Of heb je eigenlijk net verteld dat het niet zoveel uitmaakt als je maar geïnteresseerd bent? Nieuwsgierig? Dan kunnen jullie nog opleiden.

 

Speaker 4 [00:32:22] En ik denk dat dat we daar een breed speelveld van mensen zoeken. Je moet natuurlijk wel enige affiniteit hebben met het onderwerp en en zeker als je in toezicht gaat werken is enige kennis van de materie ook wel handig, want je moet wel een beoordeling doen van een instelling. Maar ik denk dat wij breed zoeken en en ook starters bijvoorbeeld, die misschien nog niet zo heel erg goed helemaal in het thema zijn opgeleid. Ook die zijn welkom, want die kunnen we ook intern wel verder opleiden. Ja dus ja, als je een leuke vacature voorbij ziet komen zou ik zeggen reageer gewoon.

 

Speaker 1 [00:32:51] Je krijgt ook betaald als je in opleiding bent. Ja oké, nou dat mag is wel gunstig ja. Ja, ik een van jullie collega's zei ook dat vond ik zo grappig. Als je heel goed bent in het op de Instagram napluizen van je ex en zijn nieuwe scharrels en hoe dat allemaal zit, dan ben je bij DNB ook zeker op je plek. Nou heel erg bedankt voor jullie tijd! Dit was een aflevering van DNB Talks. Heb je ook een vraag over het werk van DNB? Stel hem via DNB Talks at DBNL en wie weet beantwoorden wij hem in de volgende aflevering.

 

Jouw inzicht is van waarde

Bekijk hier vanuit welk vakgebied jij kunt bijdragen.

Financieel risicomanagement

Krijg jij grip op financiële risico’s? Ontdek dan je kansen in risicomanagement.

Lees verder over Financieel risicomanagement

Data en IT

Cloud computing, fintech, AI en algoritmes: maak jij ons toezicht toekomstbestendig?

Lees verder over Data en IT

Economie en beleid

De (inter)nationale economie analyseren en erover adviseren? Ontdek de core business van DNB.

Lees verder over Economie en beleid

Onderzoek en statistiek

Wil jij werken met de gegevens over financieel Nederland? Ontdek welke impact jij kunt maken.

Lees verder over Onderzoek en statistiek

Ontdek hoe jij van waarde kunt zijn

Bekijk onze vacatures