‘Cybercrash financieel stelsel is reëel risico’

De Europese toezichthouder ESRB waarschuwt voor het niet te verwaarlozen risico op een cyberaanval die het hele bankensysteem ontwricht. ‘Een grootschalig cyberincident in de financiële sector met ernstige negatieve gevolgen voor de economie is niet ondenkbaar.’

Niet elke cyberaanval op een individuele bank hoeft tot een wijdverspreid infarct te leiden, sust het Europees Comité voor Systeemrisico’s (ESRB) eerst in zijn rapport. Maar dat neemt niet weg dat een cybercrash van het hele bankstelsel wel degelijk een reëel risico is dat niet zomaar als sciencefiction weg te wuiven is.

Een cyberaanval kan de financiële stabiliteit aantasten door de grote schaal die virussen of malware via een razendsnelle verspreiding kunnen bereiken, waarschuwt de ESRB. Als de aanval bovendien zou komen van een partij met de duidelijke bedoeling om het systeem te ontwrichten, gaan alle alarmlichten op rood staan.

Sommige bedreigende actoren streven een bewust doel na om het financiële systeem en de reële economie te ontwrichten

Toezichthouder ESRB

De waakhond onderscheidt drie types cyberbedreigingen: de cybercriminelen die alleen op geldgewin uit zijn, hackersactivisten die de uitwassen van het kapitalisme willen aankaarten en staatsgeleide groeperingen met geopolitieke motieven. ‘Sommige bedreigende actoren streven een bewust doel na om het financiële systeem en de reële economie te ontwrichten.’

Vertrouwen

Wat de banken te allen prijzen moeten vermijden, is een verlies, wijziging of versleuteling van de informatie op bankrekeningen, zegt de ESRB. Want als de burgers zouden vaststellen dat hun rekeningsaldo’s niet meer kloppen na een hackeraanval, dreigt er algemene paniek.

Er ontstaat dan een ‘bank run’, waarbij de burgers en de bedrijven massaal hun geld afhalen. Als ook de banken niet meer aan elkaar durven te lenen, leidt dat tot een opdroging van de snel beschikbare liquiditeiten, zoals tijdens de bankencrisis van 2008.

September 2007. De klanten van Northern Rock staan in de rij om hun geld af te halen. Het was een van de eerste signalen van de wereldwijde bankencrisis die eraan kwam. – EPA

‘Een cyberincident kan zich ontwikkelen in een systemische gebeurtenis, waarbij belangrijke economische functies in gevaar komen, aanzienlijke financiële verliezen geleden worden en het vertrouwen in het financieel systeem ondermijnd wordt’, schetst de ESRB het doemscenario.

Back-up rekeningdata

Zorg ervoor dat er back-ups van de rekeninggegevens waterdicht zijn, is het nadrukkelijke advies van de ESRB aan de banken. ‘Dit is heel belangrijk omdat recuperatie- en herstelplannen na een cyberincident alleen maar mogelijk zijn als de essentiële data beschikbaar of te herstellen zijn.’

Wellicht zitten de zwakke IT-plekken niet bij de banken zelf, maar bij de derde partijen – zoals technologieleveranciers of commerciële partners – waarmee ze informatie uitwisselen. De ESRB roept daarom op om die connecties nauwlettend te beveiligen.

Overheden en de banksector stellen best gedetailleerde draaiboeken op voor hoe ze onderling en met de bevolking zullen communiceren, is nog een advies. Want als er een cyberaanval komt op het financiële systeem, zal een razendsnelle én gecoördineerde reactie nodig zijn om de schade te beperken.

Het theoretische model van toezichthouder ESRB
Meer