Managed hosting door True

CPB vreest bankstoring door monopolie Akamai

ING, ABN en Rabobank: cyberveiligheid niet in gevaar

Dit artikel delen:
misdaad

De drie grootste banken in Nederland - ING, ABN Amro en Rabobank- zijn voor hun cyberveiligheid alle drie klant bij het Amerikaanse bedrijf Akamai. Daardoor is de bescherming tegen DDoS-aanvallen te veel bij één marktpartij ondergebracht. Volgens het Centraal Planbureau is dat een twijfelachtige ontwikkeling die kan leiden tot een grote nationale storing.

Het planbureau doet deze constatering- zonder specifiek de Nederlandse banken te noemen- in zijn Risicorapportage Cyberveiligheid. Zestien van de dertig grootste banken ter wereld, meer dan de helft, gebruiken volgens het CPB Akamai. Uit navraag van het FD blijkt dat de grote Nederlandse banken ABN Amro, Rabobank en ING alle drie Akamai gebruiken als primaire beveiligingsdienst om DDoS-aanvallen af te slaan. De drie Nederlandse banken ontkennen tegenover de krant dat ze afhankelijk zijn van Akamai en dus risico's lopen.

Keuze

In het rapport stelt het bureau dat er voor banken voldoende keuze is. ‘Het aanbod behelst meerdere aanbieders van cloudbased beschermingsdiensten. Internet service providers bieden mitigatiediensten aan en men kan zich aansluiten bij de NaWas, dat een corporatiemodel hanteert.

Dat de markt op grote lijnen functioneert, blijkt ook uit het feit dat ondanks de bijna dagelijkse aanvallen op vitale processen  er relatief weinig DDoS-aanvallen zijn die tot grote uitval leiden.’ Ook noemt de bank het punt dat er door Akamai sprake is van ‘marktdominatie’ vanuit puur economisch perspectief niet nadelig.
Maatschappelijk gezien zet het bureau wel vraagtekens. ‘Vanuit maatschappelijk perspectief kun je de vraag stellen of grote marktconcentratie in dit specifieke geval gewenst is. Immers, valt in dit geval Akamai om (door bijvoorbeeld een grote DDoS-aanval), dan heeft dit potentieel een keteneffect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen.’

Toegankelijkheid data

Het CPB benadrukt dat het voor nieuwe cybersecurityaanbieders moeilijk is om tot het speelveld toe te treden, omdat ze mogelijk ‘onvoldoende toegang hebben tot data om hun algoritmes te optimaliseren’. Het bureau komt ook met een oplossing. ‘De toegankelijkheid voor nieuwkomers kan verbeterd worden door relevante aanvalsdata van DDoS-aanvallen zo snel mogelijk te delen.

Om transparantie en toegankelijkheid te waarborgen ligt een platform dat bepaalde datastandaarden hanteert, voor de hand. Belangrijke data zijn zo voor iedereen beschikbaar en te gebruiken. Recent gestarte initiatieven op dit gebied, zoals het nauwkeurig kenmerken (fingerprinting) van aanvallen via booterwebsites, zouden dan ook ondersteund moeten worden.’

Cybersecurity-coöperatie

Als alternatief voor een concurrentiemodel, waarbij in dit geval Akamai een bijzonder grote speler blijkt, komt het planbureau met een coöperatiemodel om cybercrime te bestrijden. Een argument waarom de overheid aan zou moeten sturen op een coöperatie is volgens het CPB dat vanwege een gebrek aan winstoogmerk de kosten voor DDoS-bescherming omlaag zouden gaan, al kan dit wellicht ook ontstaan vanuit concurrentie.

Daarnaast zorgt het gebruik van een ‘nationale wasstraat’ ervoor dat belangrijke kennis over cyberveiligheid binnen de eigen invloedssfeer blijft. Ten tweede voorkomt een nationaal systeem dat vitale datastromen via een derde partij in handen komen van een buitenlandse statelijke actor, aldus het CPB. Het verplicht stellen van het delen van DDoS-aanvalsdata is volgens het bureau ook een optie om de nationale veiligheid te vergroten.

Cloud Act

De sterke afhankelijkheid van Amerikaanse aanbieders is volgens het CPB extra discutabel gezien de invloed van de Amerikaanse overheid op het verkrijgen van Nederlandse data via de Cloud Act. Deze wet verhoogt volgens het planbureau het risico op het ongewild weglekken van gevoelige data. Deze wet verplicht Amerikaanse bedrijven om data die zijn opgeslagen in het buitenland, op verzoek met de Amerikaanse autoriteiten te delen. Volgens het CPB is het op dit moment nog onduidelijk hoe dit met de AVG valt te rijmen.

Meer weten over DDoS en het initiatief NaWas? 

Bezoek de presentatie: Wat is de impact van DDoS-aanvallen op de digitale Infrastructuur van NL? 

Schrijf u nu in voor gratis deelname aan de beurs en het seminarprogramma: Infosecurity.nl en Data & Cloud expo op 31 oktober en 1 november 2018  in de Jaarbeurs in Utrecht.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Ah, het CPB. Een bekend en gerenommeerd instituut inzake cybersecurity.

Voor het overige heb ik het rapport eens gelezen. Er wordt niet genoemd welke experts betrokken zijn bij het samenstellen van het rapport. Verder lijken bronnen vooral Gartner, het CBS en allerhande nieuwsberichten te zijn.

Leuk bij elkaar geveegd door wat ambtenaren dit CBP rapport, maar niet echt serieus te nemen. Ik mag hopen dat de NL overheid hun beleid hier niet op afstemd. Ik lees liever wat betrouwbaarders van Ponemon.

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Vacatures bij ING

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.