Ingediend | 2 februari 2018 |
---|---|
Beantwoord | 8 maart 2018 (na 34 dagen) |
Indiener | Mahir Alkaya |
Beantwoord door | Wopke Hoekstra (minister financiën) (CDA) |
Onderwerpen | criminaliteit economie ict openbare orde en veiligheid overige economische sectoren |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2018Z01773.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-1409.html |
Als gevolg van de DDoS-aanvallen (distributed denial-of-service) had een aantal Nederlandse banken gedurende enkele dagen last van tijdelijke verstoringen in of beschikbaarheid van hun dienstverlening (internetbankieren, mobiele bankapps en iDEAL-betalingen). Door de aanvallen raakten de webservers van enkele banken tijdelijk overbelast waardoor hun websites trager werden, of moeilijk of niet bereikbaar waren, wat met name tot ongemak voor klanten heeft geleid. In hoeverre er economische schade is opgetreden als gevolg van onbeschikbare internetdiensten, laat zich lastig bepalen. Het gegeven dat klanten die op het moment van de DDoS-aanvallen een betaling via internet- of mobielbankieren mogelijk niet konden uitvoeren, is daarbij op zichzelf niet voldoende. Zij konden hun betaling namelijk later alsnog doen. In geval van een verstoring in iDEAL konden zij voor hun betaling uitwijken naar een andere betaalmethode, waaronder betalen met creditcard of Paypal. Deze mogelijkheden om op een andere manier of op een ander moment alsnog te kunnen betalen, geven mij het vertrouwen dat de economische schade beperkt is.
Gemiddeld genomen worden er dagelijks zo’n 9,5 miljoen betalingen via internet-bankieren en mobiele bankapps verricht, waaronder ongeveer 1 miljoen iDEAL-betalingen.2 De recente DDoS-aanvallen en de daaruit voortvloeiende tijdelijke beschikbaarheidsproblemen van de getroffen banken hebben volgens de Betaalvereniging geen zichtbare invloed gehad op het aantal via deze kanalen verrichte betalingen.
DNB heeft normen gesteld voor de veiligheid en beschikbaarheid van het betalingsverkeer in Nederland, die in de Regeling Oversight goede werking betalingsverkeer zijn vastgelegd. Daarin zijn onder meer beschikbaarheidsnormen opgenomen en is bepaald dat een instelling haar systemen zo heeft ingericht dat deze een hoog niveau van beschikbaarheid en veiligheid waarborgen. Op basis van deze regeling houdt DNB toezicht op het retailbetalingsverkeer, en DNB beoordeelt of banken de normen in voldoende mate naleven. Alle instelling waarop de regeling van toepassing is, hebben maatregelen genomen om zich tegen DDoS-aanvallen te beveiligen. De modus operandi van DDoS-aanvallen wijzigt echter, en het kost tijd om mitigerende maatregelen aan te passen en om de beveiliging tegen nieuwe soorten DDoS-aanvallen in te regelen. DNB heeft hier aandacht voor in het kader van het toezicht dat zij op basis van de regeling houdt. Wanneer instellingen structureel niet aan de regeling voldoen, acteert DNB hierop.
De DDoS-aanvallen van eind januari jl. waren omvangrijker en geavanceerder dan eerdere aanvallen op banken. De modus operandi die de aanvaller(s) toepaste, was anders dan voorheen. De DDoS-aanvallen waren niet alleen gericht op de zogeheten mijnbank- en iDEAL-omgevingen van de bank in kwestie, maar ook op de netwerkproviders en alle publieke IP-adressen van de bank. De aanvaller hield daarbij rekening met wat er met het aanvalsdataverkeer werd gedaan. Op basis van de reactie van de banken koos de aanvaller een andere methode, of werd de aanval in bandbreedte verzwaard.
DDoS-aanvallen komen wereldwijd vaak voor en de modus operandi van de aanvallers wijzigt voortdurend. Daardoor hebben instellingen, waaronder banken, dagelijks met dergelijke veranderlijke aanvallen te maken en dit maakt volledige onaantastbaarheid voor DDoS-aanvallen onmogelijk. De meeste aanvallen worden evenwel succesvol door de afweersystemen van banken afgeslagen voordat ze leiden tot overlast door tijdelijke uitval of onbeschikbaarheid van dienstverlening. Eind januari bleek dat banken bovendien in staat zijn om ook op nieuwe geslaagde aanvallen direct te reageren en ze af te slaan, onder meer door het nemen van maatregelen rond het versterken van hun IT-afweersystemen. In het bestrijden van cybercriminaliteit werken banken onderling nauw samen6, alsook met bedrijven gespecialiseerd in cybersecurity en met verschillende autoriteiten, waaronder DNB, de NCTV en het NCSC. De NCTV gaf daags na de aanvallen aan dat de situatie goed en professioneel door de (financiële instellingen) is opgepakt.7
Uit cijfers die de Betaalvereniging Nederland jaarlijks publiceert, blijkt dat de beschikbaarheid van het internet- en mobielbankieren voor de meeste banken hoog is: over 2017 >99,75% voor internetbankieren en >99,73% voor mobiel bankieren.8 Daarnaast is de fraude in het betalingsverkeer de afgelopen jaren structureel gedaald. Verschillende maatregelen op het gebied van preventie, voorlichting van consumenten en samenwerking tussen partijen, hebben aan die daling bijgedragen. Waar de totale schade als gevolg van fraude in het betalings-verkeer in 2012 nog bijna 82 miljoen euro betrof, was dit bedrag in 2016 gedaald naar iets meer dan 10 miljoen euro.9
Ik heb geen signalen ontvangen dat de website van ABN AMRO vaker is getroffen dan andere banken. De beschikbaarheids- en fraudecijfers, alsook de directe reactie van de banken op DDoS-aanvallen en de uitspraken van de NCTV, geven mij het vertrouwen dat de banken voortdurend werken aan hun cyberveiligheid om de beschikbaarheid van het betalingsverkeer goed op orde te houden.
Zie antwoord vraag 5.
Zie antwoord vraag 5.
Zie antwoord vraag 5.
Mij zijn geen signalen bekend dat de recente DDoS-aanvallen ook waren gericht op buitenlandse banken. Dat laat onverlet dat ook buitenlandse banken met dergelijke aanvallen te maken hebben. DDoS-aanvallen komen wereldwijd vaak voor.
De veranderlijkheid van de DDoS-aanvallen noopt ertoe dat banken voortdurend werken aan hun cyberveiligheid en de beschikbaarheid van het betalingsverkeer, opdat deze goed op orde blijft. Hiervoor is nauwe samenwerking van belang, tussen banken onderling maar ook van banken met bedrijven gespecialiseerd in cybersecurity en met verschillende autoriteiten. Die publiek-private samenwerking vindt al plaats. De in 2013 aangestelde bankenliaison fungeert daarbij als permanente verbindingsofficier tussen de banken en overheidsinstanties, en draagt eraan bij dat snel informatie over de cyberveiligheid tussen die partijen kan worden uitgewisseld. Ik span mij ervoor in om de kwaliteit en intensiteit van deze samenwerking op peil te houden, opdat ook op toekomstige DDoS-aanvallen adequaat kan worden gereageerd.
Gelet op de zeer hoge beschikbaarheid van het Nederlandse betalingsverkeer en de beperkte invloed daarop van de recente DDoS-aanvallen vertrouw ik erop dat banken ook in de toekomst in staat zullen zijn om een goede beschikbaarheid van hun digitale betaaldienstverlening zullen waarborgen. Hierbij acht ik het inrichten van een back-upmogelijkheid voor directe digitale betalingen niet proportioneel.