- De Nederlandse Vereniging van Banken komt begin 2025 met een advies om een bedrag aan cash in huis te hebben.
- Hiermee zou je kunnen betalen, als het elektronische betaalverkeer wordt verstoord door bijvoorbeeld een grote cyberaanval.
- Hoe groot zijn die risico’s eigenlijk? Business Insider Nederland vroeg twee security-experts waar de kwetsbaarheden voor het betaalverkeer liggen bij een cyberaanval.
- Lees ook: Zorg voor contant geld thuis in oude sok als betalingssysteem uitvalt door ‘geopolitieke’ cyberaanval: dat adviseert Nederlandse bankenclub
Eerder deze maand meldde de Nederlandse Vereniging van Banken dat er een advies komt voor burgers om een bedrag aan contant geld in huis te hebben. Dit heeft te maken met de toegenomen risico’s op een cyberaanval die het digitale betalingsverkeer kan raken. Met een bedrag aan cash zouden er geen of minder problemen ontstaan, als het elektronische betaalverkeer ontregeld wordt door bijvoorbeeld een (Russische) hack.
Hoe zo’n voorzorgsmaatregel er concreet uit komt te zien, wordt pas in het eerste kwartaal van 2025 duidelijk: “We komen met een integraal advies over hoe je je financiële zaken het beste kunt regelen, mochten er problemen zijn met de betaalinfrastructuur. Dat kan bijvoorbeeld gaan over cashgeld, in welke coupures en hoeveel dat zou moeten zijn. Maar ook over het aanhouden van een extra bankrekening of creditcard”, aldus een NVB-woordvoerder eerder deze tegen persbureau ANP.
Tot nog toe adviseerde het budgetinstituut NIbud om voor noodgevallen een bedrag van 50 euro aan contant geld in huis te houden. Maar is dat wel genoeg, als het betalingsverkeer voor langere tijd niet goed functioneert? En hoe veilig is je banksaldo als er een grote hack plaatsvindt?
Om maar gelijk met dat laatste te beginnen: je banksaldo is voor 99,5 procent veilig, stelt securityspecialist Jan Heijdra van Cisco. “Ten eerste hebben banken hun zaken heel goed op orde. Ze moeten wel, want er zijn enorm veel eisen op dat gebied waar ze aan moeten voldoen. Het zijn wellicht de best beveiligde instellingen die we kennen”, zegt hij. “Naast dat het ongelooflijk moeilijk is om aan banksaldi te rommelen, staat dit ook op meerdere plekken opgeslagen. Dat zorgt ervoor dat het niet zomaar verloren kan gaan of niet meer teruggehaald kan worden. Dus ja, over je banksaldo hoef je je geen zorgen te maken.”
Digitale systemen van banken zijn extreem goed beveiligd
Cybersecurity-expert op het gebied van financiële instellingen Nick Calver van Palo Alto Networks onderschrijft dat digitale systemen van banken zeer zwaar worden beveiligd. “Ik heb enorm veel met en zelfs bij meerdere banken gewerkt. Ik weet hoeveel ze investeren in cybersecurity en wat erbij komt kijken om klantengegevens, data en geld veilig te houden”, stelt hij.
Calver illustreert zijn punt uit door enkele maatregelen toe te lichten die standaard zijn bij banken. Zo rust het betalingsverkeer nooit op slechts één datacenter, maar wordt er gewerkt volgens het zogenoemde ‘active active’-principe. Dat betekent dat er op minimaal twee verschillende locaties servers een dekkingscapaciteit van 40 procent voor hun rekening nemen. Als er een locatie uitvalt om wat voor reden dan ook, dan schakelt de andere server bij en neemt die de 40 procent over van de uitgevallen server. Daardoor is enige mate van zekerheid ingebouwd.
Sommige banken werken volgens Calver zelfs met nog meer servers die uitval kunnen opvangen, en veel instellingen maken gebruik van cloudservices die meerdere lagen van veerkracht bieden.
Er zijn volgens Calver ook diverse ‘standard processing’-systemen in werking die er bijvoorbeeld voor zorgen dat je salaris op je bankrekening gestort wordt, zelfs als het betaalverkeer uitvalt. Hij stelt dan ook dat we onszelf in de meeste situaties van uitval van betaalverkeer, wel kunnen redden. Zeker als het over korte periodes gaat.
“Ik ga in ieder geval nog geen 50 euro pinnen”, grapt Calver tegenover Business Insider Nederland. “Mijn ervaring in de sector geeft me genoeg vertrouwen dat ik elektronisch kan blijven betalen.” Hij geeft er wel bij aan dat het nooit kwaad kan om wat cash in huis te hebben.
Risico van cyberaanvallen met geopolitiek tintje is reëel
Heijdra van Cisco snapt wel waarom de Nederlandse bankenkoepel met een advies komt. Het is volgens hem geen onverstandige stap in deze tijd. Bij Cisco zien ze al enige tijd een toename in voorbereidende activiteiten van partijen die niets goeds van plan zijn.
Dat beeld bevestigt Calver overigens ook. Bij Palo Alto Networks zien ze bijvoorbeeld 11,5 miljard digitale aanvallen per dag op de systemen die ze monitoren.
Heijdra legt uit dat er bepaalde voorbereidende activiteiten zijn, voordat er daadwerkelijk hacks en cyberaanvallen plaatsvinden. "Dergelijke activiteiten, zoals het proberen binnen te komen op netwerken via phishing, zien we steeds vaker gebeuren, ook van actoren waar staten achter zitten. Het is daardoor aannemelijk dat dit gebeurt in voorbereiding tot meerdere aanvallen.”
In welke mate deze ontwikkeling tot daadwerkelijke cyberaanvallen kan leiden, kan Heijdra niet zeggen. “Dat is een toekomstvisie en niemand kan in de toekomst kijken”, lacht hij. Vanzelfsprekend is het altijd goed om hierop voorbereid te zijn. En dat gaat weer verder dan alleen het digitale domein, want Heijdra ziet een opkomst van digitale aanvallen die ook hun uitwerking hebben op fysieke objecten.
“Tegenwoordig wordt bijna alles digitaal aangestuurd, en als je die aansturing kunt verstoren, met bijvoorbeeld valse data, dan kan dat uitwerking hebben op fysieke objecten”, stelt hij. “Neem iets wat afhankelijk is van een bepaalde temperatuur als voorbeeld. Als een hacker daar binnenkomt en de temperatuurdata kan uitlezen en vervalsen, dan kan hij daarmee de systemen en personen die dit in de gaten houden misleiden, waardoor iets oververhit raakt en voor fysieke schade kan zorgen.”
Als dit soort aanvallen wordt uitgevoerd, dan kan dit een langdurige impact hebben. Fysieke problemen oplossen kan immers nog veel langer duren, dan de tijd die het kost om hackers uit een systeem te krijgen.
Niet per se het betaalverkeer, maar de algemene infrastructuur loopt gevaar
Heijdra durft wel enigszins te voorspellen waar cyberaanvallen op het betaalverkeer zullen plaatsvinden. Volgens hem moeten we vooral rekening houden met aanvallen op infrastructuur die deze vorm van betalingen faciliteert. Denk hierbij bijvoorbeeld aan internettoegang en stroomtoevoer.
“Ik denk niet dat de aanvallen direct op banken zullen plaatsvinden. Die zijn te goed beveiligd, maar als je geen stroom hebt, dan kun je ook niet betalen en bereik je als aanvaller hetzelfde”, stelt hij. “Als je maar lang genoeg de mogelijkheid om digitaal te betalen blokkeert, loopt de samenleving vanzelf vast.”
Calver beaamt dat het betaalverkeer geraakt kan worden, zonder dat een aanval daar specifiek op is gericht. “Als je kijkt naar stroomuitval in bijvoorbeeld een supermarkt, dan zal niet alleen het elektronische betaalverkeer uitvallen, maar alles. Dat maakt dat betalen helemaal niet meer mogelijk is. Wat heb je dan aan je cash? Hetzelfde geldt voor internet. De betaalsystemen waarmee gewerkt wordt, staan vaak in verbinding met het internet, zelfs de prijzen op de prijsbordjes in sommige gevallen.”
Aan de andere kant ziet Calver dat er in elke situatie wel oplossingen te bedenken zijn en dat er ongetwijfeld met een gelimiteerde stroomcapaciteit gewerkt kan worden. Op grote schaal zal dit echter geen uitkomst gaan bieden.
Tegelijk is de kans op succesvolle aanvallen op de bredere energie-infrastructuur klein. “Het vergt ongekende coördinatie om dit soort aanvallen op te zetten. Je moet overal op hetzelfde tijdstip succesvol kunnen inbreken om alle redundantie in de systemen te kunnen tackelen om iets te kunnen platleggen. Ik voorzie simpelweg niet dat dit haalbaar is.”
Beide experts verklaren dat er ook vanuit overheden wordt aangestuurd op verhoogde veiligheid van vitale systemen. Vanuit de Europese Unie worden bijvoorbeeld wetgevingstrajecten als NIS2 en DORA verplicht gesteld, die een bepaald niveau van cybersecurity bij financiële instellingen en andere bedrijven vereisen.
Calver plaatst hier nog wel een kleine kanttekening bij: “Je ziet wel dat regelgeving, hoe goed ook, niet snel genoeg ingevoerd kan worden om de ontwikkelingen bij te benen. Het loopt toch al snel een jaar tot 18 maanden achter, maar gelukkig zien we dat het bedrijfsleven veelal zelf doorpakt en niet wacht op regelgeving.”
Crypto is geen oplossing, AI wel
Heijdra haalt bij bovenstaande argumenten ook de uitvlucht naar crypto aan. “Flink wat mensen denken dat crypto een goed alternatief is, omdat je dan niet afhankelijk bent van banken voor betalingen. Maar als de stroom of het internet uitvalt, heb je ook geen toegang tot je wallet, toch?”
“Daarnaast merken we ook dat cybercriminelen zich heel erg richten op crypto. We hebben genoeg voorbeelden van pogingen om wachtwoorden en wallets te stelen", merkt de security-expert op. "En die instellingen zijn minder onderhevig aan veiligheidseisen dan banken, dus…”
Als we het dan toch over relatief nieuwe technologieën hebben, dan is natuurlijk ook de vraag wat de impact is van artificial intelligence (AI) op deze vorm van cybercriminaliteit.
Hebben de hackers nu meer mogelijkheden dankzij AI en zijn ze de verdedigers daardoor een stapje voor? “Dat zou je misschien wel zeggen, maar ik denk dat het voordeel vooral aan de kant van de verdediging ligt”, zegt Heijdra. “Wij hebben de mogelijkheid om AI-modellen op alle verzamelde data van alle partijen los te laten en AI daarop te trainen. Daardoor kunnen we sneller aanvallen geautomatiseerd herkennen en dus sneller ingrijpen.”
Precies hetzelfde zegt ook Calver: AI heeft vooral voordelen voor de verdediging. “Als we nu een nieuwe aanval zien in bijvoorbeeld Amerika, dan kunnen we die razendsnel identificeren en labelen en met de rest van de wereld delen. Daardoor kan eenzelfde aanval binnen een paar minuten niet meer gebruikt worden in bijvoorbeeld Nederland”, legt hij uit.
Als we beide experts mogen geloven, dan kun je er nagenoeg zeker van zijn dat je banksaldo sowieso veilig is. Ook de kans op verstoring van het betaalverkeer lijkt nihil. Het zou eerder op uitval van essentiële infrastructuur zoals stroom en internet kunnen neerkomen. En zelfs de kans daarop lijkt erg klein.
De beste voorbereiding begint bij jezelf
Toch kan het geen kwaad om iets te doen aan voorzorgsmaatregelen. Een beetje cash kan geen kwaad, maar Calver vindt dat het belangrijker is om op je persoonlijke digitale veiligheid te letten. Dat houdt in dat je bij alle communicatie vanuit je bank en andere instellingen kritisch moet blijven denken of het geen phishing-aanval is. Controleer de afzender of neem desnoods zelf contact op met de partij om te controleren of het echt is.
Dit advies lijkt ook beter aan te sluiten bij het onderliggende probleem: het toenemende risico op cyberaanvallen. Beide experts bevestigen namelijk dat deze de meeste kans op succes hebben bij menselijke fouten.
Kwaadwillenden komen nog steeds het vaakst binnen doordat iemand met goede bedoelingen doorklikt op een linkje in een mail. Als mensen hiervan beter op de hoogte zijn, wordt het voor de aanvallers lastiger om toegang te krijgen tot essentiële systemen en is de kans kleiner dat je fysieke bankbiljetten of euromunten daadwerkelijk nodig hebt.
