DNB test ’red teaming’ bij pensioen- en verzekeringssector

Om verstoring van belangrijke financiële diensten te voorkomen, breidt de Nederlandsche Bank (DNB) het cyber-testprogramma Tiber uit.

Tiber staat voor Threat Intelligence Based Ethical Red Teaming en is een jaar geleden opgericht. Bij dit programma voert een zogeheten ‘red team’ een gecontroleerde cyberaanval op live bedrijfskritische systemen van financiële instellingen uit. Dit wordt nu uitgebreid naar de pensioen- en verzekeringssector.

De reden voor het testen van de financiële kerninfrastructuur is het gegeven dat geavanceerde maar ook minder geavanceerde aanvallen de beschikbaarheid van de belangrijkste financiële diensten in het betalings- en effectenverkeer ernstig kunnen verstoren.

Bij de testen binnen het TIBER-programma wordt getest op live-systemen en mogen er geen daadwerkelijke verstoringen plaatsvinden. In de praktijk worden door de geteste instellingen ook crisismanagementoefeningen gedaan waarbij de testscenario’s gebruikt kunnen worden.

Pilot

DNB houdt overigens ook een proef met de energiesector. Dat gebeurt in samenwerking met de Cybersecurity Alliantie, een door het ministerie van Veiligheid en Justitie opgericht platform voor publiek-private samenwerking.

Op basis van de geplande pilot in de energie sector zal de Cybersecurity Alliantie beslissen of testen op basis van het TIBER-NL raamwerk voordelen heeft voor andere vitale sectoren, zoals de telecomsector. In de financiële sector zal samenwerking in het TIBER-NL programma ook in de pensioen- en verzekeraarssector worden opgezet.