Deze week las Dyon De Bruijne, Principal Consultant bij Commvault, berichten op deze website. Het nieuws dat dat de Europese Centrale Bank de cyberweerbaarheid van 109 Europese banken gaat testen viel hem op. Een blog in onze serie ‘Het Meest Opvallende Nieuws Van…’.
De Bruijne: “Iedereen heeft baat bij deze test, omdat de cyberweerbaarheid van ons financiële stelsel cruciaal is voor onze samenleving. Maar als databeschermingsprofessional ben ik ook gewoon nieuwsgierig naar wat hieruit gaat komen. Niemand weet nu waar het systeem precies tekortschiet.”
Miljarden puzzelstukjes
De test door de ECB heeft alles te maken met de aankomende Digital Operators Resilience Act (DORA): Europese wetgeving die eisen stelt aan de cyberweerbaarheid van financiële instellingen. De Bruijne: “Financiële instellingen zijn vervlochten met de haarvaten van onze maatschappij. Ligt het betalingsverkeer stil, dan komt vrijwel alles tot stilstand. Dat maakt financiële instellingen aantrekkelijke doelwitten voor partijen die chaos willen veroorzaken. Genoeg reden dus om bijzondere eisen te stellen aan de cyberweerbaarheid van financiële partijen. De ECB gaat nu een deel van de DORA-eisen testen: recovery readiness. Dat is maar goed ook, want DORA zal begin 2026 ingaan en het is momenteel niet duidelijk of de financiële sector er tegen die tijd klaar voor zal zijn.”
Veel databronnen
“Financiële instellingen staan voor een aantal specifieke uitdagingen als het gaat om het herstellen van hun data. Om het betaalverkeer te regelen putten hun business applications uit een grote aaneenschakeling van databronnen. Voor een simpele betaling moeten de gegevens van verschillende personen, rekeningen en andere zaken in een fractie van een seconde in de juiste volgorde aan elkaar geknoopt worden. Het voltooien van een transactie is daarmee bij uitstek een proces met veel ‘afhankelijkheden’, oftewel onmisbare schakels, op het gebied van data. Dat is een puzzel die elke dag voor miljarden transacties moeten worden gelegd ”
De Bruijne vervolgt: “Die schakeltjes moeten op precies het juiste moment worden vastgelegd om recovery uit te kunnen voeren. Stel dat ik een betaling doe bij de supermarkt en er herstel wordt uitgevoerd, alleen besluit mijn bank een andere momentopname te herstellen dan de bank van de supermarkt. Zo kan mijn betaling makkelijk kwijtraken. Als zoiets zou gebeuren in het internationale betalingsverkeer, wat om honderden miljoenen euro’s per seconde gaat, heb je een onmetelijk grote puinhoop. Financiële partijen zijn voor DORA zelf al met hun cyberweerbaarheid aan de slag gegaan, waardoor er geen standaarden zijn. In feite weet niemand nu hoe de afhankelijkheden precies lopen. Dat maakt zo’n eerste test als deze bijzonder interessant.”
Een puzzel leggen met blockchain?
Dat we nu één test doen, is beter dan geen test doen. Maar als het hierbij blijft, schiet dat rijkelijk tekort, vindt De Bruijne. “Banken moeten nu op een maandelijkse basis hun activiteiten rapporteren aan waakhonden. Ook de datasystemen zijn constant in verandering en dat vraagt om constant opnieuw testen. Maandelijkse recovery rapportages invoeren zou een logische stap zijn die de druk op organisaties niet eens aanzienlijk zal verhogen; recovery readiness is namelijk relatief makkelijk in een aantal KPI’s te vangen, zoals binnen hoeveel tijd je je productieapplicaties weer online hebt.”
“Wat een grotere uitdaging zal worden, is ervoor zorgen dat de eerder genoemde afhankelijkheden goed op elkaar aansluiten. Om die eis echt haalbaar te maken zullen we mogelijk gebruik moeten gaan maken van nieuwe technologieën. Automatisering zal een grotere rol moeten gaan spelen. Niet alleen omdat de systemen te complex zijn voor een mens om bij te benen, maar ook omdat het synchroniseren van alle afhankelijkheden dan structureel afgestemd kan worden. Een potentiële joker hier zijn technologieën zoals Blockchain die transacties decentraal en transparant vastleggen. Enerzijds lijkt de ECB huiverig voor deze technologie, anderzijds zal die misschien nodig moeten zijn om het probleem van afhankelijkheden weg te nemen. Dat recovery testen op termijn zulke systeemveranderingen een zetje kan geven laat wel zien hoe cruciaal cyberweerbaarheid geworden is.”
Noodzaak compliant te zijn
Andere organisaties kunnen ook tests verwachten. De ECB is nu begonnen met een aantal systeembanken, maar uiteindelijk zal De Nederlandse Bank ook komen aankloppen, besluit de Bruijne. “Niet alleen banken, maar alle partijen binnen het financiële ecosysteem zullen op een bepaald moment compliant moeten zijn. De kans is groot dat er meer tests op komst zijn om af te tasten waar de moeilijkheden liggen in andere delen van het financiële systeem. Met het oog op 2026 zouden financiële partijen er daarom goed aan doen om zelf alvast onderzoek te doen naar hoe zij hun recovery readiness en cyberweerbaarheid kunnen veiligstellen.“
