Nieuwe kaarten: Banken en Betalingsverwerkers. Drie grote lossen alle beveiligingsproblemen op, zeven anderen bijna alles.

Er zijn nieuwe kaarten toegevoegd aan basisbeveiliging die laten zien hoe drie financiële sectoren hun online veiligheid op orde hebben. Dit zijn banken onder het depositogarantiestelsel, buitenlandse banken die zich richten op Nederlanders en betalingsverwerkers.

In de aanloop naar deze publicatie hebben de banken en betalingsverwerkers onderling meegedaan in een wedstrijd om alle beveiligingsproblemen op te lossen. De Volksbank, ING en ABN AMRO is dat gelukt en verdienen als eerste organisaties in Nederland een baseline cyber security certificaat van de Internet Cleanup Foundation. Het aantal hoge risico’s bij banken werd in de aanloopperiode van twee maanden ruim gehalveerd.

Ondanks het goede nieuws en de vele verbeteringen zijn er nog zeker uitdagingen. De vooraankondiging heeft niet iedereen weten te bereiken en/of niet iedere instelling was in gelegenheid op korte termijn acties uit te zetten. Er zijn behoorlijk wat instellingen die een (relatief kleine) waslijst aan beveiligingsproblemen hebben om op te ruimen. Verder zien we dat, net als bij de Energiesector, het melden van kwetsbaarheden nog verder gestroomlijnd kan worden. We verwachten dat met name de grotere bekende Nederlandse banken en betalingsverwerkers nog veel zullen oplossen in de komende tijd.

Wedstrijd in online veiligheid met winnaars

Voordat basisbeveiliging nieuwe kaarten publiceert worden de gemeten organisaties op de hoogte gebracht. Vanaf dat moment is er nog twee maanden de tijd om e.e.a. te herstellen om zo het best voor de dag te komen. Bij banken en betalingsverwerkers is er nog een extra dimensie toegevoegd: een wedstrijd met als doel om op 0 kwetsbaarheden uitkomt in deze periode. Wie dat lukt krijgt een uniek ontworpen certificaat als beloning.

De wedstrijd is georganiseerd vanuit het Nationaal Cyber Security Centrum (NCSC) en het Finance Information Sharing en Analysis Center. In een extra ingelaste meeting is aangegeven wat het doel is, hoe dat bereikt kan worden en zijn vragen beantwoord. Hierna zijn de instellingen (extra) aan de slag gegaan en zijn er bergen verzet. Dat zie je in de grafiek hieronder.

De rode lijn staat voor hoge risico’s. In het begin stijgt de lijn omdat kwetsbaarheden in beeld worden gebracht. Deze lijn neemt daarna af doordat deze kwetsbaarheden worden opgelost. De tijdspanne in de grafiek is van 16 juli tot 7 oktober 2024. In deze periode is te zien dat ongeveer 55% van de hoge risico’s wordt opgelost.

Problemen zijn op verschillende manieren opgelost. Zo zijn er bijvoorbeeld diverse online diensten offline gehaald: deze hadden geen waarde meer of waren niet bedoeld voor het grote publiek. Een andere oplossing was het uitschakelen van volgkoekjes en het plaatsen van extra infrastructuur om beperkingen met veiligheidsinstellingen in Amazon Web Services op te lossen.

Aan het begin van de wedstrijd stonden een aantal banken er al relatief goed voor, zeker gezien de grote online omvang. Dit is iets wat wij niet eerder hebben gezien in andere sectoren. Doordat de organisaties al zijn ingericht op online weerbaarheid was het mogelijk om in een korte periode de puntjes op de i te zetten.

Winnaars en certificaten

Drie grote banken lossen alle beveiligingsproblemen op, zeven overige instellingen bijna alles. De winnaars zijn op chronologische volgorde de Volksbank met 62 domeinen, ING bank met 147 domeinen en ABN-AMRO 154 domeinen.

De runner-ups zijn Bunq, Nationale Nederlanden, de Waterschapsbank, Van Lanschot Kempen, Knab, Mollie en pay.nl. Instellingen die voor 17 oktober alles weten op te lossen krijgen ook een certificaat.

Tijdens de ONE-Conference, de veiligheidsconferentie van het NCSC, zijn de certificaten uitgereikt aan de winnaars en was er een officieel fotomoment. We moeten het nu nog even doen met de onofficiële foto’s. De winnaars hieronder van links naar rechts:

De uitgedeelde certificaten zijn speciaal ontwikkeld voor deze wedstrijd. Wij hebben ze ontworpen samen met deelnemers van hackerspace Hackalot in Eindhoven die gespecialiseerd zijn in echtheidskenmerken en druktechniek.

De uitgedeelde certificaten zijn ontworpen naar Amerikaanse maatstaven, iets wat apart is in Europa. Wij zien ze zelf als een mix van vermaak, satire en erkenning, wat past bij onze organisatie en aansluit op de Hollandse nuchterheid en die van security engineers. Het certificaat is voorzien van uniek CYBER hologram en full-color UV inkt waarmerk.

Alle uitgedeelde certificaten zijn terug te vinden in het Certificaatregister, hier.

Drie financiële sectoren in beeld

Volgens de aankomende NIS2/cyberbeveiligingswet is de infrastructuur van de financiële markt aangewezen als zeer kritiek. Banken en betalingsverwerkers zijn belangrijke gebruikers van deze infrastructuur. Iedere Nederlander heeft met deze organisaties te maken en de Nederlandse Bank publiceert wie valt in welke sector.

Er zijn drie kaarten gemaakt met 121 instellingen en 10.000 domeinen. Per sector zijn de beste en slechtst presterende organisaties met elkaar te vergelijken. Er zijn statistieken over het aantal kwetsbaarheden en tenslotte is publiek in te zien hoe men scoort per organisatie.

De sectoren zijn zo ingedeeld:

• 36 Banken in het Nederlandse depositogarantiestelsel (Artikel 3:259 lid 2 Wft)
  • Bijv: De Volksbank, ING Bank, ABN-AMRO en bunq
  • Extra overkoepelende organisatie: Vereniging van Banken Nederland
  • Bekijken: Kaart, Top 3, Statistieken, Rapport per organisatie
• 67 Betaalinstellingen (artikel 2.3b van de Wft)
  • Bijv: Mollie, Veilig Oversteken, CCV, Snelstart, Takeaway
  • Extra overkoepelende organisatie: Betaalvereniging Nederland
  • Bekijken: Kaart, Top 3, Statistieken, Rapport per organisatie
• 18 Buitenlandse banken die marketen op Nederlanders
  • Bijv: Revolut, Raisin, HSBC, Deutsche Bank en BNP
  • Bekijken: Kaart, Top 3, Statistieken, Rapport per organisatie

Over basisbeveiliging