Waarom de cloud op extra aandacht van de ECB mag rekenen

De Europese Centrale Bank (ECB) controleert op verschillende manieren de banken in de EU zone. Een van de nieuwe begrippen die daarbij hoort is de cyber stress test. Sinds vorige week weten we dat de banken daar op getest gaan worden. Een goede en noodzakelijke stap.

Cyber stress test

Op verschillende manieren heeft ECB vorige week bekend gemaakt dat de banken in de EU zone nog meer te maken gaan krijgen met cyber. De cyber stress test moet duidelijk maken hoe de instellingen reageren op alle vormen van digitale overlast en aanvallen.

In alle verklaringen die zijn afgegeven wordt een duidelijke link gelegd met de Russische agressie. Daar schrijven journalisten dan ook het meest over. Het in de persberichten genoemde voorbeeld van een bedrijf in Londen dat veel banken van software voorziet en dat door een ransomware is getroffen geeft al aan dat de scope van de serie tests vrij breed gaat worden en dat is ook goed.

Anti DDoS en andere maatregelen

Niet vergeten mag worden dat banken al veel langer onder vuur liggen en dat er nog veel meer bad guys rondlopen. Bijna alle banken in Nederland weten inmiddels wel hoe zo, ook zeer krachtige, DDoS aanvallen kunnen afweren. Hoe ze dat precies doen wordt natuurlijk niet aan de grote klok gehangen. Dat zelfde geldt voor de andere maatregelen die ze hebben getroffen om het betalingsverkeer overeind te houden. Dat er tijdens een legale voorspelbare piek (kerstinkopen) of een criminele activiteit echt langdurig diensten onbereikbaar zijn komt echt nog amper voor.

Keten en cloud

Dat wil echter totaal niet zeggen dat voor de Nederlandse banken een dergelijke cyber stress test een makkelijke wedstrijd wordt. Het type aanval  waarmee ze geconfronteerd gaan worden kan namelijk nieuw zijn of een deel van de keten raken waar banken weinig grip op hebben.

De oplettende lezer zal bij het zien van de laatste zin direct begrijpen dat deze keer door de ECB extra gekeken gaat worden naar de afhankelijkheid van cloud, providers en infra. De hele keten dus waarbij veel is gebaseerd op uitbesteden. Is dat echt per definitie en onder alle omstandigheden voor de bancaire sector wel zo slim? Weet daarbij dat in Amerika dezelfde exercities worden doorgevoerd. Dat maakt ook dat deze tests belangrijker zijn voor het gehele IT landschap dan op het eerste gezicht lijkt.