Naar aanleiding van het bericht van 15 maart jl. “Banken te laks met aanpak van cybercrime” in het Financieel Dagblad, zijn door de leden Dijkhoff en Aukje de Vries (beiden VVD) aan de Ministers van Veiligheid en Justitie en van Financiën Kamervragen gesteld.

Volgens Opstelten is de samenwerking met de bankensector goed. Gezien de ernst van de dreiging van cybercrime moet evenwel over de hele linie een nog grotere inspanning dan nu al het geval is worden geleverd, ook door de bancaire sector, aldus de minister.

Er is volgens hem met name winst te behalen in de operationele samenwerking met het bedrijfsleven. “Samen met het bedrijfsleven, waaronder de banken, ga ik daarom de komende jaren investeren in verbeterde signalering, detectie en informatie-uitwisseling.”

Afspraken tussen overheid en banken

Banken en overheid werken in de strijd tegen cybercrime op vele verschillende fronten met elkaar samen, onder andere in verbanden zoals de ECTF en het skimmingpoint. De daar gemaakte afspraken worden nagekomen door de deelnemende partijen. Daarnaast wordt door de financiële sector op constructieve wijze samengewerkt binnen het Information Sharing and Analysis Centre (ISAC) voor de financiële sector. Deze Financial-ISAC, waarbinnen publieke en private partijen samenwerken door het delen van informatie en kennis over ICT- kwetsbaarheden en -dreigingen in het digitale domein, is aangesloten bij het Nationaal Cyber Security Centrum (NCSC).

Een terrein waar volgens Opstelten nog winst te boeken valt is het werken met zogenaamde barrièremodellen. Bij het werken met barrièremodellen heeft de overheid een leidende rol. Binnen een barrièremodel wordt gedetailleerd bekeken hoe een criminele organisatie of een crimineel verdienmodel werkt. Hierdoor kan worden nagegaan waar de criminele organisatie of het criminele model het meest kwetsbaar is. Op basis daarvan kan worden bepaald welke partij uit het samenwerkingsverband zo effectief mogelijk kan ingrijpen.

Opsporing en vervolging zijn ultimum remedium. Eerst moeten we er met elkaar alles aan hebben gedaan om zaken veiliger te maken en gebruikers bewuster, aldus de minister.

Verplichte melding

Banken moeten al geruime tijd op grond van de Wet op het financieel toezicht (Wft) incidenten verplicht melden aan De Nederlandse Bank (DNB). Een incident op grond van de Wft is een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere bedrijfsuitoefening. Datalekken en hackersaanvallen die kwalificeren als incident, moeten dus worden gemeld aan DNB. Voor zover DNB kan overzien wordt de meldplicht door de banken nageleefd. DNB ontvangt enkele meldingen per jaar van DDOS-aanvallen op Nederlandse banken.

In aanvulling op de hiervoor beschreven meldplicht wordt momenteel door het ministerie van Veiligheid en Justitie gewerkt aan twee wetsvoorstellen. In het eerste wetsvoorstel worden onder andere banken verplicht om datalekken (inbreuken op beveiligingsmaatregelen voor persoonsgegevens) te melden aan het College bescherming persoonsgegeven (CBP).

In het tweede wetsvoorstel worden banken verplicht om inbreuken op de veiligheid en integriteit van hun informatiesystemen die het betalings- of effectenverkeer onderbreken en een (potentieel) maatschappelijk ontwrichtende werking hebben, te melden aan het NCSC (dit betreft de security breach notification).

Naming en Shaming

Naming en shaming zijn geen onderdeel van uitgangspunten van de security breach notification die naar aanleiding van de motie Hennis-Plasschaert, in samenwerking met het Ministerie van Financiën, wordt uitgewerkt. Het is van belang om informatie te delen met het NCSC zodat gewerkt kan worden aan het verminderen van kwetsbaarheden en indien noodzakelijk hulp geboden kan worden. Opstelten heeft aangegeven dat vertrouwelijkheid en de door het NCSC te bieden hulp belangrijke uitgangspunten zijn bij de uitwerking van de wettelijke meldplicht.

Het wetsvoorstel hieromtrent zal spoedig in consultatie gebracht worden.