Managed hosting door True

CPB vreest bankstoring door monopolie Akamai

ING, ABN en Rabobank: cyberveiligheid niet in gevaar

 

misdaad

De drie grootste banken in Nederland - ING, ABN Amro en Rabobank- zijn voor hun cyberveiligheid alle drie klant bij het Amerikaanse bedrijf Akamai. Daardoor is de bescherming tegen DDoS-aanvallen te veel bij één marktpartij ondergebracht. Volgens het Centraal Planbureau is dat een twijfelachtige ontwikkeling die kan leiden tot een grote nationale storing.

Het planbureau doet deze constatering- zonder specifiek de Nederlandse banken te noemen- in zijn Risicorapportage Cyberveiligheid. Zestien van de dertig grootste banken ter wereld, meer dan de helft, gebruiken volgens het CPB Akamai. Uit navraag van het FD blijkt dat de grote Nederlandse banken ABN Amro, Rabobank en ING alle drie Akamai gebruiken als primaire beveiligingsdienst om DDoS-aanvallen af te slaan. De drie Nederlandse banken ontkennen tegenover de krant dat ze afhankelijk zijn van Akamai en dus risico's lopen.

Keuze

In het rapport stelt het bureau dat er voor banken voldoende keuze is. ‘Het aanbod behelst meerdere aanbieders van cloudbased beschermingsdiensten. Internet service providers bieden mitigatiediensten aan en men kan zich aansluiten bij de NaWas, dat een corporatiemodel hanteert.

Dat de markt op grote lijnen functioneert, blijkt ook uit het feit dat ondanks de bijna dagelijkse aanvallen op vitale processen  er relatief weinig DDoS-aanvallen zijn die tot grote uitval leiden.’ Ook noemt de bank het punt dat er door Akamai sprake is van ‘marktdominatie’ vanuit puur economisch perspectief niet nadelig.
Maatschappelijk gezien zet het bureau wel vraagtekens. ‘Vanuit maatschappelijk perspectief kun je de vraag stellen of grote marktconcentratie in dit specifieke geval gewenst is. Immers, valt in dit geval Akamai om (door bijvoorbeeld een grote DDoS-aanval), dan heeft dit potentieel een keteneffect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen.’

Toegankelijkheid data

Het CPB benadrukt dat het voor nieuwe cybersecurityaanbieders moeilijk is om tot het speelveld toe te treden, omdat ze mogelijk ‘onvoldoende toegang hebben tot data om hun algoritmes te optimaliseren’. Het bureau komt ook met een oplossing. ‘De toegankelijkheid voor nieuwkomers kan verbeterd worden door relevante aanvalsdata van DDoS-aanvallen zo snel mogelijk te delen.

Om transparantie en toegankelijkheid te waarborgen ligt een platform dat bepaalde datastandaarden hanteert, voor de hand. Belangrijke data zijn zo voor iedereen beschikbaar en te gebruiken. Recent gestarte initiatieven op dit gebied, zoals het nauwkeurig kenmerken (fingerprinting) van aanvallen via booterwebsites, zouden dan ook ondersteund moeten worden.’

Cybersecurity-coöperatie

Als alternatief voor een concurrentiemodel, waarbij in dit geval Akamai een bijzonder grote speler blijkt, komt het planbureau met een coöperatiemodel om cybercrime te bestrijden. Een argument waarom de overheid aan zou moeten sturen op een coöperatie is volgens het CPB dat vanwege een gebrek aan winstoogmerk de kosten voor DDoS-bescherming omlaag zouden gaan, al kan dit wellicht ook ontstaan vanuit concurrentie.

Daarnaast zorgt het gebruik van een ‘nationale wasstraat’ ervoor dat belangrijke kennis over cyberveiligheid binnen de eigen invloedssfeer blijft. Ten tweede voorkomt een nationaal systeem dat vitale datastromen via een derde partij in handen komen van een buitenlandse statelijke actor, aldus het CPB. Het verplicht stellen van het delen van DDoS-aanvalsdata is volgens het bureau ook een optie om de nationale veiligheid te vergroten.

Cloud Act

De sterke afhankelijkheid van Amerikaanse aanbieders is volgens het CPB extra discutabel gezien de invloed van de Amerikaanse overheid op het verkrijgen van Nederlandse data via de Cloud Act. Deze wet verhoogt volgens het planbureau het risico op het ongewild weglekken van gevoelige data. Deze wet verplicht Amerikaanse bedrijven om data die zijn opgeslagen in het buitenland, op verzoek met de Amerikaanse autoriteiten te delen. Volgens het CPB is het op dit moment nog onduidelijk hoe dit met de AVG valt te rijmen.

Meer weten over DDoS en het initiatief NaWas? 

Bezoek de presentatie: Wat is de impact van DDoS-aanvallen op de digitale Infrastructuur van NL? 

Schrijf u nu in voor gratis deelname aan de beurs en het seminarprogramma: Infosecurity.nl en Data & Cloud expo op 31 oktober en 1 november 2018  in de Jaarbeurs in Utrecht.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6478184). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij ING

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.