Ook hoogleraar Internetveiligheid Michel van Eeten stelt dat iedere website vroeg of laat wordt aangevallen met een DDoS-aanval. „Het is net spam. Iedereen met een mailadres op internet krijgt daar weleens mee te maken”, legt hij uit. Volgens Van Eeten en Leenes hebben banken aan de lopende band met dit soort aanvallen te maken.

Of een website daadwerkelijk uit de lucht gaat, is afhankelijk van of systemen de aanval automatisch herkennen als kwaadaardig en hoe groot de aanval is. Bij een DDoS-aanval wordt een pagina net zo vaak opgevraagd totdat de server het niet meer aan kan. Leenes: „Wanneer 100 man op hetzelfde moment naar een ING-vestiging gaat, heb je hetzelfde effect. Dat kan een bank niet aan.”

Volgens beide hoogleraren kunnen de DDoS-aanvallen niet zoveel kwaad. Bankgegevens of andere privacygevoelige informatie kunnen met dergelijke aanvallen bijvoorbeeld niet worden gestolen. Hoewel de aanvallen zo goed als ongevaarlijk zijn, lijden bedrijven wel reputatieschade en raken mensen hun vertrouwen in de organisaties kwijt.

Leenes stelt daarom dat het ministerie van Veiligheid en Justitie en het Nationaal Cyber Security Centrum (NCSC) het vertrouwen van mensen in de banken moet bewaren. „De overheid moet voorkomen dat er paniek uitbreekt en mensen geen vertrouwen meer hebben in banken op het moment dat ze niet meer kunnen pinnen. Tegelijkertijd moet ze ervoor waken dat ze de aanvallen niet ernstiger doen lijken dan ze eigenlijk zijn.”

Zowel Leenes als Van Eeten vindt echter dat ING en De Telegraaf zelf verantwoordelijk zijn om informatie over de aanval naar buiten te brengen en dat dat niet zo zeer aan de overheid is. Van Eeten: „Het is logisch dat het ministerie van Veiligheid en Justitie en het NCSC niet vooraan staan om te vertellen hoe het ervoor staat. Het is immers aan bedrijven zelf om die aanval tegen te houden.”

Volgens beiden experts is er pas een taak voor de overheid weggelegd op het moment dat er aangifte is gedaan en de daders moeten worden opgespoord.