ING, dat afgelopen dagen meermaals werd getroffen door een DDoS-aanval, laat weten dat de bank meedeed met een cybercrime-oefening van De Nederlandsche Bank afgelopen najaar. Er werd geoefend met een DDoS-aanval. In februari stelde de DNB „op basis van recent onderzoek vast dat bij een meerderheid van de onderzochte financiële ondernemingen informatiebeveiliging nog niet op het door DNB vereiste niveau is”, zonder dat gespecificeerd wordt welke ondernemingen dat zijn.

Aan de Europese oefening, die werd georganiseerd door de Europese dienst voor cyberveiligheid ENISA, deed ING niet mee. Tijdens deze test werd gedaan alsof er een grote DDoS-aanval werd uitgevoerd op onlinesystemen zoals internetbankieren en websites van de overheid. De aanval werd niet daadwerkelijk uitgevoerd op een systeem.

De NCSC-woordvoerster wil niet zeggen welke banken deelnamen en wat de uitkomsten van de oefening waren. Ze benadrukt dan ook dat de Europese oefening, net zoals de oefeningen van de DNB, vooral bedoeld was om te zien wat landen van elkaar kunnen leren over het aanpakken van een cybercrisis. In het eindrapport van ENISA staat echter dat de ‘publieke en private deelnemers’ het tijdens de oefening eens moesten worden over „de wijze waarop gehandeld zou worden” en dat „sommige overheden moeite hadden met crisismanagement”.

Een woordvoerder van DNB meldde woensdag dat er met Nederlandse banken regelmatig geoefend wordt op cybercrime. DNB doet geen uitspraken over de inhoud van specifieke oefeningen, die vooral op onderlinge communicatie gericht zijn. „De oefeningen worden gebruikt om te zien waar verbetering nodig is.”

DNB vindt overigens wel dat banken bijvoorbeeld beter moeten opletten dat gevoelige informatie niet toegankelijk is voor onbevoegden en dat beveiligingssystemen regelmatig een update krijgen. Ook moeten banken er rekening mee houden dat informatiebeveiliging niet alleen een IT-aangelegenheid is; medewerkers moeten ook voorzichtig omgaan met vertrouwelijke documenten en toegang tot kantoren.