Grote banken hebben zelfde beveiliger tegen DDoS-aanvallen
ABN AMRO, ING en Rabobank werken voor de beveiliging tegen DDoS-aanvallen samen met één en hetzelfde bedrijf, het Amerikaanse Akamai. Dat komt naar voren in een rapport van het Centraal Planbureau (CPB) over risico’s omtrent cyberveiligheid. De banken geven aan niet afhankelijk te zijn, het CPB noemt de situatie twijfelachtig.
Eerst nog even kort, wat is een DDoS-aanval? DDoS staat voor ‘Distributed denial of service’, waarbij hackers batterijen aan computers op hetzelfde moment verbinding laten maken met een bepaalde website. De servers zijn daarop niet berekend en de website wordt ontzettend traag of zelfs helemaal onbereikbaar. DDoS-aanvallen vinden aan de lopende band plaats en richten zich vaak op overheidsdiensten of financiële dienstverleners zoals banken. Minister Bijleveld van Defensie nam afgelopen weekend zelfs het woord ‘cyberoorlog’ in de mond.
Van de dertig grootste banken ter wereld ligt het lot van 53% daarvan in de handen van het Amerikaanse Akamai, een bedrijf gespecialiseerd in online veiligheid. Ook ABN AMRO, ING en Rabobank maken gebruik van de dienstverlening van Akamai voor wat betreft bescherming tegen DDoS-aanvallen. Een risico van die sterke concentratie is een ‘potentieel keteneffect’. Als Akamai omvalt of geïnfiltreerd wordt, hebben alle klanten een probleem. En het zijn niet alleen banken die klant zijn.
Niet volledig afhankelijk
De banken geven aan niet volledig afhankelijk te zijn van Akamai. Tegenover het FD zegt een woordvoerder van ING: “We doen naast Akamai ook zaken met andere aanbieders. Daarnaast hebben wij ook onze eigen systemen die aanvallen detecteren en afslaan.” Hetzelfde geldt naar eigen zeggen voor ABN AMRO en Rabobank. Hoe het ook zij, elke bank heeft dit jaar zijn portie DDoS-aanvallen al wel gehad. Dat wil natuurlijk niet zeggen dat de systemen helemaal niet werken. Evenals in de inlichtenwereld geldt ook hier dat succesverhalen meestal niet de publiciteit halen. Deels om de rust te bewaren, deels om kwaadwillenden niet wijzer te maken dan ze al zijn.
Het CPB noemt de positie van Akamai echter ‘twijfelachtig’ en stelt hardop de vraag of het maatschappelijk gewenst is. Het FD vroeg hoogleraar internetveiligheid aan de Universiteit Twente om een reactie. “Amerikaanse bedrijven als Akamai krijgen steeds dieper inzicht in ons betalingsverkeer, terwijl wij kennis kwijtraken. Een cyberoorlog is dichterbij dan we denken. Kijk naar de handelsoorlogen die de Amerikaanse president Trump voert. De VS en Europa zijn verschillende economische machtsblokken, met niet altijd dezelfde belangen”, aldus Pras.
Non-profit alternatief
De sterke positie van Akamai is een zwakte, maar ook die kan genuanceerd worden. Hoe meer klanten Akamai heeft, hoe meer data het bedrijf beschikbaar heeft. Data waarop het de strategie en dienstverlening kan afstemmen en de bescherming tegen DDoS-aanvallen verder kan ontwikkelen. De kwaliteit van Akamai’s diensten wordt door de banken zodanig hoog ingeschaald, dat ze daar graag klant zijn. Bovendien is wisselen van aanbieder ook geen sinecure.
Aan de andere kant, er zijn alternatieven. Nederland huisvest ook niet-commerciële partijen die zich richten op het afslaan van DDoS-aanvallen. Een goed voorbeeld daarvan is de Nationale Wasstraat (NaWas), Europa’s grootste non-profit organisatie op dit gebied. Hoogleraar Pras geeft aan dat een commerciële aanbieder baat heeft bij onveiligheid. “Hoe meer cyberaanvallen, hoe meer winst.” En daar heeft hij een sterk punt. Net zoals de politie criminelen nodig heeft om te blijven bestaan, of de farmaceutische industrie zieke mensen.
