Vanaf begin volgend jaar mogen financiële instellingen in ons land zich aan geheime gesofisticeerde testhackings verwachten. Die komen er op vraag van de Nationale Bank. Ze moeten de weerbaarheid van de IT-systemen uitproberen.

Het idee van de testhackings komt overwaaien uit Nederland, waar tot het Tiber gedoopte project al langer loopt. De Nederlandsche Bank (DNB) is er al sinds eind vorig jaar mee in de weer. De Europese Centrale Bank keurde in mei een kader goed waardoor de testaanvallen in het heel Europa kunnen plaatsvinden.

België is een van de eerste leerlingen uit de Europese klas die het nieuwe systeem omarmt. De Nationale Bank is bezig met het opzetten van een Tiber-team, dat de testhackings bij de financiële instellingen in goede banen moet leiden.

De tests worden uitgevoerd door externe consultants die de banken en andere financiële instellingen mee mogen aanstellen. Er zijn een tien- à vijftiental bedrijven in de running om de tests uit te voeren.

Die zullen in het grootste geheim plaatsvinden. De medewerkers van de bank die cyberaanvallen monitoren en moeten afweren, zullen niet weten wanneer de testaanvallen worden uitgevoerd. Enkel een controleteam houdt een oogje in het zeil.

De aanvallen zullen de kritische infrastructuur van de banken en andere financiële actoren viseren, is te horen bij de Nationale Bank. Het gaat dus niet om aanvallen in een testomgeving, maar wel in de dagelijkse werkomgeving.

Door het Europese kader zijn er ook grensoverschrijdende tests mogelijk. Dat is geen overbodige luxe, omdat de grootbanken bijna allemaal grensoverschrijdende digitale systemen hebben. De nationale ‘Tiber’-teams zullen dan ook elkaars testen kunnen erkennen.

Ook andere bedrijven

Uit onderzoek van De Tijd blijkt dat niet alleen de financiële sector openstaat om de weerbaarheid van zijn digitale systemen te laten testen. Meerdere Belgische beursgenoteerde bedrijven hebben programma’s met ‘ethische hackers’ lopen.

Binnen die programma’s kunnen hackers met goede bedoelingen speuren naar fouten in de digitale beveiliging van bedrijven. Als zij erin slagen fouten te vinden, krijgen ze daar bij sommige ondernemingen beloningen van tot 5.000 euro voor.

Een van die bedrijven is de Aalsterse start-up Intigriti. Het platform van de ondernemer Stijn Jans geeft een goed overzicht van welke bedrijven zich nu al blootstellen aan hackers met goede bedoelingen. ‘Ons platform wil de brug slaan tussen bedrijven die openstaan voor het testen van hun beveiliging en IT-experts die volgens bepaalde afspraken willen speuren naar fouten in de beveiliging’, legt Jans uit. Beursgenoteerde bedrijven als Bpost, Colruyt, Kinepolis en Telenet hebben intussen al een programma voor ethische hackers.

Het is geen toeval dat ethisch hacken nu van de grond komt in ons land, al opereerden hackers met goede bedoelingen al langer in een grijze zone. Hacken - het ongeoorloofd binnendringen van een computersysteem - is in theorie sinds 2000 strafbaar in dit land. Maar eind 2016 haalde de overheid ethisch hacken uit de illegaliteit. Als de beheerder van een IT-systeem schriftelijk de toelating geeft om een systeem proberen binnen te dringen, is hacking niet strafbaar.

Intigriti, dat in maart vorig jaar van start ging, schept een duidelijk kader voor bedrijven en hackers. ‘Elk bedrijf kan op ons platform aangeven naar welke fouten hackers op zoek kunnen, en welke technieken toegelaten zijn’, zegt Jans. Sommige tactieken zijn per definitie niet gewenst. Een DDoS-aanval (Distributed Denial of Service), waarbij een server wordt overladen met enorme hoeveelheden verzoeken om hem onderuit te halen, is uit den boze. Ook het versturen van phishingmails, om wachtwoorden of andere data te verkrijgen, kan niet.

Als hackers een kwetsbaarheid in het systeem hebben opgespoord, kunnen ze via Intigriti een rapport invullen. Het team achter het platform checkt het ingediende huiswerk en brengt de ethische hackers via een anonieme chatfunctie in contact met de verantwoordelijke in bedrijven.

Telenet

Die werkwijze valt erg in de smaak bij de bedrijven. Telenet werkt al bijna sinds het begin met Intigriti en kreeg in anderhalf jaar al zo’n honderd meldingen binnen. ‘Het overgrote deel van de hacks legt vooral kleinere zaken bloot. Maar we zijn blij dat we die met hulp van buitenaf kunnen rechtzetten’, klinkt het bij de telecomoperator.

Ook de supermarktketen Colruyt vindt de externe kritische blik een meerwaarde. ‘We hebben al enkele relevante aanbevelingen gekregen via het platform’, zegt woordvoerster Silja Decock. Op die manier hebben we zaken op de radar gekregen die we tot dan toe intern niet hadden gemerkt. Het komt de veiligheid van de websites en de apps van Colruyt dus alleen maar ten goede’.

Het belang dat Colruyt aan de die externe, kritische blik hecht, blijkt ook uit de vergoedingen die het ethische hackers geeft bij een relevante melding. Wie fouten ontdekt in de beveiliging van meerdere Colruyt-onderdelen, zoals Colruyt, Dreambaby en de Xtra-lidkaart, kan in het meest uitzonderlijke geval tot 5.000 euro verdienen.