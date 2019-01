De Belgische bankenwereld voert de strijd tegen digitale beveiligingslekken fors op. ING, Belfius en Bank Delen belonen sinds kort hackers met goede bedoelingen. De Nationale Bank stampt tegelijk een speurteam uit de grond.

Voor de Antwerpse vermogensbeheerder Bank Delen speuren er wereldwijd 4.000 hackers naar veiligheidslekken in het digitale systeem. Die 4.000 mensen heeft de private bank natuurlijk niet allemaal in dienst. Het zijn ethische hackers die zich geregistreerd hebben voor het ‘bug bounty’-programma dat de bank in augustus vorig jaar opstartte.

Het idee van een ‘bug bounty’programma is dat bedrijven hun digitale systemen bewust laten testen door ethische hackers. Dat zijn experts in digitale veiligheid die op zoek gaan naar lekken of fouten in het systeem, de zogenaamde bugs. Als ze iets vinden, melden ze dat aan het bedrijf. Als er werkelijk een probleem blijkt te zijn, keert het bedrijf een financiële beloning uit, een bounty in het Engels.

Bij Bank Delen kan dat bedrag bij uitzonderlijke fouten oplopen tot 15.000 euro. ‘We hebben dat nog nooit effectief moeten uitkeren’, stelt Alexandre Delen, lid van het directiecomité bij Bank Delen. ‘Het waren altijd lage bedragen. Maar als een hacker werkelijk een uitzonderlijke fout zou vinden, betaal ik met plezier 15.000 euro.’

Externe controleurs

Bank Delen is niet de enige financiële speler die een legertje van externe controleurs een blik laat werpen op de robuustheid van digitale systemen. Ook de grootbanken ING en Belfius hebben een ‘bug bounty’-programma lopen. Ze werken daarvoor samen met het Belgische groeibedrijf Intigriti, van de ondernemer Stijn Jans. Ethische hackers van over de hele wereld kunnen zich registreren op Intigriti, waarna ze gescreend worden en een paar spelregels meekrijgen over wat toegelaten is. Bij Belfius is er het extra opstapje dat ethische hackers de Belgische identiteit moeten hebben.

Het zijn 4.000 paar ogen, die dag en nacht meekijken. Alexandre Delen, lid van Bank Delen, over de ethische hackers

Geen van de partijen gaat al te diep in op de vraag naar welke fouten de afgelopen maanden al gemeld werden, of naar welke fouten er gezocht wordt. Ze willen echte hackers niet op ideëen brengen. ‘Maar beeld je bijvoorbeeld in dat jij als hacker door een fout de zichtrekening van iemand anders kan consulteren’, zegt Jans. ‘Dat is een kritiek probleem.’

Bank Delen geeft geen cijfers over het aantal meldingen. De systeemfouten waren nooit grootschalig. Maar Alexandre Delen is erg te spreken over het systeem: ‘Het zijn 4.000 paar ogen die dag en nacht met je meekijken.’ Dat is een verschil met andere veiligheidstests. De financiële wereld moet nu al jaarlijks zogenaamde penetratietesten laten uitvoeren. Gespecialiseerde firma’s lanceren daarbij op korte tijd gerichte aanvallen op verschillende digitale onderdelen van de bank.

Verrassingselement

Die penetratietesten zijn goed geregisseerd en richten zich telkens op iets anders, afhankelijk van de expertise van de ingehuurde firma. Ze zijn weinig spontaan. Ethische hackers hebben wel het verrassingselement aan hun kant. De Nationale Bank start nu ook met een reeks veiligheidstests om banken te verrassen. Het Tiberproject is al sinds vorige zomer in voorbereiding. Het idee komt overwaaien uit Nederland.

De bank heeft een reeks experts ingehuurd die geheime testhackings zullen uitvoeren op de digitale systemen van de financiële instellingen. Dat bevestigt woordvoerder David Rubens. Het is niet duidelijk of de aanvallen van het Tiberteam al aan de gang zijn. De Nationale Bank wil daar niet op ingaan, om het verrassingselement niet kwijt te spelen.

De aanvallen zullen erg breed van karakter zijn, belooft Rubens. De aanvallers zullen bijvoorbeeld ook social engineering gebruiken. Daarbij doet de aanvaller zich voor als iemand anders om gevoelige informatie te verkrijgen. Iedereen kent de mailtjes van een of andere Nigeriaanse prins die een grote geldprijs belooft.

Maar aanvallen worden steeds geraffineerder, waarschuwen sectorkenners. ‘Er zijn veel uiteenlopende manieren om systemen te besmetten of wachtwoorden en andere gevoelige informatie af te troggelen’, stelt Jans. Een hacker kan proberen via de telefoon bepaalde codes of wachtwoorden op te vragen bij bankmedewerkers of kan besmette USB-sticks laten rondslingeren in de hoop dat iemand die inplugt op een computer van de bank.

Qui-vive

De combinatie van ethische hackers en de geheime testhackings moet de banken op hun qui-vive houden. ‘Ook in de wereld van beveiligingslekken draait de wereld door’, weet Delen. ‘Dit helpt ons om het personeel alert te houden.’ De banken treden zo in het voetspoor van een reeks andere bedrijven bij wie ‘bug bounty’-programma’s al langer aan de orde zijn. Zowel Telenet, Colruyt als Studio 100 hadden al een programma lopen via Intigriti.