De Nederlandsche Bank (DNB) heeft vandaag het Advanced Red Teaming (ART)-programma gelanceerd waarmee kleinere banken, verzekeraars en pensioenfondsen hun digitale beveiliging kunnen testen. Het gaat om een minimaal acht weken durende beveiligingstest. Voor het testen van hun beveiliging maken grote Nederlandse banken gebruik van het TIBER-framework. TIBER staat voor Threat Intelligence-based Ethical Red Teaming en is ontwikkeld door de Europese Centrale Bank (ECB).

Bij een TIBER-test worden echte tactieken, technieken en procedures gebruikt voor het simuleren van een aanval. Dit gebeurt op basis van specifieke dreigingen voor de betreffende instelling. Bij de instelling zijn slechts een paar mensen op de hoogte dat er een testaanval plaatsvindt. Via de test kunnen banken en financiële instellingen kijken hoe goed ze zijn voorbereid om aanvallen te detecteren, te voorkomen en op te reageren. Daarbij worden niet alleen de systemen getest, maar ook zaken als mensen en processen.

Een TIBER-test is vrijwillig, maar deelname is niet voor alle organisaties weggelegd. Instellingen komen in aanmerking als ze onmisbaar zijn voor de stabiliteit en het functioneren van de Nederlandse economie. Denk daarbij aan grote banken en verzekeraars. Volgens DNB gaat het in Nederland om een kring van ongeveer dertig namen. Met het ART-programma kunnen nu ook kleinere instellingen die iets minder cruciaal zijn zich aanmelden voor een 'vergelijkbare hacksimulatie', zo laat De Nederlandsche Bank weten.

ART laat deelnemers een deel van het proces doorlopen waar grotere instellingen helemaal doorheen moeten. De test duurt minimaal acht weken en is volgens Rogier Besemer van DNB geen 'peulenschilletje'. "Het blijft best eng voor een instelling om mee te doen. Wij gaan met onze cyberaanval net zo ver als een hacker met Russische of Noord-Koreaanse staatssteun zou gaan. Het verschil is dat wij stoppen voordat de cruciale systemen op zwart gaan. We trappen de deur in, maar gaan vervolgens niet naar binnen."

Een ART-test wordt uitgevoerd cybersecuritybedrijven en begeleid door DNB. Binnen de organisaties waar wordt getest zijn hooguit vijf mensen ervan op de hoogte dat die plaatsvindt. "Vanwege de modulaire en adaptieve opbouw is het ART-raamwerk ook goed bruikbaar voor andere vitale sectoren, zoals de zorg-, telecom- en energiesector", zo laat DNB weten. Eerder werd al bekend dat ook sectoren als de Rijksoverheid en zorg hun digitale beveiliging via red teaming laten testen.