DNB: Cyberrisico’s ook relevant voor financiële stabiliteit

Met de digitalisering van financiële dienstverlening worden cyberdreigingen een steeds groter risico voor de financiële sector. In een nieuwe studie onderzoekt DNB onder welke omstandigheden een cyberincident bij een financiële instelling zou kunnen uitgroeien tot een bedreiging voor het financiële systeem als geheel. DNB richt zich daarbij op een aantal specifieke scenario’s en besmettingskanalen. In het eerste scenario leidt een cyberaanval ertoe dat een of meer deelnemers in het interbancaire betalingssysteem uitvallen, terwijl in het tweede scenario het verlies van vertrouwen leidt tot een bank run. De voorlopige conclusie is dat een cyberincident vooral gevolgen kan hebben voor de financiële stabiliteit wanneer operationele problemen zich verspreiden via meerdere besmettingskanalen en wanneer dit leidt tot een grote vertrouwensschok.

Cyberdreigingen vormen een steeds groter risico voor financiële instellingen

Financiële instellingen hebben steeds vaker te maken met cyberdreigingen nu de financiële sector steeds meer gedigitaliseerd raakt. Zo maken Nederlandse banken vaker melding van operationele verliezen als gevolg van cyberincidenten. En het aandeel Europese banken dat aangaf doelwit te zijn geweest van een of meer cyberaanvallen steeg van 28% in 2018 naar 40% in 2019. Mede hierdoor is de aandacht bij financiële instellingen en toezichthouders voor cyberveiligheid sterk toegenomen. Ook cyberaanvallen die erop gericht zijn om kritische economische sectoren te ontwrichten draagt hieraan bij.

Een cyberaanval kan in potentie uitgroeien tot een systeemcrisis. Dit geldt bijvoorbeeld wanneer vitale digitale processen in de energievoorziening of transport ontoegankelijk worden gemaakt door een cyberaanval. Maar ook een cyberaanval gericht op een financiële instelling of de financiële infrastructuur kan grote economische en maatschappelijke gevolgen hebben wanneer die ertoe leidt dat de financiële sector – of een deel daarvan – niet meer goed kan functioneren. Zo kan een cyberincident het vertrouwen in de financiële sector ondermijnen of de continuïteit van een instelling in gevaar brengen. Cyberaanvallen kunnen zich in hoog tempo door het financiële systeem verspreiden, bijvoorbeeld doordat veel instellingen afhankelijk zijn van dezelfde systemen voor het betalings- en effectenverkeer. Ook zorgt de uitbesteding van digitale bedrijfsprocessen voor toenemende concentratierisico’s, wanneer een klein aantal gespecialiseerde dienstverleners werkt voor een groot aantal financiële instellingen.

Cyberstresstest brengt verspreiding via operationele problemen en een vertrouwensschok in kaart

DNB heeft met behulp van scenarioanalyses onderzocht hoe een cyberincident de stabiliteit van de Nederlandse bankensector kan bedreigen. Hierbij zijn twee mogelijkheden onderzocht waardoor een cyberincident kan uitgroeien tot een probleem voor het financiële stelsel: door operationele problemen en door een vertrouwensschok.

In een van de scenario’s zorgt een cyberincident ervoor dat een grote bank geen betalingen meer kan doen via het TARGET2 betalingssysteem, dat wordt gebruikt voor interbancaire transacties. Als gevolg hiervan ontvangen andere banken een deel van hun betalingen niet, waardoor zij mogelijk in liquiditeitsproblemen komen. Hier is sprake van als de liquiditeitsreserve van een bank tijdelijk lager is dan het vereiste minimum (risiconiveau 1 in figuur 1).  Figuur 1 (links) laat zien dat bij elk van de drie onderzochte grote banken hooguit één op de acht ontvangende banken in deze situatie terechtkomt. Zolang dit cyberincident slechts één grote bank raakt, is de kans dat het uitgroeit tot een systeemrisico uitgroeit dus beperkt. Een verklaring hiervoor is dat banken op dit moment grote liquiditeitsreserves hebben. Wanneer we het scenario toepassen op een situatie met minder liquiditeit, ziet het beeld er minder gunstig uit. Figuur 1 (rechts) laat zien dat in dat geval het aandeel banken dat in de problemen komt toeneemt tot 30-40%.

Figuur 1 – Aandeel banken dat in de simulatie niet aan de reserve-eisen voldoet (rood)

Aandeel banken dat in de simulatie niet aan de reserve-eisen voldoet (rood)

(c) DNB

Toelichting: De figuur laat zien welk deel van de ontvangende banken in de problemen kan komen door een operationeel probleem bij een van de drie grote banken (A, B en C). De simulatie is voor elke dag in 2019 (2014) uitgevoerd; getoond worden de vijf dagen waarop het effect het grootst is.

Een cyberincident kan ook tot een systeemcrisis leiden als het vertrouwen in een of meer banken wegvalt. In dit scenario blijft het lang onduidelijk wat de gevolgen van het incident zijn, en worden zorgen hierover versterkt door negatieve media-aandacht. Klanten en marktpartijen verliezen hun vertrouwen, waardoor de bank moeilijker leningen kan aantrekken en klanten hun spaartegoeden weghalen. Dit stressscenario leidt tot een forse uitstroom van deposito’s, maar de gemiddelde Nederlandse bank houdt nog ruim voldoende liquide middelen over. Bij de gemiddelde bank zou – bovenop de al veronderstelde stress – 25% van de stabiele deposito’s moeten worden opgenomen voordat de bank door zijn voorraad liquiditeiten heen is. Wanneer er ook extra marktfinanciering uitstroomt, wordt dit punt bereikt bij een deposito-uitstroom van 13%. Dit zijn aanzienlijk hogere percentages dan de 5% uitstroom die banken volgens de regelgeving moeten kunnen opvangen.

Deze analyses laten zien dat een cyberincident niet zomaar uitgroeit tot een systeemcrisis, maar dat dit in bepaalde situaties wel degelijk mogelijk is. Zo is het denkbaar dat de operationele problemen zich op grotere schaal en bij meerdere grote banken tegelijk voordoen. In dat geval is de kans groter dat de bankensector hierdoor in de problemen komt. Ook is het mogelijk dat een incident in eerste instantie via het operationele kanaal schade aanricht, en vervolgens leidt tot een vertrouwensschok. Daarom is nadere analyse van meer complexe scenario’s nodig.

Toezichthouders en instellingen richten zich op het voorkomen van besmetting

In Nederland kan in de toekomst een cyberaanval plaatsvinden die de financiële stabiliteit in gevaar brengt, ook al is dat tot op heden gelukkig nog niet gebeurd. De inspanningen van toezichthouders en financiële instellingen zijn daarom niet alleen gericht op het beperken van de impact van cyberaanvallen op individuele instellingen, maar ook op het tegengaan van besmetting naar de rest van het financiële stelsel. Als onderdeel hiervan werkt DNB aan het verder verbeteren van de monitoring van cyberincidenten, om zo beter zicht te krijgen op de verschillende kanalen waarlangs een cyberaanval kan uitgroeien tot een systeemrisico. Op basis hiervan kunnen indien nodig maatregelen worden genomen om de verdere verspreiding van een schok te beperken en de schokbestendigheid van het systeem te vergroten.

A Macroprudential Perspective on Cyber Risk07 juni 2022 | 573KB PDFDownload