Strategische kansen, grootschaliger aanvallen
De opkomst van krachtige AI-modellen verandert het cyberdreigingslandschap in hoog tempo. Voor financiële instellingen biedt AI kansen om processen efficiënter te maken en de cyberweerbaarheid te versterken, maar dezelfde technologie vergroot ook de mogelijkheden voor aanvallers. Frontier AI-modellen stellen kwaadwillenden in staat om sneller, goedkoper en op grotere schaal kwetsbaarheden te identificeren en uit te buiten. Kwetsbaarheden die eerder afzonderlijk beheersbaar leken, kunnen door AI worden gecombineerd tot risico's met een veel grotere impact, zowel binnen financiële instellingen als bij hun kritieke dienstverleners.
Cyberrisico raakt de hele organisatie
Bestuurders moeten daarom strategisch afwegen hoe zij innovatie, weerbaarheid en continuïteit met elkaar in balans brengen. De sector heeft belangrijke stappen gezet om de digitale weerbaarheid te versterken, onder meer door te investeren in governance, systemen te moderniseren, nieuwe regelgeving zoals DORA te implementeren, en cyberweerbaarheidstesten uit te voeren (zoals ART/TLPT)1. Maar het dreigingsbeeld is met de komst van de nieuwste AI-modellen fundamenteel veranderd.
Dit leidt ertoe dat financiële instellingen bestaande aannames binnen het risicomanagement, afwegingen, beheersingsmaatregelen en processen moeten herevalueren. Dit roept vragen op als:
Sluiten bestaande patchprocessen nog aan bij de steeds kortere tijd tussen het ontdekken en potentieel misbruiken van kwetsbaarheden?
Hoe verhoudt de noodzaak om sneller patches door te voeren zich tot de verwachting van stabiele en continue dienstverlening?
Bewegen maatregelen voor cyberweerbaarheid voldoende mee met het dynamische risicobeeld?
Is een instelling in staat tijdig en adequaat te reageren op een aanval, rekening houdend met de steeds kortere tijdslijnen?
Dit zijn strategische afwegingen die bepalen hoe weerbaar een instelling is in een snel veranderend cyberdreigingslandschap. DNB blijft hierover graag in gesprek met de sector.
Daarbij verdienen afhankelijkheden in de keten nadrukkelijke aandacht. Veel financiële instellingen zijn voor kritieke processen immers afhankelijk van ICT-dienstverleners. Het blijft daarom belangrijk om niet alleen de eigen organisatie, maar ook kritieke afhankelijkheden in de keten doorlopend tegen het licht te houden. Daarbij kan het verstandig zijn om ook aandacht te hebben voor afhankelijkheden van kritieke technologieën en leveranciers, en voor de beschikbaarheid van alternatieven.
DNB onderschrijft waarschuwingen
DNB heeft hier, onder andere met gesprekken, rondetafelsessies en sectorbrede brieven, veelvuldig contact over met verschillende instellingen in Nederland. DNB onderschrijft bovendien de waarschuwingen van de ESRB en de Nederlandse FSC: