De informatiebeveiliging bij verzekeraars en pensioenfondsen is nog niet op het vereiste niveau. In het algemeen kennen pensioenfondsen en verzekeraars een aantal maatregelen (controls), die nog op het minimaal vereiste niveau moeten worden gebracht. Wel is de informatiebeveiliging de afgelopen jaren verbeterd. Vergeleken met 2010 ziet DNB dat instellingen – gemiddeld genomen – hun maatregelen beter op orde hebben, gestructureerd controleren en verbeteren. Dit meldt DNB in haar Nieuwsbrieven inzake Verzekeren en Pensioenen.
In 2017 heeft DNB onderzoek gedaan naar de beheersing van informatiebeveiliging (inclusief cyberrisico’s) van verzekeraars en pensioenfondsen. Het onderzoek is uitgevoerd bij een selectie van middelgrote en grote verzekeraars, en pensioenfondsen.
Riskmanagement
Wat nog moet verbeteren is o.a. de kwaliteit van het (IT-)riskmanagement. Pensioenfondsen en verzekeraars evalueren en onderhouden de door hen getroffen maatregelen onvoldoende, waardoor er een achterstand ontstaat op de continu veranderende (cyber)risico’s. Actieve evaluatie is een vereiste, stelt DNB, gezien het bewegende speelveld en dreigingsbeeld. Ook ziet DNB dat maatregelen rondom patchmanagement verbeterd moeten worden.
De expliciete aandacht voor cyberrisico’s wisselt sterk per instelling. Voor de analyse van cyberrisico’s zoeken instellingen in toenemende mate de samenwerking met partijen binnen de sector en met gespecialiseerde partijen daarbuiten. Een deel van de instellingen betrekt cyberrisico’s onvoldoende expliciet in hun analyses.
DNB waarschuwt dat het dreigingsbeeld snel verandert door toename van de cyberrisico’s; dit draagt bij aan de noodzaak tot samenwerking. In toenemende mate wordt kennis gedeeld in de keten en tussen instellingen.
Uitbestedingsrisico’s
Overigens wordt informatiebeveiliging in de gehele pensioen- en verzekeringsketen nog onvoldoende beheerst, blijkt uit een ander onderzoek van DNB. Pensioenfondsen en verzekeraars houden in onvoldoende mate zicht op de kwaliteit van informatiebeveiliging nadat zij werkzaamheden hebben uitbesteed. Inzicht en beheersing van beveiligingsrisico’s in de gehele informatieketen (bijvoorbeeld bij cloudoplossingen) is in het algemeen onvoldoende. Deze complexiteit neemt toe naarmate er meer schakels in deze keten betrokken zijn (bijvoorbeeld bij onderuitbesteding).
Hoewel het percentage uitbestedingen de afgelopen jaren redelijk stabiel is gebleven, steeg het aandeel materiële uitbestedingen naar de cloud significant. Met deze laatste ontwikkeling neemt (ook) de versnippering van uitbestedingsrelaties toe, worden uitbestedingsketens langer en wordt de beheersing op de hele keten complexer. De top-serviceproviders wordt aangevoerd door traditionele spelers. Deze worden direct gevolgd door de grote cloudserviceproviders.
Uit het onderzoek blijkt dat de risico’s die aan uitbesteden zijn verbonden (zoals continuïteit van de bedrijfsvoering, kwaliteit (service), gegevensbescherming en compliance) bij een groot deel van de deelnemers aan dit onderzoek nog niet voldoende worden beheerst. Op basis van de resultaten van dit onderzoek zouden instellingen beter zicht en grip moeten hebben op de (onder)uitbestedingen om uitbestedingsrisico’s te kunnen beheersen.
Ook zijn niet alle uitbestedingsketens volledig inzichtelijk geworden. De verzekeraars hebben deze data niet beschikbaar en kunnen daarom niet volledig rapporteren. Desondanks ziet DNB aan het einde van de uitbestedingsketens regelmatig de in Nederland gevestigde datacenters en de grote internationale cloudproviders.
Een deel van de verzekeraars is ook niet bekend met de meldingsplicht: de plicht om uitbestedingen tijdig te melden aan DNB. Een aantal verzekeraars is evenmin goed op de hoogte van de plicht om het onderzoeksrecht voor DNB op te nemen in de contracten die zij aangaan met derden over de uitbesteding. DNB bouwt aan een Digitaal Loket Uitbesteding. Verzekeraars kunnen bij dit loket in de nabije toekomst hun meldplicht voldoen.
Terugkoppeling
De conclusies uit het onderzoek naar informatiebeveiliging zijn aan alle betrokken instellingen verstrekt. Eind december gaf DNB zowel de individuele resultaten als een vergelijking van de individuele resultaten met het sectorgemiddelde.
De uitvoering van het onderzoek naar uitbesteding wordt in april teruggekoppeld in een sectorbrief. DNB meldt alvast dat het onderzoek een forse impact heeft gehad op de instellingen. “Het effect op de sector laat zich vangen in de woorden van één van de deelnemende instellingen: ‘Van onbewust onbekwaam, naar bewust onbekwaam’.”
Bron: DNB
