‘Weerbaarheid van verzekeraars en pensioenfondsen tegen cyberaanvallen moet verbeteren’

'Weerbaarheid van verzekeraars en pensioenfondsen tegen cyberaanvallen moet verbeteren'
© S. Hermann & F. Richter, Pixabay

Ruim 15% van de Nederlandse pensioenfondsen en verzekeraars leed in het afgelopen jaar aanzienlijke financiële schade door beveiligingsincidenten en datalekken. Tevens heeft ruim 5% van de instellingen in die periode te maken gehad met een geslaagde cyberaanval. Binnen de besturen van instellingen ontbreekt het vaak nog aan de benodigde kennis omtrent informatiebeveiliging. De deze week gepresenteerde IB-Monitor van De Nederlandsche Bank geeft een verontrustend beeld van de cyberveiligheid in de financiële sector.

De belangrijkste waarnemingen gemeld in de IB-Monitor zijn:

  • De risicomanagementcyclus binnen instellingen gericht op informatiebeveiliging is onvoldoende effectief
  • Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal
  • De weerbaarheid tegen cyberaanvallen moet worden versterkt, hier is dringend aandacht nodig

De toezichthouder ziet verder “ruimte voor verbetering van kennis” binnen het bestuur en intern toezicht van instellingen, om het onderwerp informatiebeveiliging voldoende te borgen.

Soorten dreigingen

Dit is vooral nodig omdat niet alleen het aantal cyberaanvallen toeneemt, maar ook de ontwrichtende impact ervan steeds groter wordt. Dreigingen die DNB als prioriteit ziet voor de sector zijn: ransomware, aanvallen op of via derde partijen in de uitbestedingsketen, DDoS-aanvallen, en Long term compromise. Met dit laatste wordt bedoeld dat geavanceerde groeperingen – vaak op het niveau van een natiestaat – langdurig aanwezig zijn in de netwerken en systemen van een financiële instelling. Door het hoge niveau van de aanvaller is een dergelijke inbreuk vaak zeer lastig te detecteren. Aanvallers kunnen dus over een langere periode veel kennis opdoen over de instelling en haar klanten, zonder dat de instelling zich hiervan bewust is. Deze dreiging komt niet vaak voor, maar is wel relevant voor de sector.

Uitbestedingen

DNB deelt voorbeelden met de sector voor de beheersing van de cyberrisico’s in Q&A’s en Good Practices, zij voert onderzoeken uit bij instellingen en werkt samen met de sector om de weerbaarheid van instellingen verder te versterken. Daarnaast zijn een dreigingsanalyse en een vooruitblik op geplande toezichtactiviteiten in 2022 opgenomen. Zo zal DNB gerichter toezicht houden op uitbestedingen van data en IT-processen aan partijen die normaal gesproken niet onder direct toezicht staan, zoals bigtechs.

Hoewel de waarnemingen in de IB-Monitor zijn gebaseerd op onderzoek bij pensioenfondsen en verzekeraars, zijn de uitkomsten ook relevant voor instellingen uit andere sectoren, aldus DNB.

GEEN REACTIES