De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Phishers voegen maar liefst 12 banken toe om het echt te laten lijken
Wie zaken doet via Marktplaats, moet altijd op zijn hoede zijn als een (ver)koper vraagt om een rekeningnummer te verifiëren. In een nieuwe variant van deze oplichtingstruc hebben oplichters een levensechte website van betaaldienst Tikkie nagebouwd. Slechts aan de url kun je zien dat je met een nepsite te maken hebt. Let je even niet op? Dan is je rekening binnen de kortste keren geplunderd.
Waarom tweestapsverificatie instellen?
Het aantal cyberaanvallen is sinds de coronacrisis vervijfvoudigd. Alleen al in de Microsoft cloud zijn er 300 miljoen frauduleuze inlogpogingen per dag. Jouw bedrijf neemt waarschijnlijk allerlei maatregelen om de kans op een datalek te verkleinen. Het instellen van tweestapsverificatie voor medewerkers is hierbij enorm belangrijk. Want 80 procent van de hacking-gerelateerde aanvallen komen binnen via wachtwoorden.
Belgie: “Conclusies over de cyberaanval zijn voorbarig. Maar het is belangrijk om die gevoelige context te signaleren. Dat ontkennen is naïef”
Het Belgische Belnet ligt momenteel onder vuur. Het netwerk werd gisteren rond het middaguur getroffen door een DDoS-aanval. Meerdere overheidsdiensten kunnen daardoor geen gebruik maken van het internet. Het is onduidelijk wie er achter de aanval zit.
Brabantia in gelijk gesteld in phishing zaak Bol.com
Een phishingmail is Bol.com duur komen te staan. De online retailer dacht een bericht van Brabantia te hebben ontvangen met het verzoek om het bankrekeningnummer aan te passen. In werkelijkheid was de e-mail afkomstig van cybercriminelen. Door de oplichtingstruc schreef Bol.com ruim 750.000 euro bij op hun rekening. De rechter oordeelt dat de webwinkel alsnog het bedrag moet overmaken aan Brabantia. Bol.com overweegt om in hoger beroep te gaan.
Apple brengt dringende beveiligingspatches uit voor zero-day bugs bij actieve aanvallen
Apple heeft maandag beveiligingsupdates uitgebracht voor iOS , macOS en watchOS om drie zero-day-fouten aan te pakken en patches uit te breiden voor een vierde kwetsbaarheid waarvan het bedrijf zegt dat deze kwetsbaarheid reeds misbruikt wordt.
Ransomware weekoverzicht 17-2021
Amerikaanse politie bevestigt cyberaanval nadat ransomware bende gegevens heeft gelekt, spear ransomware aanvallen nemen flink toe en de ransomware criminelen van Babuk stappen over op Doxware. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 156 (week 17-2021)
Spear ransomware aanvallen neemt flink toe, diverse landen misbruikten de Nederlandse ICT-infrastructuur voor het uitvoeren van cyberaanvallen en een verdubbeling in het eerste kwartaal van het aantal DDoS aanvallen. Dit en meer lees je in nieuwsbrief 156.
Datalek nieuws en overzicht week 17-2021
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Digitale fraude, oplichting meldingen week 17-2021
Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.
Aanhouding in grootschalige internationale handel harddrugs via het darkweb
Een 38-jarige man is eind maart aangehouden als hoofdverdachte in een onderzoek naar handel in harddrugs via het darkweb. Dat heeft de FIOD donderdag bekend gemaakt. De man leidde volgens de FIOD een luxe bestaan in de upper ten van Amsterdam.
Een verdubbeling in het eerste kwartaal van het aantal DDoS aanvallen
Gisteren is het DDoS rapport gepubliceerd van het afgelopen kwartaal (Q1-2021) door cyber resilience bedrijf Link11. In het eerste kwartaal van 2021 bleven cybercriminelen misbruik maken van de pandemie om bedrijven en hun IT-infrastructuren aan te vallen.
Documenten opgeslagen bij gemeenten gevoelig voor datalekken
Datalekken zijn helaas dagelijkse realiteit. Er belanden continu gegevens van duizenden, soms wel miljoenen mensen op straat. Dit betekent dat persoonsgegevens door hackers ingezien of gestolen kunnen worden. De consequenties kunnen soms enorm zijn, denk hierbij aan identiteitsfraude.