De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
"Hoe kan ik nou zo stom zijn geweest?"
Als je slachtoffer bent geworden van oplichting kan dit emotioneel heel zwaar zijn. Naast de financiële schade kun je ook last hebben van angst, schaamte, stress en een beschadigd vertrouwen in mensen. Hoe kun je hiermee omgaan?
Hackers 'European Medicines Agency' omzeilen tweestapsverificatie
De cyberaanval op het 'European Medicines Agency' (EMA) in Amsterdam is niet zomaar uit de lucht komen vallen. Een anonieme bron zegt dat het gaat om een doelgerichte aanval. Volgens de tipgever zit ‘een buitenlandse inlichtingendienst’ achter de digitale aanval. Welke regering hiervoor verantwoordelijk, weet hij niet of wil hij niet kwijt.
''Vooral de tactiek waarbij cybercriminelen een dubbelslag slaan, dreigt in 2021 een echte 'trend' te worden''
Het voorbije jaar stond bol met aanvallen van ransomware, maar dit was slechts een voorbode van wat bedrijven en thuiswerkers in 2021 te wachten staat. Cybercriminelen zullen nóg agressiever, doelgerichter en vooral innovatiever te werk gaan, zo luidt de verwachting bij experts.
'Safe-Inet' is uitgeschakeld
Het Virtual Private Network (VPN) 'Safe-Inet' is uitgeschakeld. Dit gebeurde in een gezamenlijke actie van verschillende opsporingsdiensten. Topcriminelen van over de hele wereld gebruikten dit netwerk. De actie vond plaats onder leiding van het Duitse Hoofdkwartier van de politie te Reutlingen, in samenwerking met Europol en opsporingsdiensten van over de hele wereld.
“In een snel digitaliserende wereld moet je meebewegen. Digitaal is inmiddels het nieuwe normaal”
De politie gaat de komende jaren 600 miljoen euro investeren om het capaciteitsprobleem aan te pakken. Het gaat daarbij onder meer over het aanstellen van extra wijkagenten om de zichtbaarheid te vergroten. De helft van het bedrag wordt aangewend om te investeren in het verbeteren van de digitale vaardigheden van agenten en digitale bereikbaar van de politie.
“Het ministerie van Financiën weet nog steeds niet wat de hackers allemaal hebben gedaan en welke informatie ze hebben buitgemaakt”
De e-mailaccounts van tientallen hooggeplaatste ambtenaren van het Amerikaanse ministerie van Financiën zijn in handen gevallen van hackers. Volgens Amerikaanse media wisten de aanvallers de hand te leggen op encryptiesleutels waarmee de ambtenaren hun dataverkeer beveiligden tegen hackers en cybercriminelen. Dit is wellicht pas het topje van de ijsberg.
Hoe word je aan de haak geslagen, en hoe kun je het voorkomen?
Er wordt de laatste tijd een significante toename geregistreerd in het aantal Phishingaanvallen, maar wat zijn dat nu precies? In dit artikel besteden we aandacht aan de diverse technieken en geven we voorbeelden om niet aan de "haak geslagen te worden".
Ransomware weekoverzicht 51-2020
De supply chain-aanval van 'SolarWinds' heeft het cybersecurity-nieuws van afgelopen week gedomineerd, maar helaas ontbraken de ransomware aanvallen afgelopen week ook niet.
Cybercrime nieuwsbrief 137 (week 51-2020)
Meer gepersonaliseerde aanvallen in 2021, lagere straffen voor drugshandelaren en aanhoudingen na fraude met covid testen. Dit en meer lees je in nieuwsbrief 137. Nog niet ingeschreven voor deze gratis nieuwsbrief over cybercrime en darkweb? Schrijf je dan hier in.
Datalek nieuws en overzicht week 51-2020
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Digitale fraude, oplichting meldingen week 51-2020
Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Liever anoniem? Klik dan hier.
Rechtbank legt aanmerkelijk lagere straffen op dan het Openbaar Ministerie voor drugshandelaren op het Darkweb
De rechtbank in Rotterdam legt in een Boxtelse drugszaak aanmerkelijk lagere straffen op dan het Openbaar Ministerie had geëist. Hoofdverdachte Alex P. (33) krijgt 24 maanden cel, waarvan 14 maanden voorwaardelijk. Justitie had een straf van zeven jaar voor hem in petto.