De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
'Password spraying' en 'Brute force' aanvallen in aanloop naar de verkiezingen in de Verenigde Staten
Organisaties betrokken bij de verkiezingen in de Verenigde Staten en het Verenigd Koninkrijk zijn het doelwit van aanvallen waarbij aanvallers via brute force en password spraying toegang tot Office365-accounts proberen te krijgen, zo stelt Microsoft.
2,5 jaar gevangenis voor WhatsApp fraude
Twee 28-jarige mannen uit Deventer zijn door de rechtbank Overijssel veroordeeld voor grootschalige oplichting via WhatsApp en het witwassen van op die manier afhandig gemaakt geld. Ook maakten ze zich schuldig aan computervredebreuk.
Als je dacht dat…
Op het Darkweb kun je verschillende handleidingen vinden over hoe je cybercriminaliteit moet plegen. Eindeloze lijsten met aanmeldingen, wachtwoorden, account nummers en zelfs telefonische ondersteuningslijnen voor slachtoffers om te bellen, dit alles kan eenvoudig online worden gekocht. Men moet echter niet denken dat het Darkweb anoniem is. De FBI en politiediensten gebruikt al geruime tijd beproefde methoden om criminelen te vangen, vooral onervaren nieuwelingen.
Exponentieel DDoS aanvallen op online lesomgevingen
DDoS-aanvallen tegen online lesomgevingen groeiden dit voorjaar exponentieel in vergelijking met het voorgaande jaar, zo blijkt uit het 'Digital Education report van Kaspersky'.
Check het linkje, niet altijd zo makkelijk als je zou denken
Gebruikers op internet vertrouwen op domeinnamen om merken, diensten, professionals en persoonlijke websites te vinden.
Visa-creditcard, waarschuwt webshops voor gevaarlijke malware
'Visa' heeft webwinkels gewaarschuwd voor een nieuwe malware die creditcardgegevens van klanten probeert te stelen.
Veilige kluisrekening fraude: "De totale schade valt in de miljoenen euro’s"
De afgelopen maanden zijn honderden mensen gebeld door oplichters die zich voordeden als medewerkers van de fraudehelpdesk van banken. Met een vlotte babbeltruc slaagden zij erin om hun slachtoffers over te halen hun geld naar een ‘veilige kluisrekening’ over te sluizen. Daarbij hebben ze miljoenen euro’s buitgemaakt. En de gedupeerden draaien meestal zelf op voor de schade.
Ransomware weekoverzicht week 36 - 2020
xiaopao vond de BlackKnight-schermvergrendeling waarvoor u een wachtwoord moet invoeren om toegang te krijgen tot het Windows-bureaublad.
Cybercrime nieuwsbrief 122 (week 36-2020)
Meer cybercrime vormen en begrippen »
Datalek nieuws en overzicht week 36-2020
Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
Oplichting / Cybercrime overzicht week 36-2020
Wat is phishing »
Ransomware maandoverzicht Augustus 2020
Augustus was de tweede drukste maand van 2020 voor ransomware aanvallen, waarbij enkele bekende merken zoals Jack Daniels, Carnival Cruises en Canon de krantenkoppen haalden. Bij de 20 incidenten die we ontdekten, was de industrie de zwaarst getroffen sector, op de voet gevolgd door onderwijs.