Informatiebeveiliging en cyberrisico’s één van belangrijkste risico’s voor financiële instellingen

Gepubliceerd op 6 januari 2022 om 15:00

De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.

Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.

Risico management cyclus informatie beveiliging

Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.

“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.

Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.

DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."

Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.

Sterk fundament

Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”

“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”

De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Ib Monitor 2021
PDF – 667,5 KB 215 downloads

Bron: dnb.nl, banken.nl

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

 

Meer rapporten bekijken of downloaden

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws

Telegram een soort laagdrempelig alternatief voor het darkweb? Is het veilig?

Telegram staat bekend als een veilig alternatief voor WhatsApp. De snelle en cloud-gebaseerde chat-app heeft inmiddels meer dan 500 miljoen gebruikers. Voor veel gebruikers is veiligheid een reden om over te stappen naar Telegram, maar hoe veilig is Telegram eigenlijk? De standaard chats in Telegram zijn niet versleuteld met end-to-end-encryptie. Om dit te activeren moet je een ‘geheime chat’ starten. Ook verzamelt het bedrijf gedragsgegevens van gebruikers die kunnen aantonen met wie je chat en wanneer je chat. Je moet een telefoonnummer opgeven om de dienst te gebruiken. Hierdoor is Telegram niet volledig anoniem.

Lees meer »

Cybercriminelen blijven langer in een bedrijfsnetwerk voor ze toeslaan

Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.

Lees meer »

Tien soorten phishing aanvallen

Cybercriminaliteit is een onderdeel van ons dagelijks leven geworden en cybercriminelen grijpen elke kans om misbruik te maken van onwetende slachtoffers, met als doel: toegang krijgen tot persoonlijke informatie voor financieel gewin. Opleiding en training in cybersecurity kunnen het verschil maken tussen een geslaagde of een mislukte poging van een cybercrimineel.

Lees meer »

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Het Wachtwoorden als ‘beveiliging’

Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.

Lees meer »

‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen’

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Dat klinkt stoer, maar blijkt een gevaarlijke strategie. Sinds een recente aanval op de gemeente Buren liggen van inwoners financiële gegevens, en informatie over drugs- en psychische problemen, op straat.

Lees meer »

Veranderingen dreigingslandschap na Russische invasie in Oekraïne

Vorige week verscheen het 'Eset Threat Report' over het eerste trimester van 2022. Het Threat Report omvat belangrijke statistieken en trends over het huidige dreigingslandschap op basis van detectiesystemen en digital securityonderzoek. De nieuwste uitgave van het Threat Report geeft een overzicht van de verschillende cyberaanvallen in verband met de aanhoudende oorlog in Oekraïne die onderzoekers analyseerden of hielpen te beperken, waaronder de wederopstanding van de beruchte Industroyer malware, die probeerde hoogspanningsstations aan te vallen.

Lees meer »