De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Oplichting / Cybercrime overzicht week 19-2020
Wat is phishing »
Aanhoudingen in phishingzaak: coronacrisis misbruikt
De politie heeft donderdagavond 7 mei in een onderzoek naar grootschalige phishing twee verdachten aangehouden. Deze verdachten maakten misbruik van de Coronacrisis om mensen op te lichten.
Meer dan honderd miljoen e-mailadressen gedumpt in Telegram groepen
Sinds de uitbraak van de corona pandemie hebben verschillende hackers groepen meer dan honderd miljoen e mailadressen (met bijbehorende wachtwoorden) gedumpt binnen de Carding groepen binnen Telegram.
Op het darkweb voor 856.000 euro aan bitcoin en ether gebruikt voor kopen kinderporno
In 2019 is er voor 930.000 dollar aan bitcoin (BTC) en ether gebruikt om op het darkweb kinderporno te kopen. Dat blijkt uit onderzoek van 'Chainalysis', een specialist die met software een wallet kan linken aan een persoon of bedrijf.
Gamechangers: houd jongeren weg bij cybercrime
Speciale games moeten helpen jongeren uit de cybercriminaliteit te houden.
Spear-phishing-campagne brengt managers in gevaar bij meer dan 150 bedrijven
Een cybercrime-groep die sinds medio 2019 actief is, heeft de e-mailaccounts van hooggeplaatste leidinggevenden bij meer dan 150 bedrijven gehackt.
Verfijnde Android spionagecampagne
Kaspersky onderzoekers hebben een geavanceerde kwaadaardige campagne ontdekt, gericht op Android-gebruikers die waarschijnlijk kan worden toegeschreven aan de 'OceanLotus' geavanceerde aanhoudende dreiging actor. De campagne, die 'PhantomLance' wordt genoemd, is sinds ten minste 2015 actief en loopt nog steeds. Er zijn meerdere versies van complexe spyware en slimme distributietactieken, waaronder distributie via tientallen applicaties op de officiële markt van Google Play.
Apple, Netflix en Yahoo meest misbruikte merken voor phishing aanvallen
Apple was in het eerste kwartaal van 2020 het voornaamste merk waar cybercriminelen zich op richtten. Tien procent van alle pogingen tot phishing had betrekking op de Amerikaanse technologie gigant. Dit blijkt uit het Brand Phishing-rapport van securitybedrijf Check Point.
Onderzoek gemeente Utrecht internetcriminaliteit
De gemeente Utrecht doet onderzoek naar internetcriminaliteit.
Gehackte Thuisbezorgd-accounts worden verkocht
Een groeiend aantal gebruikers meldt dat via 'Thuisbezorgd' bestellingen op hun naam en rekening worden gedaan zonder dat zij daarvan weten. Volgens Thuisbezorgd is er geen datalek, maar betreft het credential stuffing. Getroffen accounts worden inmiddels ook online verkocht.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.
Datingfraude eerste kwartaal 2020 stijgt naar 1,2 miljoen
Slachtoffers van datingfraude hebben in het eerste kwartaal van dit jaar ruim 1,2 miljoen euro aan schade gemeld bij de Fraudehelpdesk. Dat is een grote stijging ten opzichte van dezelfde periode in 2019, toen het schadebedrag na de eerste drie maanden nog op ruim 700.000 euro stond.