De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Kritische vragen in 2de kamer over veiligheid vitale infrastructuur
Zijn Nederlandse bedrijven voorbereid op grootschalige cyberaanvallen vanuit Rusland? En in hoeverre zijn kleinere bedrijven voldoende beschermd tegen Russische hackers? Het zijn enkele vragen die de Tweede Kamerfractie van de VVD heeft over de digitale weerbaarheid van het bedrijfsleven in ons land (pdf onderaan het artikel).
QR-code handig maar niet altijd veilig
QR-codes hebben door de pandemie een nogal andere lading gekregen en ze worden zelfs ingezet in plaats van de collectebus. Toch worden ze nog steeds voor hetzelfde doel gebruikt: Het is een code bestaande uit allemaal zwarte en witte vlakjes en je telefoon kan dat ‘lezen’ en er een linkje uithalen. Klinkt vrij onschuldig, maar QR-codes kunnen gevaarlijk zijn.
Hackersgroep ‘Sandworm’ richt pijlen op stroomnetwerk met malware 'Industroyer2'
Hackers hebben geprobeerd om het Oekraïense stroomnetwerk plat te leggen. Cybersecurityexperts hebben de aanval weten af te slaan. Zij denken dat de Russische hackersgroep Sandworm verantwoordelijk is voor de aanval.
Grootste hackersmarktplaats ter wereld uit de lucht gehaald
Europol heeft samen met de FBI en handhavingsinstanties uit verschillende Europese landen 'RaidForums' uit de lucht gehaald. De gehele infrastructuur is in beslag genomen. De beheerder en twee van zijn handlangers zijn aangehouden.
Drie aanhoudingen in Bankhelpdeskfraude zaak
Een alerte schoonzoon heeft de politie snel op het spoor gezet van oplichters die zijn schoonmoeder wilde bestelen via bankhelpdeskfraude. Drie mannen zijn aangehouden.
Van 26,2 miljoen schade naar 47,6 miljoen schade voor bankhelpdeskfraude
Banken treffen steeds meer maatregelen om fraude met gestolen bankpassen en phishing aan te pakken. Cybercriminelen gaan echter steeds geraffineerder te werk en slagen er steeds beter in om slachtoffers te overtuigen zelf geld naar hun bankrekening over te maken. Zodoende is de totale schade als gevolg van bankhelpdeskfraude in 2021 gestegen naar 47,6 miljoen euro.
Overzicht cyberaanvallen week 14-2022
Duitse windmolenfabrikant Nordex schakelt systemen uit na cyberincident, D-Link-gebruikers opgeroepen om actief aangevallen routers offline te halen en NS wijst mede naar falend back-upsysteem als reden voor grote treinstoring. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 204 week 14-2022
Cybercriminelen eisen 15 miljoen euro van woningcorporaties, cyberaanvallen op Nederlandse bedrijven met 45% toegenomen en Russisch darkweb marktplaats "Hydra Market" offline. Dit en meer lees je in nieuwsbrief 204.
Online archief met oorlogsmisdaden van het Russisch regime in Oekraïne
First click here and then choose your language with the Google translate bar at the top of this page ↑
Zo voorkom je bankhelpdeskfraude
Fraude door nepbankmedewerkers is de afgelopen jaren explosief gestegen. Het aantal slachtoffers is van 2020 tot 2021 bijna verdubbeld, zo blijkt uit cijfers van de banken. De politie, banken en telecombedrijven doen er alles aan om bankhelpdeskfraude aan te pakken. Maar hoe kun jij het zelf herkennen en wat moet je dan doen?
Cyberaanvallen op Nederlandse bedrijven fors toegenomen
ABN Amro ziet een sterke stijging in het aantal bedrijven dat te maken heeft gehad met een cyberaanval. Dat wordt duidelijk uit onderzoek van de bank onder 233 bedrijven.
"We sloten de deur die de Russen gebruikten om er binnen te komen"
De Amerikaanse geheime dienst FBI zegt vorige maand een grootschalige Russische hackoperatie te hebben tegengehouden. Die aanval had mogelijk duizenden bedrijven wereldwijd kunnen raken. De groep die er achter zou zitten, viel eerder Oekraïne aan.