De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.
Daarnaast kampte ruim 5% van de instellingen in dezelfde periode met een geslaagde cyberaanval. DNB merkt op dat cyberaanvallen in frequentie toenemen en dat eveneens de ontwrichtende impact van deze aanvallen toeneemt. In de IB-monitor 2021 presenteert de toezichthouder zijn bevindingen op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.
Risico management cyclus informatie beveiliging
Zo concludeert DNB dat de risicomanagement cyclus binnen instellingen gericht op informatiebeveiliging onvoldoende effectief is. Volgens de toezichthouder wordt er niet altijd (of tijdig) geëvalueerd of het risicomanagement-raamwerk voldoende toereikend is om daadwerkelijk fundamentele verbeteringen in de beheersing door te voeren en om het effect ervan op informatie beveiligingsrisico’s te meten. Daarnaast maakt het informatie beveiligingsrisico volgens de toezichthouder vaak geen integraal onderdeel uit van het overkoepelende risicomanagement-raamwerk van een organisatie.
“Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal” zo luidt een tweede conclusie uit het rapport. DNB beaamt dat uitbesteding en ketensamenwerking niet meer weg te denken zijn uit de bedrijfsvoering van financiële systemen, maar dat het beheersen van informatiebeveiliging bij uitbesteding specifieke kennis en maatregelen vergt. De toezichthouder waarschuwt echter dat instellingen moeite (kunnen) hebben om deze beheersing van de gehele keten inzichtelijk en adequaat in te richten.
Tot slot concludeert DNB dat de weerbaarheid tegen cyberaanvallen versterkt moet worden. “De combinatie van preventieve, detectieve en correctieve maatregelen én het uitvoeren van cyber resilience testen is voor instellingen van groot belang om weerbaar te zijn tegen cyberaanvallen en de gevolgen hiervan te beperken”, schrijft de toezichthouder. Een deel van de instellingen heeft hiervoor (op onderdelen) geen volwassen beheersmaatregelen ingericht, stelt DNB.
DNB ziet verdere samenwerking binnen de sector als essentieel om voldoende weerbaar te zijn. “Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen."
Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven volgens de toezichthouder het belang voor een goed fundament op gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsook de noodzaak tot samenwerking met partijen.
Sterk fundament
Tot slot stelt DNB dat technologie in alle activiteiten een grote rol speelt in praktisch alle activiteiten van financiële instellingen. Om het hoofd te kunnen bieden aan ontwikkelingen in cyberbedreigingen, is het voor hen dan ook van groot belang dat zij kunnen steunen op een sterk fundament van informatiebeveiliging. “Een fundament dat enerzijds een solide structuur vormt om de beheersing van risico’s te organiseren maar anderzijds ook meebeweegt met actuele ontwikkelingen.”
“Beheermaatregelen hierin zijn niet statisch”, vervolgt DNB zijn uitleg. “Van belang blijft een risicogebaseerde aanpak die ertoe leidt dat beheersmaatregelen worden aangepast aan de trend van toenemende cyberdreigingen. Net als de ESG-factoren is de Technologie (‘T’)-factor een onderwerp die bij instellingen het afgelopen jaar meer centraal stond in het bepalen van (beleids)beslissingen.”
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: dnb.nl, banken.nl
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad
Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.
Auteursrecht van Instagram en communityrichtlijnen geschonden!
Cybercriminelen doen er alles aan om waardevolle accountgegevens te bemachtigen. Met nepberichten over het schenden van auteursrecht willen ze nu ook gebruikers van Instagram misleiden. Hoe herken je deze vorm van phishing en wat kun je doen als je ermee te maken krijgt?
De belangrijkste cyberdreigingen voor Industrial Control Systems
Het beveiligen van industriële beheersystemen (Industrial Control Systems / ICS) is van vitaal belang. Onder meer de beveiliging van endpoints, de systemen waarop eindgebruikers vertrouwen, moet hierbij voldoende krijgen. In een rapport waarschuwt Trend Micro voor de risico’s en zet de belangrijkste dreigingen op een rijtje.
10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde
Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.
Overzicht cyberaanvallen week 29-2021
Ransomware-aanval op hostingprovider Cloudstar raakt honderden bedrijven, DDoS aanval legt GGD-sites voor test- en prikafspraken opnieuw plat en veel slachtoffers van ransomware beschikken over betrouwbare back-ups. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 168 week 29-2021
Onverantwoorde en destabiliserende gedrag in cyberspace, de meest voorkomende soorten cyberaanvallen in 2021 en heterdaad aanhoudingen cybercriminelen in vakantiehuisje. Dit en meer lees je in nieuwsbrief 168.
Datalek nieuws en overzicht week 29-2021
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Phishing, nepshop en fraude meldingen week 29-2021
Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.
Inside the Darkweb: hoe uw persoonlijke informatie wordt misbruikt
Een voormalige FBI-agent die gespecialiseerd is in cyberbeveiliging verkent het darkweb om te laten zien hoe criminelen de informatie van mensen op verschillende markten exploiteren.
"Het vormt een enorme bedreiging voor de samenleving"
Steeds minder mensen zijn slachtoffer van een misdrijf en de meeste criminaliteitscijfers dalen al jaren. Er is één grote uitzondering: cybercrime. "Het vormt een enorme bedreiging voor de samenleving."
De grootste cyberaanvallen van 2021
De afgelopen jaren is het moeilijk geworden om het feit te negeren dat het digitale leven waar we allemaal deel van uitmaken volledig kwetsbaar is voor cybercriminelen. Hackers zijn blij met bijna elke mogelijkheid om geld te verdienen of plezier te hebben - van het creëren van een gratis lidmaatschap van een sportschool voor hun hele gezin tot het hacken van energiesystemen van hele landen.
"Iedereen, ongeacht zijn ervaring of kennis van cybersecurity, is vatbaar voor een phishing-aanval"
Uit het phishing-onderzoek van Ivanti blijkt dat 80% van de respondenten een toename ziet van het aantal phishing-pogingen en 85% zegt dat de aanvallen steeds geavanceerder worden. Verder was bij 73% van de respondenten het IT-personeel het doelwit van phishing, waarvan 47% van de pogingen succesvol waren. Nieuwe vormen van oplichting als smishing (phishing via tekstberichten) en vishing (phishing via spraakberichten) zijn sterk in opkomst en specifiek op mobiele gebruikers gericht. Volgens recent onderzoek van Aberdeen hebben aanvallers een hoger succespercentage op mobiele devices dan op servers, en die trend lijkt te verergeren. Inmiddels bedraagt het jaarlijkse financiële risico van een datalek als gevolg van mobiele phishing-aanvallen ongeveer 1,7 miljoen dollar, wat kan oplopen tot een maximum van ongeveer 90 miljoen dollar.