SPECIAL CYBERRISICO’S: DNB vraagt aandacht voor cyberrisico’s

Blog

Bij het op orde krijgen en houden van informatiebeveiligings- en cyberrisico’s ziet DNB, zoals reeds genoemd in de IB-monitor 2021, een belangrijke rol weggelegd voor het bestuur. DNB vraagt dan ook de nadrukkelijke aandacht voor de verankering van het onderwerp cyberrisico’s en het op orde brengen en houden van kennis daarover bij bestuurders en interne toezichthouders.

De basismaatregelen voor het mitigeren van cyberrisico’s waarvoor DNB de aandacht vraagt zijn:

1. Actieve monitoring op cyberrisico’s binnen de IT-omgeving.
2. Noodzakelijk onderhoud van de beveiliging van IT-systemen, waarbij ook de uitbestedingsketen betrokken wordt.
3. Het testen van en oefenen met een cyberaanval.

1. Actieve monitoring

DNB heeft vastgesteld dat in 2022, net als in 2021, vijf procent van de Nederlandse verzekeraars, pensioenfondsen, pensioenuitvoeringsorganisaties en premiepensioeninstellingen te maken heeft gehad met ongeautoriseerde toegang tot interne IT-systemen en gegevens door kwaadwillenden. Het is daarom voor deze instellingen niet alleen belangrijk om de preventieve basismaatregelen op orde te houden, maar ook om zich daarnaast te richten op maatregelen voor de situatie waarin een kwaadwillende daadwerkelijk ongeautoriseerd toegang tot de IT-systemen heeft verkregen. Het onderzoek van DNB laat zien dat meer dan een kwart van de instellingen niet goed in staat is om logging te verzamelen en te analyseren om zo mogelijke inbreuken op te sporen dan wel de impact daarvan vast te stellen.

2. Noodzakelijk onderhoud

Een ander belangrijk aandachtpunt is het noodzakelijk onderhoud van de systemen. Uit het onderzoek van DNB komen drie belangrijke aspecten naar voren voor het op orde houden van de basismaatregelen die zien op het noodzakelijk onderhoud van de IT-systemen.

In de eerste plaats is inzicht in de staat van onderhoud van kritieke IT-systemen van belang. Bijna een derde van de instellingen maakt gebruik van een of meer kritieke IT-systemen waarvoor niet langer beveiligingsupdates worden uitgebracht. Dit is overigens wel een daling ten opzichte van 2021, waaruit voorzichtig zou kunnen worden geconcludeerd dat hiervoor aandacht is en dat verouderde systemen bijvoorbeeld worden uitgefaseerd. Ook ziet DNB dat er meer aandacht is voor vernieuwing van het applicatielandschap, hetgeen ook een positief effect heeft op het uitfaseren van systemen die niet langer worden onderhouden.

In de tweede plaats is het snel kunnen patchen van groot belang. Afhankelijk van de omvang en complexiteit van hun IT-systemen, hebben instellingen te maken met vele honderden of duizenden security-patches per jaar. Uit het onderzoek van DNB blijkt dat deze patches de afgelopen jaren sneller worden doorgevoerd en gemiddeld binnen zeven werkdagen na uitbrengen worden geïmplementeerd. Dat neemt echter niet weg dat bij bijna een vijfde van de instellingen een of meer kritieke patches langer dan dertig dagen heeft opengestaan, waardoor IT-systemen langer dan nodig kwetsbaar waren voor mogelijke aanvallen. Gebleken is dat een grote meerderheid van geslaagde aanvallen verband houdt met misbruik van bekende zwakheden in IT-systemen waarvoor al een security patch beschikbaar is.

In de derde plaats is het belangrijk om inzicht te hebben in de uitbestedingsketen. Dit inzicht blijkt bij ruim een derde van de instellingen te ontbreken, waarmee ook een goed beeld van de staat van onderhoud van kritieke systemen in die keten ontbreekt. DNB benadrukt dan ook het belang van het hebben van zicht op de gehele uitbestedingsketen, en het betrekken van ketenpartners bij het uitvoeren van testen en het sturen op het aantoonbaar op orde houden van basismaatregelen bij alle kritieke dienstverleners.

3. Testen en oefenen

De instellingen zelf vinden het belangrijk beveiligingstesten uit te voeren om zwakheden in de beveiliging op te sporen en te verbeteren. Daarnaast worden, ten minste een keer per jaar uit te voeren, continuïteitstesten belangrijk gevonden. In 2022 heeft maar liefst een kwart van de instellingen echter geen continuïteitstest uitgevoerd. Een aantal instellingen heeft aangegeven de test te hebben uitgesteld omdat door de oorlog in Oekraïne het dreigingsniveau veranderde en is besloten de test niet op dat moment te laten plaatsvinden. DNB geeft hierbij aan dat de keuze voor de timing van een continuiteïtstest aan de instelling is, maar dat het belang van het uitvoeren ervan groot is.

Een belangrijke indicator bij een continuiteïtstest is de RTO, de Recovery Time Objective. Dit is de door de instelling gestelde maximale hersteltijd van primaire bedrijfsprocessen na calamiteiten, zoals een cyberaanval. Gemiddeld ligt deze tussen de vijftien en twintig uur, maar dit verschilt sterk per instelling en per bedrijfsproces. Tien procent van de instellingen heeft aangegeven de interne RTO’s in het afgelopen jaar niet te hebben gehaald, als gevolg van incidenten of verstoringen in de bedrijfsvoering die langer duurden dan zij zelf acceptabel vonden.

Uit de onderzoeken van DNB blijkt dat ongeveer de helft van de instellingen belangrijke IT-securityrisico’s in de eigen bedrijfsvoering signaleert. Ook bevindt ongeveer de helft van de instellingen zich binnen de eigen risicotolerantie. Zes procent van de instellingen zit boven de eigen risicotolerantie. DNB geeft aan het positief te vinden dat IT-securityrisico’s worden gemeten ten opzichte van de tolerantiegrenzen en dat zij steeds meer onderdeel uitmaken van managementinformatie.

Vooruitblik

Vooruitkijkend naar 2023 geeft DNB aan er op te zullen blijven toezien dat instellingen hun cyberweerbaarheid op orde hebben en houden. Daarbij zal ook aandacht worden besteed aan de beheersing van uitbestedingsrisico’s en aan de voorbereiding op de implementatie van nieuwe wet- en regelgeving, waaronder met name de Digital Operational Resilience Act (DORA). Bij een selectie van pensioenfondsen en verzekeraars zal verder onderzoek worden gedaan via uitvragen en onderzoeken op locatie. En ten slotte verwacht DNB aandacht te zullen besteden aan de ontwikkelingen met betrekking tot quantum-computing en de invloed daarvan op huidige en toekomstige systemen.