Cyberrisico’s zijn reëel. DNB ziet dat cyberdreigingen in de maatschappij toenemen. Dat geldt ook voor de instellingen onder ons toezicht. Voortdurende aandacht voor dreigings- en risicoanalyse blijft daarom voor instellingen belangrijk om hun basismaatregelen, het fundament, op niveau te houden. Dit wordt bevestigd in de door DNB uitgevoerde onderzoeken in 2022.
Op basis van eigen onderzoeken bij instellingen en de jaarlijkse uitvraag gericht op informatiebeveiliging (de SBA-IB) verkrijgt DNB inzicht in dit fundament bij verzekeraars, pensioenfondsen, PUO’s en PPI’s. Hieruit blijkt dat niet alle basismaatregelen bij instellingen effectief zijn ingericht en functioneren.
Basismaatregelen die aandacht vragen zijn:
- Actieve monitoring op cyberrisico’s binnen de IT-omgeving;
- Noodzakelijk onderhoud op de beveiliging van IT-systemen; waarin de uitbestedingsketen betrokken wordt;
- Testen van en oefenen met een cyberaanval.
In 2021 heeft DNB een IB-monitor uitgebracht waarin aandacht is besteed aan de belangrijke rol van bestuur voor het op orde krijgen en houden van informatiebeveiliging- en cyberrisico’s. Actieve bestuurlijke betrokkenheid en een toereikend kennisniveau over dit onderwerp is ook dit jaar onderwerp in onze onderzoeken. Het belang van kennis en aandacht op het gebied van informatiebeveiliging en cyberrisico’s wordt aan veel bestuurstafels onderschreven. Bestuurlijke verankering van dit onderwerp en het op orde brengen en houden van kennis bij bestuurders en intern toezicht behoeft nadrukkelijke aandacht.
Monitor actief op cyberrisico’s binnen de huidige IT-omgeving
Opnieuw heeft 5% van de Nederlandse verzekeraars, pensioenfondsen, PUO’s en PPI’s het afgelopen jaar te maken gehad met ongeautoriseerde toegang tot interne IT-systemen en gegevens door een kwaadwillende. Dit beeld is gelijk aan 2021. De sector geeft aan dat deze trend blijvend is en geslaagde aanvallen zelfs kunnen toenemen. Daarom is het van belang dat instellingen, naast het op orde houden van preventieve basismaatregelen, zich ook richten op de situatie wanneer een kwaadwillende daadwerkelijk ongeautoriseerd toegang heeft gekregen. Uit ons onderzoek blijkt dat meer dan een kwart van de instellingen minder goed in staat is om logging te verzamelen en te analyseren en daarmee mogelijke inbreuken daadwerkelijk te detecteren en/of de impact van een inbreuk te achterhalen.
Onderhoud van systemen blijft een belangrijk aandachtspunt
Uit ons onderzoek blijkt dat de volgende aspecten belangrijk zijn om de basismaatregelen op orde te houden:
- Inzicht in de staat van onderhoud van kritieke IT-systemen;
- Snel kunnen patchen is zeer belangrijk;
- Het betrekken van de gehele uitbestedingsketen in de risicoanalyse.
Deze drie aspecten zijn hieronder verder toegelicht.
Inzicht in de staat van onderhoud van kritieke IT-systemen
DNB ziet dat 32% van de instellingen gebruikmaken van één of meer kritieke IT-systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates. In 2021 was dit percentage hoger, namelijk 42%. Een voorzichtige conclusie is dat instellingen aandacht hebben voor deze verouderde systemen en deze bijvoorbeeld uitfaseren.
DNB ziet dat instellingen meer aandacht hebben voor het vernieuwen van het applicatielandschap. Binnen de pensioensector is dit vooral gedreven door het kunnen administreren van de nieuwe pensioenregeling. Dit heeft een positief effect op het uitfaseren van systemen die niet langer (door de leverancier) zijn onderhouden.
Snel kunnen patchen is zeer belangrijk
Instellingen hebben al naar gelang hun omvang en complexiteit van IT-systemen te maken met vele honderden zo niet duizenden (kritieke) security-patches op jaarbasis. Uit onderzoek blijkt dat kritieke security-patches de afgelopen jaren sneller worden doorgevoerd. Deze patches zijn na het uitbrengen door de leveranciers gemiddeld binnen 7 werkdagen geïmplementeerd in de productiesystemen. In de onderstaande figuur wordt de gemiddelde snelheid van patchen door instellingen getoond.
Bijna 20% van de instellingen geeft aan dat één of meer kritieke patches langer dan 30 dagen heeft openstaan. Het niet snel doorvoeren van kritieke patches maakt IT-systemen langer kwetsbaar voor aanvallers. Uit onderzoek blijkt dat het merendeel van geslaagde aanvallen te relateren is aan misbruik van reeds bekende zwakheden in IT-systemen waarvoor al een security patch beschikbaar is.
Inzicht in de uitbestedingsketen
Systemen die niet zijn voorzien van de laatste beveiligingsupdates zijn een mogelijke ‘ingang’ voor aanvallers. In het geval dat die systemen zijn uitbesteed kan dat ook gebeuren via leveranciers.
Uit ons onderzoek blijkt dat ruim een derde van de instellingen geen inzicht heeft in de uitbestedingsketen. Daarmee ontbreekt een goed beeld van de staat van onderhoud van kritieke systemen in de keten. Deze instellingen zijn sterk afhankelijk van maatregelen in de gehele uitbestedingsketen, zoals end-to-end monitoring en de mogelijkheid tot isolatie van delen van systemen.
DNB benadrukt het belang dat instellingen zicht hebben op de gehele uitbestedingsketen en dat ketenpartners worden betrokken in het uitvoeren van testen en sturen op het aantoonbaar op orde houden van basismaatregelen bij alle kritieke dienstverleners.
Test van cyberweerbaarheid
Instellingen hechten veel belang aan het uitvoeren van goede beveiligingstesten om daarmee op zoek te gaan naar zwakheden in de beveiliging en deze te verbeteren. Ook zijn continuïteitstesten belangrijk om weerbaar te zijn.
Uitvoeren continuïteitstesten
Uit ons onderzoek blijkt dat instellingen diverse maatregelen treffen om zich voor te bereiden op mogelijke cyber-aanvallen die verstorend kunnen zijn voor hun operationele bedrijfsvoering. Een van de maatregelen is het houden van een continuïteitstest. In het algemeen wordt het uitvoeren van een jaarlijkse test door de sector als minimum frequentie gezien.
Het afgelopen jaar heeft ruim een kwart van de instellingen geen continuïteitstest uitgevoerd. Dit percentage lijkt daarmee opvallend hoog. Een aantal instellingen heeft aangegeven deze testen te hebben uitgesteld. Reden hiervoor was dat de geplande (jaarlijkse) testen samenvielen met de oorlog in Oekraïne, waardoor het dreigingsniveau veranderde en een bestuurlijke afweging is gemaakt de test niet op dat moment uit te voeren.
De keuze voor de timing van een continuïteitstest ligt bij de instelling. Het belang van deze testen is groot; het betrekken van diverse relevante scenario’s helpen bij het opsporen van mogelijke tekortkomingen. Een veelgebruikt scenario is het simuleren van een ransomware aanval en de wijze waarop de instelling hierop anticipeert en herstelt.
Maximale hersteltijd bedrijfsprocessen
Eén van de indicatoren die DNB uitvraagt is de door de instelling gestelde maximale hersteltijd van primaire bedrijfsprocessen na calamiteiten, zoals een cyberaanval: de Recovery Time Objective (RTO).
De gemiddelde RTO ligt gemiddeld tussen 15 en 20 uur. Overigens verschilt de RTO sterk per instelling en per bedrijfsproces. DNB ziet dat 10% van de instellingen aangeeft de interne RTO’s niet te hebben gehaald in het afgelopen jaar. Deze instellingen hebben te maken gehad met incidenten of verstoringen in de bedrijfsvoering die langer duurden dan wat de instelling zelf acceptabel vindt.
Bestuurlijke aandacht voor cyberrisico’s
DNB heeft instellingen gevraagd hoe zij het cyberrisico inschatten (restrisico) en in hoeverre dat past binnen de eigen risicotolerantie. De helft van de instellingen (49%) signaleert belangrijke IT-security risico’s in hun bedrijfsvoering.
Uit bovenstaande figuur blijkt dat bijna de helft (48%) van de instellingen zich bevinden binnen hun risicotolerantie. 43% van de instellingen signaleert dat ze op of dichtbij haar risicotolerantie zit en 6% zit daarboven. Ongeveer 4% van de instellingen heeft geen risicotolerantie vastgesteld. Wel ziet DNB een positieve ontwikkeling dat IT-security risico’s worden gemeten ten opzichte van tolerantiegrenzen en steeds meer onderdeel uitmaken van (operationele) managementinformatie. Het beheersbaar houden van deze risico’s krijgt zo de voortdurende en nodige bestuurlijke aandacht, gezien deze zich dichtbij de vastgestelde risicotolerantie bevinden.
Toezichtsactiviteiten in 2023
Het beheersen van risico’s op het gebied van informatiebeveiliging, uitbesteding en cybersecurity blijft onverminderd belangrijk voor een beheerste en integere bedrijfsvoering door financiële instellingen. DNB ziet er ook in 2023 op toe dat instellingen hun cyberweerbaarheid op orde hebben en houden. Hierbij hebben we ook aandacht voor de beheersing van de uitbestedingsrisico’s en de voorbereidingen op de implementatie van de nieuwe wet- en regelgeving op dit gebied, in het bijzonder de Digital Operational Resilience Act (DORA). DNB doet bij een selectie van pensioenfondsen en verzekeraars onderzoek in de vorm van uitvragen en gerichte onderzoeken op locatie. Daarnaast verwacht DNB aandacht te besteden aan de ontwikkelingen op het gebied van Quantum-computing en de invloed hiervan op huidige en toekomstige systemen