Tevens heeft ruim 5 procent van de instellingen in die periode te maken gehad met een geslaagde cyberaanval (ongeautoriseerd toegang). "Niet alleen het aantal cyberaanvallen neemt toe, ook de ontwrichtende impact van aanvallen wordt steeds groter", constateert DNB in het rapport.
Onvoldoende effectief
In deze IB-monitor 2021 zitten de waarnemingen van DNB op het gebied van informatiebeveiliging en cyberrisico’s. Deze zijn gebaseerd op toezichtonderzoeken en -uitvragen in de Nederlandse financiële sector. De belangrijkste waarnemingen zijn:
- De risicomanagementcyclus binnen instellingen gericht op informatiebeveiliging is onvoldoende effectief
- Het beheersen van informatiebeveiliging in de gehele uitbestedingsketen is cruciaal
- De weerbaarheid tegen cyberaanvallen moet worden versterkt, hier is dringend aandacht nodig
Samenwerking essentieel
DNB ziet verdere samenwerking in de sector als essentieel om voldoende weerbaar te zijn. "Dat is ook begrijpelijk, want aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast vragen wij aandacht voor en zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen. Recent gerapporteerde kwetsbaarheden met potentieel grote impact onderschrijven het belang voor een goed fundament op het gebied van informatiebeveiliging, in de gehele uitbestedingsketen, alsmede de noodzaak tot samenwerking met partijen."
Uitfaseren ICT-systemen
DNB signaleert dat er nog (grote) ruimte is voor verbetering, zowel bij de registratie als bij het tijdig onderhouden en uitfaseren van IT-systemen. "Instellingen lopen risico’s wanneer zij gebruikmaken van IT-systemen die niet langer ondersteund worden door leveranciers met beveiligingsupdates waardoor (blijvend) security kwetsbaarheiden kunnen optreden." Van de instellingen geeft 58 procent aan dat alle door haar geïdentificeerde kritieke systemen worden ondersteund door leveranciers. 42 procent van de instellingen heeft te maken met één of meer kritieke systemen die niet langer worden ondersteund, zogenoemde end of life-systemen.
Vier dreigingen hebben prioriteit
Op basis van meerdere bronnen en contacten met instellingen ziet DNB de volgende vier dreigingen als een prioriteit voor de sector:
▪ Ransomware
▪ Aanvallen op of via derde partijen in de uitbestedingsketen
▪ Long term compromise (Hiermee wordt bedoeld dat geavanceerde groeperingen – vaak op het niveau van een natiestaat – langdurig aanwezig zijn in de netwerken en systemen van een financiële instelling)
▪ DDoS
Aandacht voor uitbestedingen
Tot slot waarschuwt DNB: "Instellingen brengen hun data en IT-processen steeds vaker onder bij derde partijen die niet onder direct toezicht staan. Instellingen blijven echter altijd zelf verantwoordelijk voor de veiligheid van de data en het voldoen aan regelgeving. Daarbij heeft DNB bijzondere aandacht voor specifieke vormen van uitbesteding, waarbij bedrijfs- of IT-processen via een oplossing extern zijn ingericht bij bijvoorbeeld bigtechs. DNB zal de komende jaren gerichter toezicht houden op deze vormen van uitbestedingen en of deze voldoen aan de geldende wet- en regelgeving en aan de uitbestedingsrichtlijnen zoals gepubliceerd door EBA
en EIOPA."
