Cyberalerts!

1. 15 september 2020, door Toon Berendsen
2. 0 reacties

In deze VVP Special Cyber veel aandacht voor de cyberdienstverlening van financieel adviseurs aan hun klanten. Maar advieskantoren en de financiële sector zijn zélf natuurlijk ook potentiële slachtoffers van cyberincidenten. In dit artikel een aantal ‘alerts’ in dit verband.

Een paar opmerkingen vooraf: bij het schrijven van dit artikel hebben we heel wat rapporten en documenten geraadpleegd. Het beeld dat daaruit naar voren komt, stemt niet vrolijk. Steeds weer wordt geconstateerd dat grip houden op cyberrisico’s - zeker bij complexe systemen en ketens - ontzettend lastig zo niet ondoenlijk is. Dat is uiteraard geen excuus om uw hoofd dan maar in het zand te steken. Maar wat ons betreft, is een van de belangrijkste tips uit alle documentatie die van de kroonjuwelen: bepaal wat de werkelijke kroonjuwelen van uw organisatie zijn en focus u om te beginnen daarop.

En laat u niet gek maken. De toezichthouders willen dat het topkader van financiële ondernemingen informatiebeveiliging en cyber security hoog op de agenda plaatsen én houden. De Nederlandsche Bank (DNB) verwacht zelfs, zoals ze schrijft in haar eerder dit jaar verschenen tweede Informatiebeveiligingsmonitor, dat “het bestuur/de directie trainingen en opleidingen volgt om de belangrijkste IT-risico’s en beheersingsmaatregelen voor de instelling te kunnen begrijpen en basiskennis van informatiebeveiliging en cybersecurity te borgen”. Maar als er nou iets steeds duidelijker wordt, dan is het juist dat het enorm specialistische materie betreft. De uitdaging lijkt dan ook veel meer om grip te houden op de specialisten. Belangrijk in dit verband is dat het Centrum voor Criminaliteitspreventie en Veiligheid werkt aan een risicomodel, een kwaliteitsregeling en een certificeringsschema voor leveranciers van cybersecuritydiensten. Naar verwachting begin 2021 vindt de definitieve vaststelling en publicatie plaats.

Good practice

Om een idee te krijgen van wat er allemaal bij komt kijken als men écht werk wil maken van informatiebeveiliging en cybersecurity als financieel dienstverlener, moet u de Good Practice Informatiebeveiliging 2019/2020 van DNB eens lezen. Hele goede informatie (bedoeld voor financiële instellingen maar goed door te trekken naar andere financiële dienstverleners).

Maar meteen ook wordt duidelijk dat informatiebeveiliging en cybersecurity niet iets is dat men er zomaar even bij doet. Dat geldt overigens voor adviseren erover. De kennispartners van deze VVP-special dragen de boodschap uit dat cyberrisicomanagement voor iedere adviseur is weggelegd. Dat is ook zo, maar de adviseur moet zich het onderwerp toch wel goed eigen maken en goed beslagen ten ijs komen. En hij moet vooral ook de samenwerking zoeken met de verzekeraars/assuradeuren en andere partijen die dag in dag uit met de materie bezig zijn.

Algemener dan de Good Practice zijn de elf Principes voor Informatiebeveiliging die de AFM eind 2019 publiceerde. Die principes verwoorden wat de toezichthouder verwacht van het beleid van financiële dienstverleners inzake informatiebeveiliging. Ook hieruit blijkt dat van vrijblijvendheid geen sprake is.

Preventie alleen niet genoeg

Een belangrijke alert uit alle rapporten en ook de praktijkervaring die er inmiddels is: met preventie alleen ben je er niet bij cyberrisico’s. In haar al aangehaalde Informatiebeveiligingsmonitor stelt DNB zelfs onomwonden: “Preventie alleen is heden ten dage niet meer genoeg, de nadruk komt meer te liggen op detectie en respons. De vraag is namelijk niet meer of een instelling risico’s loopt ten aanzien van informatiebeveiliging en cybersecurity, maar hoe de instelling ermee omgaat als zij daadwerkelijk is getroffen door een cyberaanval of -incident.”

De tijd dat cyberincidenten vooral toevalstreffers van criminelen en hackers waren, is ook voorbij. DNB heeft het beeld dat “instellingen tegenwoordig bij digitale aanvallen specifiek worden uitgezocht en zeer gericht op van te voren uitgezochte doelen binnen hun instelling worden aangevallen. Was het voorheen voldoende dat je huis met voldoende sloten beter beveiligd was dan dat van de buurman, nu is het niet meer genoeg om betere sloten dan de buurman te hebben.”

Snelle detectie en adequate respons, heeft aan belang gewonnen. Helaas is het met de snelheid van detectie slecht gesteld. Het Cybersecuritybeeld Nederland 2020: “Het vroegtijdig detecteren van aanvallen is een basismaatregel. Des te eerder, des te beter. Dat blijft echter voor veel organisaties een complexe opgave. Volgens een onderzoek was in 2019 de gemiddelde detectietijd van een aanval 56 dagen. Deze gemiddelde detectietijd is niet in verhouding met de snelheid waarmee een aanvaller zijn doel kan bereiken. Die heeft slechts enkele uren nodig.”

De Inspectie van het Onderwijs stelde een onderzoek in na de cyberaanval die de Universiteit Maastricht (UM) eind vorig jaar trof. De Inspectie in haar rapport: “Fox-IT heeft vastgesteld dat na het openen van een phishing mail er onvoldoende detectie, monitoring en opvolging heeft plaatsgevonden, waardoor hackers op 23 december 2019 een ransomwareaanval konden uitvoeren op een deel van het UM-netwerk.” Die phishing mail was al op 15 oktober geopend… Phishing blijft een enorm probleem. Phishing vindt traditioneel plaats via e-mail, maar het Cybersecuritybeeld Nederland 2020 geeft aan dat “cybercriminelen ook gebruik maken van phishing via sms (smishing). Ook ontfutselen aanvallers steeds vaker succesvol gevoelige informatie via sociale media om iemand gericht te benaderen, zogeheten spear phishing. Daardoor is voor een ontvanger lastig om te onderkennen dat het gaat om phishing”.

Basismaatregelen cruciaal

Volgens het Cybersecuritybeeld Nederland 2020 is de aanval op de Universiteit Maastricht “een voorbeeld van een geavanceerde aanval waarbij basismaatregelen de impact waarschijnlijk hadden kunnen reduceren. Diverse basismaatregelen waren niet op orde, zoals een juiste afhandeling van meldingen van phishing, installatie van beveiligingsupdates, segmentatie van het netwerk, toepassing van monitoring en detectie en het opslaan van offline backups”.

Het Rathenau Instituut onderzocht in opdracht van de Cyber Security Raad wat nieuwe technologie kan bijdragen aan vergroting van de cyberweerbaarheid. Het onderzoeksrapport, begin juli uitgebracht, stelt: “Nieuwe technologieën als (opnieuw) machine learning, postkwantumcryptografie, LiFi, 5G-netwerken of gedistribueerde systemen bieden kansen om de cyberweerbaarheid te verhogen.” Maar het instituut noemt het “ook van groot belang om meer en beter gebruik te maken van bestaande, maar onderbenutte technologieën. Als zelfs basisveiligheidsmaatregelen als sterke wachtwoorden of software-updates onderbenut blijven, heeft het weinig zin om in te zetten op de nieuwste innovaties”.

Vijf basisprincipes

Om phishing minder effectief te maken, aldus het Jaarbeeld Cybersecurity 2020, “voeren steeds meer organisaties campagnes uit onder werknemers om het bewustzijn van de gevaren van phishing te verhogen. Ook de overheid startte een bewustwordingscampagne. Uit onderzoek blijkt dat dit effect heeft: bij phishing-oefeningen dalen de clickrates”.

Het Digital Trust Center van het ministerie van Economische Zaken en Klimaat, opgericht in 2018, formuleert op haar site ‘De vijf basisprincipes van veilig digitaal ondernemen’. Deze zijn: inventariseer kwetsbaarheden, kies veilige instellingen (controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan), voer updates uit, beperk toegang (definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt), voorkom virussen en andere malware (stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software).

Het probleem is dat iedereen de basisprincipes eigenlijk wel kent, maar dat ze in de dagelijkse drukte en routine steeds weer ondersneeuwen. De medewerkers en je zelf scherp houden is dan eigenlijk ook de grootste uitdaging. Maar wel belangrijk dus. Helemaal nu er – aangejaagd door corona – steeds vaker thuisgewerkt wordt.

Cyberverzekering

Een cyberverzekering (of een cyber add on op een bestaande polis) is ook een essentieel onderdeel van cyberrisicomanagement, al was het maar voor de ondersteuning die wordt geboden bij preventie en bij een incident. Dus ja, als financieel dienstverlener doet u er verstandig aan zelf ook zo’n verzekering af te sluiten. U beheert immers databestanden. Belangrijk wel om te beseffen, is dat een cyberverzekering geen alternatief is voor slechte informatiebeveiliging en cybersecurity. Verzekeraars zijn immers ook niet gek, en zeker niet bij cyber waar het om enorme bedragen kan gaan.

De verzekeraars vergoedden de bijna twee ton losgeld die de Universiteit Maastricht betaalde om weer toegang te hebben tot haar eind vorig jaar gehackte bestanden. Geen goede zaak, meende minister Grapperhaus: “Het heeft mijn voorkeur dat de verzekeraar niet het losgeld vergoedt dat in handen van criminelen terecht komt, maar juist de geleden schade door het niet betalen van dit losgeld. Mijn opvattingen heb ik bij het Verbond van Verzekeraars onder de aandacht gebracht. Het Verbond van Verzekeraars heeft mij laten weten dat zij de geuite zorgen onder de aandacht zal brengen van de leden en hierover met hen in gesprek zal gaan.”

Toch denken wij niet dat verzekeraars hun polissen gaan aanpassen (voor zover ze al losgeld en boetes vergoeden). Aanpassingen gaan er eerder komen als de schadelast zou exploderen. Daarvan lijkt op dit moment geen sprake. Sterker, de Wetenschappelijke Raad van het Regeringsbeleid (WRR) pleitte vorig jaar in haar rapport ‘Voorbereiden op digitale ontwrichting’ voor een cyberpool maar minister Grapperhaus vindt zo’n pool niet nodig. Grapperhaus: “Het kabinet ziet dat op het gebied van verzekeringen schade na cyberincidenten steeds vaker onder normale bedrijfspolissen vallen en dat er ook steeds meer cyberpolissen worden aangeboden. Op dit moment ziet het kabinet daarom geen aanleiding voor aanvullende maatregelen.”

Persoonsgegevens

Een goede informatiebeveiliging en cybersecurity zijn niet alleen van belang om cyberincidenten, maar ook schending van de privacywetgeving - en dan helemaal de AVG van 2018 - te voorkomen. Zo’n schending kan duur uitpakken, laten boetes zien die de Autoriteit Persoonsgegevens (AP) inmiddels heeft opgelegd. Enkele alerts in dit verband.

Een duidelijke trend is digitaal delen van de eigen gegevens bij de overheid met derden. Dit komt de betrouwbaarheid van de gegevens en daarmee de efficiency, bijvoorbeeld bij een hypotheekaanvraag, ten goede. De consensus is dat de persoon in kwestie in control moet zijn bij het gegevensdelen. Het kabinet gaat echter niet zover om juridisch eigendom van persoonsgegevens in te voeren, “omdat het eigendomsrecht daar niet op is ingericht en er bovendien grenzen aan de zeggenschap over de eigen gegevens zijn. Het is veel beter om de rechten en plichten van de persoonsgegevens van een burger zo veel mogelijk op een andere manier te beschermen. De in de AVG vastgelegde rechten en plichten zijn in de beleidsbrief Regie op Gegevens van 11 juli 2019 nader ingevuld en uitgebreid, ten aanzien van inzage en correctie, eenmalige verstrekking van gegevens, en (vooral) het digitaal kunnen delen van de eigen gegevens bij de overheid met derden”.

De Nederlandse Vereniging van Banken (NVB) vindt dat voor een juiste balans tussen de verschillende partijen in de data-economie een nieuw wettelijk kader nodig is voor de toegang tot en het delen van persoonlijke data, waarbij individuen meer controle krijgen over hun data die in het beheer zijn van bedrijven en de overheid (de datagebruikers). Hiervoor zou een zogenaamde Data Services Regulation moeten worden ingevoerd. Dit als voortbouwing op de eisen rond data-toegang en -deling zoals die al zijn vastgelegd in de AVG. De banken hebben hier zelf ook een belang bij. De NVB: “Particuliere en zakelijke gebruikers van betaaldiensten kunnen eenvoudig hun betaaldata met derde partijen delen. Maar dat kunnen zij niet met andere type data. Hierdoor hebben klanten slechts beperkt controle over hun data, kunnen zij de waarde van hun data niet optimaal benutten en bestaat de kans dat data slechts ten dienste staat van een beperkt aantal BigTech-spelers. Met de introductie van PSD2 is een ongelijk speelveld ontstaan, waarbij klanten (data-eigenaren) eenzijdig bancaire data kunnen delen met gelicenseerde data-gebruikers. Maar omgekeerd banken geen data van niet-bancaire partijen kunnen ontvangen.”

Dataminimalisatie

Het eindwoord is hier nog lang niet gesproken. Maar de materie is wel belangrijk, omdat gegevens steeds meer het nieuwe goud voor ondernemingen worden. Daar horen waarborgen voor de consument bij. Zo’n waarborg is misschien al aangereikt door de AP. De Autoriteit meent dat zo min mogelijk gegevens moeten worden verzameld!

De AP in zijn ‘Focus 2020-2023: dataprotectie in een digitale samenleving’: “Mede door de komst van de AVG en de Richtlijn politie en justitie ziet de AP dat bedrijven, organisaties en burgers zich langzaamaan meer bewust worden van de privacyrisico’s en grip willen krijgen op hun persoonsgegevens. Het is van groot belang dat organisaties hun verantwoordelijkheid nemen. Het toepassen van privacy by design en privacy by default is noodzakelijk in een datasamenleving waarin continu nieuwe producten en diensten worden ontwikkeld. Dit betekent bijvoorbeeld dat er bij het ontwerp van systemen zo min mogelijk persoonsgegevens worden verzameld (dataminimalisatie) (by design). En dat bijvoorbeeld bij (IoT)-producten automatisch de meest privacyvriendelijke optie wordt gebruikt (by default).” Vanuit oogpunt van privacy gezien, geldt dan dus: minder is meer. Of de fans van Big Data daar oren naar hebben?

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen