“Dit gebeurt mij niet”

“Impact cyberrisico’s nog altijd onderschat”, “Informatiebeveiliging in de gehele keten nog onvoldoende beheerst”, “De kwaliteit van itriskmanagement moet verbeteren”. VVP schreef er al vaak over: er is werk aan de winkel rondom cyberrisico’s. Wat doet en vindt de AFM?
Velen van ons werken momenteel thuis, wat mogelijk een blijvend karakter zal krijgen. Toch werkt een kwart van de Nederlanders volgens onderzoek niet altijd via het beveiligde netwerk van hun werkgever. Ook werkgevers kunnen de risico’s van cyberaanvallen onderschatten. Dit, terwijl de gemiddelde schade van een ‘succesvolle’ aanval met ransomware meer dan 800.000 euro bedraagt.
Het grootste risico achter cyberrisico’s is wellicht wel de gedachte: dit gebeurt mij niet. Mensen verwachten niet van zichzelf in een phishing-aanval te trappen of een datalek te veroorzaken. Maar laten we niet vergeten dat ook tachtig procent van de automobilisten zichzelf een betere bestuurder vindt dan het gemiddelde. Een ongeluk kan eenieder overkomen.
Alle reden voor de AFM om in mei van dit jaar financiële ondernemingen te vragen alert te zijn op risico’s rondom informatiebeveiliging, nu we collectief thuiswerken. Om wat voor risico’s gaat het hier? Soms om heel basale zaken. Het op tijd installeren van security patches om lekken tegen te gaan of de risico’s van thuis printen verkleinen.
Mensen
Cyberrisico’s zien niet echter alleen op techniek, maar des te meer op mensen. Zijn medewerkers voldoende getraind om veiligheidsrisico’s te herkennen? En wat gebeurt er bijvoorbeeld in een kleine organisatie als de enige IT-expert langdurig uitvalt door ziekte? Een oplossing kan zijn om kritieke functies te spreiden over meerdere medewerkers of om te werken met A/Bteams om te voorkomen dat alle kennis in één keer wegvalt als gevolg van coronabestemmingen op kantoor.
Hoewel cyberrisico’s door de coronacrisis extra actueel zijn geworden, heeft de AFM er al langer aandacht voor. Zo publiceerden we eind vorig jaar de Principes voor Informatiebeveiliging, die handvatten bieden aan financiële ondernemingen voor de beheersing van ITrisico’s. Ook heeft de AFM recent een uitvraag gedaan over uitbesteding. Hoewel uitbesteding een begrijpelijke (en vaak verstandige) keuze is voor ondernemingen, brengt dit ook risico’s met zich mee, waaronder concentratie- en continuïteitsrisico’s.
Cyberverzekeringen
Je kunt je als onderneming verzekeren tegen cyberrisico’s. De rol van AFM is om bij deze producten toe te zien of ze zorgvuldig zijn ontwikkeld. Kortgezegd: productontwikkelaars mogen vanzelfsprekend geld verdienen aan een verzekering, maar het belang van de klant moet evenwichtig zijn meegenomen bij de ontwikkeling. Dit is de gedachte achter de normen voor productontwikkeling (de PARP-normen) en de KNVB-criteria. Ontwikkelt uw organisatie cyberverzekeringen? Onthoud dan dat PARP de basis is van goede financiële dienstverlening.
‘Neem de Principes voor Informatiebeveiliging door’
Wat kunt u zelf doen?
Als financieel adviseur vervult u een nutsfunctie in de maatschappij: dankzij uw inspanningen zijn consumenten niet alleen verzekerd van een inhoudelijk gedegen advies, maar bovenal van een betrokken, menselijk element hierbij. Uw klanten moeten kunnen vertrouwen op de continuïteit van uw dienstverlening.
Daarom is informatiebeveiliging in uw beroepsgroep essentieel. Ik raad u van harte aan de Principes voor Informatiebeveiliging door te nemen en uzelf ervan te verzekeren dat u zich gedegen beschermt tegen cyberrisico’s. Zodat de kans dat criminelen uw bedrijfsvoering verstoren minimaal is – en de Nederlandse consument onverminderd kan rekenen op uw grote toegevoegde waarde.
Reactie toevoegen
Meer over
AFM sluit zich aan bij Nationale Coalitie Financiële Gezondheid
De AFM heeft zich aangesloten bij de Nationale Coalitie Financiële Gezondheid (NCFG). ADe NCFG is een coalitie van publieke en private organisaties die samen...
Kredietaanbieders van buiten Nederland niet gebonden aan maximum kredietvergoeding
In een zaak van de AFM tegen een online flitskredietaanbieder oordeelde de rechter dat elders in Europa gevestigde aanbieders van online flitskrediet niet gebonden...
AFM waarschuwt consumenten voor Frank Wim Brugman
De AFM waarschuwt consumenten voor Frank Wim Brugman die volgens de toezichthouder illegaal actief is als vermogensbeheerder. Hij beschikt niet over een vergunning...
Afhankelijkheid big tech heeft grote impact op financiële sector
De AFM constateert dat de ontwikkelingen op het gebied van digitalisering, duurzaamheid en internationalisering steeds sneller gaan en een steeds grotere impact...
De AFM en Stichting DSI hebben het convenant over vakbekwaamheid verlengd. Dit convenant, dat sinds 2018 van kracht is, richt zich op medewerkers die adviseren of...
AFM-brief mogelijke vergunningplicht bij bemiddelen in groepsverzekeringen
De AFM heeft een brief ontwikkeld om marktpartijen die gebruik maken van groepsverzekeringen erop te wijzen dat er mogelijk een vergunningplicht gaat gelden. De...
“Hypotheekfraude blijkt een relatief makkelijk verdienmodel”
“Hypotheekfraude blijkt een relatief makkelijk verdienmodel.” Dat schrijft de AFM in haar onlangs verschenen Trendzicht 2025. De toezichthouder: “Hoewel...
Embedded finance laat meerwaarde adviseur onverlet
(AFM in VVP-special Business Innovation 2024) Je auto voor een uur verzekeren tegen inbraak op een parkeerterrein, of direct een reisverzekering afsluiten bij...
Toekomstbestendige FD-sector vraagt om verantwoorde groei
In Sector in beeld Financieel dienstverleners 2024 vraagt de AFM vooral aandacht voor zaken die noodzakelijk zijn voor toekomstbestendige groei van een onderneming....
Interpolis: ondernemers onderschatten impact cyberaanval
Ondernemers onderschatten de impact van een cyberaanval op hun bedrijf en medewerkers. Negen van de tien ondernemers denkt binnen een week na een succesvolle aanval...