Beheersing cyberrisico's door banken moet beter

Cyber Security via Pixabay 2

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding.

DNB: “Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

“Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd.

“Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

“Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

“We zien geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Het risico stijgt maar de risicobeheersing stijgt niet evenredig mee. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.”

Reactie toevoegen

Meer mensen slachtoffer van online criminaliteit in 2024

In 2024 gaven 2,4 miljoen mensen van vijftien jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit....

Kleine bedrijven minder alert op cyberrisico's

Het aantal kleinere mkb-bedrijven (<10 medewerkers) dat geen enkele maatregel tegen cyberrisico's lijkt te nemen, is toegenomen naar een derde van de populatie....

Bezit ‘slimme’ huishoudelijke apparaten toegenomen

In 2024 zei 89 procent van de Nederlandse bevolking een of meer zogenoemde slimme apparaten of systemen in huis te hebben, in 2020 was dat 81 procent. 63...

Cyberincidenten steeds grotere zorg voor bedrijven

Bedrijfsschade blijft in de beleving van Nederlandse risk management professionals de grootste zorg, volgens de de Allianz Risk Barometer. Cyberincidenten (bijvoorbeeld...

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB zal de duurzaamheidrisico’s bij verzekeraars (en pensioenfondsen) verder integreren in het toezicht. Aldus de toezichthouder in 'Toezicht in Beeld 2023'....

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Uit een DNB-analyse komt naar voren dat 41 procent van de verzekeraars onvoldoende kan aantonen dat hun risk assessments informatiebeveiliging volwassen zijn. Dat...

Meer dan helft bedrijven betaalt losgeld na grote cyberaanval

Het aantal bedrijven dat na een cyberaanval losgeld betaalt, is jaar na jaar gestegen - van tien procent in 2019 naar 54 procent in 2022, gebaseerd op een analyse...

Organisaties vergroten cyberweerbaarheid onder druk verzekeraars

Het bedrijfsleven neemt in vergelijking met eerdere uitkomsten uit 2020 meer maatregelen en is beter voorbereid op de toegenomen cyberdreiging. Dat blijkt uit het...

MKB-keurmerk cyberveiligheid pas over paar jaar

Het CCV mag van demissionair minister Adriaansens het MKB-keurmerk cyberveiligheid ontwikkelen waar door de Tweede Kamer is gevraagd. Adriaansens voorziet een ontwikkelingstijd...

Ransomware: losgeld bij kleine bedrijven soms meer dan helft omzet

Ruim 2.000 bedrijven met minstens twee werkzame personen zijn in 2021 slachtoffer geworden van afpersing met behulp van gijzelsoftware (ransomware). Gemiddeld betaalde...

Events

VVP Ondernemersdag: verrijk je ondernemerschap!

25 september 2025 - 25 september 2025

Lees meer

VIP Event 2025

1 juli 2025 - 1 juli 2025

Lees meer

Quote van de dag

Als de sector de rekening betaalt, bestaat er een heldere prikkel de kosten van het toezicht (te) laag te houden.

AFM-voorzitter Laura van Geest in FD-column

Stelling

Consumenten betalen te veel voor hun schadeverzekeringen

Laatste reacties

VVP 01-2025

"Ingewikkelde financiële keuzes moet je niet overlaten aan de Elon Musks van deze wereld", schrijft Martin Koot (MoneyView) in VVP 1-2025. AI maakt mensen niet overbodig. Ondertussen, stelt Jack Vos (Onesurance) in een bijdrage, laten insurtechs zien hoe technologie processen kan vereenvoudigen en de klantervaring kan verbeteren. De kunst is de juiste balans te vinden, waarbij in de eerste plaats de klant er beter van moet worden. De klant als baken is ook hoe het nog jonge kantoor Laurus Verzekeringen van Alex Brandenburg en Brian Gal in de markt staat.

In de nieuwe VVP uiteraard ook weer Ken je vak!, dit keer met onder meer Roger van der Linden in zijn hoedanigheid als bedrijfsadviseur: "Happy 2030! Werk jij daar al aan?" Verder ook weer de rubrieken Vrouw & Advies (met Iné Cheung van Argenta), Samen Betrokken (met Daniëlle Korten van Mackus Financiële Dienstverlening) en Het vuur van... (met Barry Vermeeren van Dazure).

In het katern Preventie en Risicomanagement laten adviseurs Marjolein Bruggeman, Christian Post, Iris van den Hout en Edwin Merks zien dat risicobeheer boven alles een dynamisch proces is. De redactie doet nogmaals een oproep het deelprofiel bedrijfscontinuïteit Erkend Risicoadviseur nieuw leven in te blazen.