Beheersing cyberrisico's door banken moet beter

Cyber Security via Pixabay 2

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding.

DNB: “Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

“Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd.

“Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

“Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

“We zien geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Het risico stijgt maar de risicobeheersing stijgt niet evenredig mee. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.”

Reactie toevoegen

Checklist voor beoordelen assurance-verklaring cyberrisico's

Verzekeraars die werk uitbesteden zijn verplicht om het cyberrisico van partners en providers in kaart te brengen en te beheersen. Dat kan door het beoordelen...

Digitale weerbaarheid

(Adfiz in Ken je vak! VVP 06-2022) Om ﬁnancieel adviseurs te ondersteunen bij het cyberveiliger maken van hun eigen onderneming en ze een weg te wijzen door de...

Ransomware blijft grootste cyberrisico, deep fake rukt op

Ransomware blijft het grootste cyberrisico voor organisaties wereldwijd, aldus het rapport Cyber: The changing threat landscape van Allianz Global Corporate &...

Flinke verhoging van premies voor cyberverzekeringen zet door

De premies voor cyberverzekeringen zijn de afgelopen zes jaar flink gestegen, blijkt uit de Marsh Global Insurance Market Index. Wereldwijd ziet Marsh in het eerste...

2,5 miljoen Nederlanders in 2021 slachtoffer van online criminaliteit

In 2021 was zeventien procent van de Nederlanders van vijftien jaar en ouder, bijna 2,5 miljoen mensen, naar eigen zeggen slachtoffer van online criminaliteit. De...

Groot aantal Nederlanders niet bekend met identiteitsfraude op internet

ARAG is bezorgd over het grote aantal Nederlanders dat niet bekend is met identiteitsfraude op het internet. Uit eigen onderzoeksresultaten blijkt dat negentien...

Drie op de vier aanvragen voor cyberverzekeringen afgewezen door AGCS

AGCS wijst momenteel ongeveer drie op de vier aanvragen voor cyberverzekeringen af, voornamelijk omdat bedrijven niet voldoen aan bepaalde IT-beveiligingsnormen....

Nieuw meldformulier datalekken een verbetering

“Wacht niet met het bekijken van het nieuwe meldformulier tot een datalek zich voordoet.” Aldus Niels Huijpen, consultant bij Charco & Dique en...

De Volksbank traint klanten in herkennen cybercriminelen

De Volksbank (SNS, ASN Bank en RegioBank) helpt haar particuliere klanten om hun cyberweerbaarheid te vergroten met de online training ‘Veilig Bankieren –...

Basisbeveiliging voor beheersen cyberrisico’s ontbreekt bij veel organisaties

Organisaties hebben nog steeds hun basisbeveiliging niet op orde als het gaat om het beheersen van cyberrisico’s. Ongeacht hun grootte of sector waarin zij...

Events

VVP-event Pensioen & Vermogen

19 maart 2024 - 19 maart 2024

Lees meer

Quote van de dag

Nadat de regels voor provisietransparantie definitief bekend zijn, trekt voormalig Lindenhaeghe-directeur Ewald Bary voor en met Adfiz door het land om adviseurs hierin te ondersteunen. Centraal staat de waarde van de dienstverlening.

Adfiz over actieve provisietransparantie

Stelling

Financieel dienstverleners onderschatten risico klimaatverandering.

Laatste reacties

Recente editie

VVP 5-2023 kijkt op het erf van de broer van financieel adviseur André van Luijk, die een boerenbedrijf heeft. De ondernemersuitdagingen blijken helemaal niet zoveel te verschillen. Blijf vooral ondernemen en nieuwe wegen zoeken, is de boodschap van de broers.

Actueel op de korrel gaat in op onderzoek waaruit zou blijken dat consumenten bang zijn voor de financieel adviseur. De adviseur: boeman of boezemvriend?

Verder onder meer in deze VVP: een interview met letselschadeadvocaat Coen de Koning (“Geef mensen de regie over hun eigen leven”), Juffrouw Polis, een verslag van de finale van de VVP Advies Award 2023 (gewonnen door Veldhuis Advies) en uiteraard weer de praktijkrubriek Ken je vak!.

Het katern Risicobeheer en Preventie gaat onder andere in op de vraag waar het risicoprofiel Erkend Risicoadviseur is gebleven, de risico’s van kunstmatige intelligentie en hoe de juiste strategische beslissingen te nemen.

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!