Beheersing cyberrisico's door banken moet beter

Cyber Security via Pixabay 2

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding.

DNB: “Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

“Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd.

“Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

“Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

“We zien geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Het risico stijgt maar de risicobeheersing stijgt niet evenredig mee. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.”

Reactie toevoegen

 
VVP-special Cyber: pak als adviseur uw rol!

VVP-special Cyber: pak als adviseur uw rol!

Pak als financieel adviseur uw rol bij cyberrisicomanagement. Dat is de boodschap van de VVP-special Cyber, gemaakt in samenwerking met kennispartners Allianz Nederland,...

ICT-bedrijven kunnen hun aansprakelijkheidsrisico’s zelf beperken

ICT-bedrijven kunnen hun aansprakelijkheidsrisico’s zelf beperken

(door Chubb, Partner VVP) “Automatiseerders wacht stortvloed aan claims om schade door hackers”, zo kopte het FD in juni. De aanleiding? De rechter oordeelde...

Independer: Veilig Online Verzekering

Independer: Veilig Online Verzekering

Independer heeft samen met verzekeringspartner iptiQ een consumentenverzekering ontwikkeld voor de meest voorkomende risico’s van internetcriminaliteit, de...

Aon voegt cyberdekking standaard toe aan inboedelverzekering

Aon voegt cyberdekking standaard toe aan inboedelverzekering

Aon voegt volgens eigen zeggen als eerste in Nederland een cyberdekking standaard toe aan de particuliere inboedelverzekering. Vanaf 1 september worden daarmee 157.000...

NN start cyber bewustwording campagne

NN start cyber bewustwording campagne

Twee derde van de cyberaanvallen is gericht op het MKB met een gemiddeld schadebedrag van 63.000 euro voor cybercriminaliteit. Slechts één op de acht...

Samenwerking essentieel bij bestrijding cybercrime

Samenwerking essentieel bij bestrijding cybercrime

Samenwerking tussen financiële instellingen is essentieel om cyberdreigingen het hoofd te kunnen bieden. Door informatie uit te wisselen over digitale aanvallen...

Mes aansprakelijkheidsregime bot bij cybersecurityschade

Mes aansprakelijkheidsregime bot bij cybersecurityschade

Het Nederlandse aansprakelijkheidsrecht biedt onvoldoende mogelijkheden biedt om in een b2b-relatie cybersecurityschade te verhalen. De conclusie in een studie in...

Kwart thuiswerkers werkt onbeveiligd vanuit huis

Kwart thuiswerkers werkt onbeveiligd vanuit huis

Een kwart van de thuiswerkende Nederlanders werkt niet altijd via het beveiligde netwerk van hun werkgever. Dit blijkt uit onderzoek van VPNdiensten.nl. Van alle...

"Universiteit Maastricht handelde adequaat bij afhandelen cyberaanval"

"Universiteit Maastricht handelde adequaat bij afhandelen cyberaanval"

De Inspectie voor het Onderwijs constateert dat de Universiteit Maastricht (UM) adequaat heeft gehandeld in het afhandelen van de cyberaanval op 23 december 2019....

AFM: wees extra scherp op informatiebeveiliging tijdens coronacrisis

AFM: wees extra scherp op informatiebeveiliging tijdens coronacrisis

Wees als financiële dienstverlener extra alert op als gevolg van de coronacrisis toegenomen risico’s op het gebied van informatiebeveiliging. Die oproep...