Beheersing cyberrisico's door banken moet beter

Cyber Security via Pixabay 2

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding.

DNB: “Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

“Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd.

“Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

“Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

“We zien geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Het risico stijgt maar de risicobeheersing stijgt niet evenredig mee. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.”

Reactie toevoegen

Samenwerking essentieel bij bestrijding cybercrime

Samenwerking tussen financiële instellingen is essentieel om cyberdreigingen het hoofd te kunnen bieden. Door informatie uit te wisselen over digitale aanvallen...

Mes aansprakelijkheidsregime bot bij cybersecurityschade

Het Nederlandse aansprakelijkheidsrecht biedt onvoldoende mogelijkheden biedt om in een b2b-relatie cybersecurityschade te verhalen. De conclusie in een studie in...

Kwart thuiswerkers werkt onbeveiligd vanuit huis

Een kwart van de thuiswerkende Nederlanders werkt niet altijd via het beveiligde netwerk van hun werkgever. Dit blijkt uit onderzoek van VPNdiensten.nl. Van alle...

"Universiteit Maastricht handelde adequaat bij afhandelen cyberaanval"

De Inspectie voor het Onderwijs constateert dat de Universiteit Maastricht (UM) adequaat heeft gehandeld in het afhandelen van de cyberaanval op 23 december 2019....

AFM: wees extra scherp op informatiebeveiliging tijdens coronacrisis

Wees als financiële dienstverlener extra alert op als gevolg van de coronacrisis toegenomen risico’s op het gebied van informatiebeveiliging. Die oproep...

Minister over cyberpolis: schade vergoeden in plaats van losgeld

Minister Grapperhaus gaat de onwenselijkheid om te betalen bij ransomware en de consequenties van betaling bij het Verbond van Verzekeraars onder de aandacht brengen....

Kabinet: cyberpool niet nodig nu

Het kabinet vindt een cyberpool nu niet nodig. Verzekeringen kunnen volgens de regering schade door cyberincidenten goed opvangen. Minister Grapperhaus in de kabinetsreactie...

Kabinet tegen betalen losgeld na ransomware-aanval

Het kabinet heeft de Universiteit Maastricht laten weten te vinden dat er geen geld naar criminelen moet gaan. Dit voordat de Universiteit na een malsomware-aanval...

Vaker slim apparaat in huis dan wordt gedacht

Acht op de tien eigenaars zijn zich ervan bewust dat hun slimme apparaten gehackt kunnen worden. Toch weet de helft niet wat zij moeten doen als dit gebeurt en is...

Cyberincidenten: voorkomen is beter dan genezen

(door Chubb, Partner VVP) Bedrijven zijn zich meer en meer bewust van de gevaren van het digitale tijdperk waarin we leven. Berichten over cyberincidenten, zoals...

Events

VVP-event Pensioen & Vermogen

19 maart 2024 - 19 maart 2024

Lees meer

Quote van de dag

De Rabobank zegt in Brazilië een ‘nultolerantiebeleid’ te hanteren ten aanzien van ontbossing. Maar uit onderzoek van het FD blijkt dat de bank zakendoet met honderden illegale ontbossers.

Webspecial FD

Stelling

Financieel dienstverleners onderschatten risico klimaatverandering.

Laatste reacties

Recente editie

VVP 5-2023 kijkt op het erf van de broer van financieel adviseur André van Luijk, die een boerenbedrijf heeft. De ondernemersuitdagingen blijken helemaal niet zoveel te verschillen. Blijf vooral ondernemen en nieuwe wegen zoeken, is de boodschap van de broers.

Actueel op de korrel gaat in op onderzoek waaruit zou blijken dat consumenten bang zijn voor de financieel adviseur. De adviseur: boeman of boezemvriend?

Verder onder meer in deze VVP: een interview met letselschadeadvocaat Coen de Koning (“Geef mensen de regie over hun eigen leven”), Juffrouw Polis, een verslag van de finale van de VVP Advies Award 2023 (gewonnen door Veldhuis Advies) en uiteraard weer de praktijkrubriek Ken je vak!.

Het katern Risicobeheer en Preventie gaat onder andere in op de vraag waar het risicoprofiel Erkend Risicoadviseur is gebleven, de risico’s van kunstmatige intelligentie en hoe de juiste strategische beslissingen te nemen.

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!