Een instelling beschikt over qua informatie vaak alleen over een stukje van de puzzel. Informatie-uitwisseling met andere partijen kan tot een meer volledig beeld leiden waardoor de eigen beheersmaatregelen kunnen worden aangescherpt, aldus de toezichthouder in haar jaarlijkse terugkoppeling van de resultaten uit haar informatiebeveiliging onderzoeken bij verzekeraars en pensioenfondsen. Bijzonder aandachtspunt in de editie van dit jaar vormen de aangepaste werkvormen, zoals thuiswerken, die voortkomen uit de maatregelen tegen verspreiding van het coronavirus.
Cyberhygiëne cruciaal
Cruciaal in de bestrijding van cybercrime blijft voor financiële instellingen de cyberhygiëne. De basis van cyberweerbaarheid ligt nog steeds bij het bepalen en implementeren van de interne standaarden bij financiële instellingen om de impact van kwaadaardige software te beperken. Over het algemeen hebben financiële instellingen hiervoor de instrumenten in huis, maar er kan meer gedaan worden op het gebied van preventie. Zo wordt de uitfasering van verouderde software nog wel eens over het hoofd gezien. Als er applicaties worden gebruikt die niet meer worden ondersteund door leveranciers, zijn zij kwetsbaar voor cyber- en continuïteitsdreigingen zoals door ransomware aanvallen. Een ander voorbeeld is dat soms achterstanden kunnen ontstaan bij het wegwerken van kwetsbaarheden. Zo komt uit het DNB-onderzoek naar voren dat 28% van kritische 'patches',
Phishing meest gebruikte techniek
Verder blijkt dat 'phishing' de meest gebruikte aanvalstechniek is bij incidenten vanuit het perspectief van informatiebeveiliging. Bij 'spear phishing', het hengelen naar de vertrouwelijke gegevens van specifieke personen bij een instelling, wordt steeds vaker gebruik gemaakt van de verkoop van persoonlijke data. Soms is deze data illegaal gelekt uit een bedrijf, vaak zijn de gegevens gewoon legaal online beschikbaar, uit onder andere databases van bedrijven, sociale netwerken en websites. Deze informatie wordt gebruikt in combinatie met 'social engineering': de werkwijze om mensen te manipuleren om persoonlijke en gevoelige informatie over hun werkgever af te staan.
Daarbij komt het steeds vaker voor dat goedwillende medewerkers worden gemanipuleerd door criminele partijen, die zich voordoen als collega's van leidinggevenden, om ongewild gegevens te verstrekken of toegang te geven tot systemen. CEO fraude is hier een bekend voorbeeld van. Hierbij geeft een medewerker gehoor aan een verzoek van de CEO om bijvoorbeeld een bedrag over te maken, terwijl dit verzoek niet echt van de CEO komt.
Thuiswerken brengt nieuwe risico's met zich mee
Relevant voor de huidige periode van thuiswerken is dat er nieuwe risico's ontstaan door het werken met mogelijke kwetsbare VPN-verbindingen, laptops en mobiele telefoons. Dit loopt samen met de reeds bestaande trend van mobieler werken zoals in de trein of op openbare locaties en bij klanten. Hierdoor neemt ook het risico van verlies, waardoor kwetsbare VPN verbindingen toegankelijker worden wanneer de apparaten onvoldoende beveiligd zijn.
Blijf zelf in controle bij uitbestedingen
Financiële instellingen zijn mogelijk kwetsbaar via partijen werkzaamheden zijn uitbesteed en die toegang hebben tot of die behoren tot hun (kern-) infrastructuur. Hierbij kan gedacht worden aan dienstverleners als cloud-, infrastructuur- en datacenteropslag, callcenters, betalingssystemen en werkplek. Als een klein aantal dienstverleners werkt voor een groot aantal financiële instellingen, kan bijvoorbeeld een concentratierisico ontstaan omdat met een hack (inbraak) bij één dienstverlener meteen bij meerdere financiële instellingen naar binnen kan worden gekeken. De beheersing door de financiële instellingen van hun uitbestedingen blijft ook in dit opzicht van groot belang.
'Bewustwording' moet medewerkers scherp houden
Het in kaart brengen van de praktische dreigingen waaraan instellingen kunnen blootstaan, is een belangrijke eerste stap in de bestrijding van cybercrime. Instellingen maken een beeld van de dreigingen die voor hun relevante zijn en stellen een pakket aan beheersmaatregelen op. Daarbij gaat het om beheersmaatregelen die zien op bewustzijnsprogramma's om medewerkers te maken op het oplettend omgaan met apparaten en gevoelige informatie. Maar ook maatregelen als goede toegangsbeveiliging, logging en security monitoring en andere tools die helpen om te voorkomen dat cybercriminelen het netwerk kunnen voorkomen of niet gedetecteerd worden.
Ethisch hacken om beheersmaatregelen te testen
Steeds meer beheersmaatregelen richten zich op het tijdig opsporen met detectietools of er ongewenste partijen al in het netwerk zijn en indien dat het geval is, op de vraag hoe daar mee om gegaan wordt. Om de werking van de beheersmaatregelen te testen, laten financiële instellingen zich ook 'ethisch hacken'.
De meest uitgebreide vorm van testen is Threat Intelligence Based Ethical Red Teaming framework (TIBER-NL), dat in 2017 voor het eerst in samenwerking met DNB in Nederland wordt uitgebracht. De ontwikkeling van de documentatie binnen het kader nauwe samenwerking met twee de partijen uit de financiële sector als partijen uit de veiligheidssector.
Doel is om zo de cyberweerbaarheid van de handige financiële instellingen in Nederland te vergroten. In de eerste instantie was alleen de financiële kerninfrastructuur betrokken. Sinds 2018 nemen ook verzekeraars en pensioenfondsen deel aan deze testen.
Dit is een voorbeeld van samenwerking die DNB aanmoedigt. DNB ziet onderlinge samenwerking tussen de instellingen en in sectorverband als essentiële voor de financiële sector om cyberdreigingen het hoofd te kunnen bieden.
