Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen van en voorbereiden op een cyberaanval en de toegenomen cyberdreiging bij uitbesteding. Financiële instellingen en hun dienstverleners zijn steeds vaker doelwit van cyberaanvallen. De dreiging die uitgaat van cyberrisico’s is hoog en neemt voor banken en betaalinstellingen voortdurend toe. Van banken en betaalinstellingen wordt verwacht dat zij risico’s op het gebied van cyber adequaat beheersen, zodat de dienstverlening aan klanten zo min mogelijk lijdt onder mogelijke cyberaanvallen. Daarom houden DNB en ECB doorlopend toezicht op het gebied van cybersecurity bij deze instellingen. 

In onze Visie op Toezicht hebben we de cyberweerbaarheid van instellingen als één van onze prioriteiten aangemerkt. Van financiële instellingen wordt verwacht dat zij hun beveiliging op orde hebben en zij regelmatig hun eigen cyberweerbaarheid testen. In dit nieuwsbericht leest u wat het actuele beeld is rondom de beheersing van cyberrisico’s binnen de financiële sector, op basis van uitgevraagde self-assessments en andere toezichtonderzoeken. Voor toezicht op banken en betaalinstellingen hanteren wij onder andere de EBA Guideline on ICT and security risk management, die ook de basis vormt voor de verwachtingen in dit bericht.

Cybersecurity is een punt van zorg zowel voor banken en betaalinstellingen zelf als voor toezichthouders. Uit al onze toezichtactiviteiten komen uiteenlopende risico’s naar voren. Hieronder worden de drie gebieden belicht die op dit moment extra aandacht vragen.

De basis cyberhygiëne-maatregelen zijn vaak niet op orde

Hoewel cyberaanvallen in veel gevallen worden afgeslagen, geldt dat een groot deel van de succesvolle cyberaanvallen gebruik maakt van systemen en processen waarvan de basismaatregelen niet volledig op orde zijn. Bijvoorbeeld het gebruik van standaard wachtwoorden of onveilige configuraties waardoor systemen rechtstreeks via het internet te benaderen zijn.

Op basis van onze toezichtactiviteiten zien we helaas dat de volwassenheid van de basis cyberhygiëne-maatregelen binnen banken en betaalinstellingen niet toeneemt, maar gelijk blijft of in sommige gevallen zelfs afneemt. In dit nieuwsbericht vragen we daarom extra aandacht voor drie essentiële basisprocessen met bijbehorende maatregelen voor banken en betaalinstellingen.

Het eerste proces waarin we zien dat maatregelen vaak niet op orde zijn betreft Vulnerability & Patch Management. Voor banken en betaalinstellingen is het tijdig updaten en patchen van systemen van belang om impact op de ICT-dienstverlening tot een minimum te beperken. Door updates en patches tijdig uit te voeren worden bekende beveiligingslekken opgelost en wordt de kans op het uitbuiten hiervan verkleind. Veel banken en betaalinstellingen slagen erin om kritieke updates en patches in een rap tempo uit te voeren. We zien echter ook dat een groot aantal banken en betaalinstellingen langer dan twee weken nodig heeft om deze te implementeren nadat deze zijn uitgebracht.

Het tweede proces waar we veelvuldig tekortkomingen zien is Identity & Access Management (IAM). De volwassenheid is vaak nog onvoldoende en met enige regelmaat zien we dat de IAM-beheersmaatregelen nog niet effectief zijn geïmplementeerd. IAM is een belangrijk proces dat zich richt op zowel het voorkomen als het beperken van schade. Bijvoorbeeld wanneer er sprake is van ongeautoriseerde toegang tot het netwerk. In zo’n geval heeft een aanvaller niet direct toegang tot alle kritische systemen.

Tot slot zien we nog te vaak dat kritische processen draaien op (bijna) End-Of-Life (EOL) systemen. Wanneer kwetsbaarheden bekend worden voor systemen waarvoor geen ondersteuning meer beschikbaar is, kan een instelling geen gebruik maken van de expertise van de leverancier. Het kost dan veel meer tijd om een oplossing te vinden, waardoor een instelling een verhoogd risico loopt. Het risico wordt nog groter wanneer de betreffende EOL-systemen verbonden zijn met het internet.

Meer testen en een betere voorbereiding op cyberaanvallen zijn noodzakelijk

Om zo goed mogelijk voorbereid te zijn op cyberaanvallen moeten banken en betaalinstellingen hun meest kritische systemen tenminste jaarlijks testen op beveiliging. In onze onderzoeken zien we dit onder andere terug doordat bijna alle banken en betaalinstellingen beveiligingstesten uitvoeren, zoals bijvoorbeeld red teaming, penetratietesten of beveiligingsscans. Alleen zijn deze testen relatief beperkt in frequentie en niet alle systemen worden getest. Op dit gebied zien we dus ruimte voor verbetering.

Door de stijging van het aantal cyberaanvallen is het voor financiële instellingen al langer niet meer de vraag of zij succesvol aangevallen worden, maar wanneer. Daarom is het voor instellingen essentieel om zelf cyberaanvallen te simuleren, om zo de securitymaatregelen te testen en te kijken hoe wordt gereageerd op het moment dat een aanval zich voordoet. Testen is van belang voor het opbouwen van ervaring en het voorkomen van menselijke fouten tijdens een echte aanval. Daarnaast helpt het uitvoeren van een test om inzicht te krijgen in de activiteiten die nodig zijn om tijdens of na een aanval de gevolgen te beperken of work-arounds in te kunnen zetten. Denk hierbij aan het testen van een crisis- en communicatieplan en testen van back-ups en uitwijkfaciliteiten.

Cyberdreigingen veranderen continu en het is dan ook van belang om periodiek de verschillende typen beveiligingstesten en aanvalsscenario’s uit te voeren. Deze informatie kan gebruikt worden om de actuele sterkte van beveiligingsmaatregelen te evalueren en te verbeteren.

De cyberdreiging via de keten van uitbesteding is toegenomen

Het is belangrijk om als financiële instelling goed zicht te hebben op de beheersing van risico’s in de gehele uitbestedingsketen, omdat een cyberaanval zich doorgaans richt op de zwakste plek in die keten. Nu banken en betaalinstellingen steeds vaker kritieke processen hebben uitbesteed, zijn zij sterk afhankelijk geworden van dienstverleners. De dreiging van cyberaanvallen verplaatst zich daardoor steeds meer naar deze dienstverleners.

We hebben vastgesteld dat de netto blootstelling aan cyberrisico’s via de uitbestedingsketen voor banken en betaalinstellingen is toegenomen. Immers, zowel het cyberdreigingsniveau neemt toe, als het aantal uitbestedingsovereenkomsten en de uitgaven aan uitbestedingen, blijkt uit data van de instellingen. We zien echter geen toename in de volwassenheid van de beheersing van risico’s rondom uitbesteding. Samengevat: het risico stijgt maar de risicobeheersing stijgt niet evenredig mee.

Deze trend was ook al zichtbaar in de DNB IB monitor uit 2021. Hierin kwam naar voren dat niet alle financiële instellingen de juiste risicomanagement-processen hebben ingeregeld rondom hun dienstverleners en dat het in veel gevallen ontbreekt aan een volledig inzicht in de beheersmaatregelen bij deze dienstverleners in de uitbestedingsketen.

Banken en betaalinstellingen moeten op basis van wet- en regelgeving passende maatregelen treffen om cyberrisico’s in de keten voldoende te beheersen. Risico’s kunnen immers niet worden uitbesteed en beheersing hiervan blijft altijd de verantwoordelijkheid van de betreffende instelling. Het is van belang dat een instelling inzicht heeft in de onderlinge afhankelijkheden en dat er expliciete en formele afspraken over informatiebeveiliging in de keten zijn vastgelegd die periodiek worden getoetst.

Cyber als toezichtprioriteit

Uit bovenstaande thema’s kunnen we concluderen dat beheersing van cyberrisico’s binnen banken en betaalinstellingen onverminderd belangrijk blijft om weerstand te kunnen bieden tegen de huidige en toekomstige cyberdreigingen. Eerder heeft DNB via onze Toezicht in beeld-publicatie aangegeven dat cyberrisico’s blijvend hoog op onze toezichtplanning staan. De komende periode zullen we dan ook prioriteit geven aan onderzoeken waarbij we vaststellen of financiële instellingen hun cyberweerbaarheid op orde hebben.