close
Share with your friends

Cybersecurityrisico’s bij pensioenfondsen

Cybersecurityrisico’s bij pensioenfondsen

Door de toenemende integratie van systemen, outsourcing en privacywetgeving worden de eisen die moeten worden gesteld aan de beheersing van cybersecurityrisico’s steeds belangrijker voor pensioenfondsen.

Michiel van Veen

Senior manager

KPMG Nederland

Contact

Gerelateerde content

Two people behind the screen

Tot enkele jaren geleden was IT niet bepaald een onderwerp dat de meeste aandacht trok van bestuurders van pensioenfondsen. De roep om meer communicatie met de deelnemers, de verdergaande individualisering in de pensioenregelingen en de portalen met deelnemers en werkgevers, hebben het belang en de afhankelijkheid van een goede informatievoorziening enorm vergroot. Door de toenemende integratie van systemen, outsourcing en privacywetgeving worden de eisen die moeten worden gesteld aan de beheersing van cybersecurityrisico's steeds belangrijker voor pensioenfondsen.

Cybercrime stond het afgelopen jaar met stip op nummer 1 van onderkende risico's door CEO's in het bedrijfsleven. Cyberaanvallen nemen toe in omvang en hevigheid en kennen vele verschijningsvormen.

KPMG ziet de volgende top 5 cybersecurityincidenten bij organisaties.

Figuur 1 -top 5 cybersecurity incidents
Figuur 2- percentueel aandeel van

In het laatste onderzoek van Nationaal Cyber Security Centrum (ministerie van Justitie en Veiligheid) is gebleken dat de digitale dreiging permanent is. Cyberaanvallen zijn winstgevend, eenvoudig uit te voeren en brengen weinig risico's met zich mee voor de aanvallers.

Ook KPMG ziet een exponentiële toename in het aantal cybersecurityincidenten, bijvoorbeeld ransomware in de afgelopen jaren (zie figuur 2). Ook het gemak waarmee medewerkers het slachtoffer van phishing (zie figuur 3) kunnen worden is verontrustend. Organisaties kunnen snel en makkelijk slachtoffer worden van cyberincidenten. Echter, veel organisaties blijken onvoldoende voorbereid om tijdig en effectief te reageren op zulke incidenten.

Figuur 3- kans op klikken 1 of 302 assets

Dit artikel gaat in op de toenemende dreiging van cybersecurityrisico's in de pensioensector en op de stappen die genomen moeten worden om de beheersing van cybersecurityrisico's naar een hoger plan te brengen.

Ontwikkelingen rondom cybersecurityrisico's

Gegeven de recente ontwikkelingen is de beheersing van cybersecurityrisico's niet alleen van belang op het niveau van het bestuur, maar speelt dit een belangrijke rol in de gehele organisatie. KPMG heeft recentelijk bij diverse organisaties Cyber Maturity Assessments uitgevoerd die een bredere invalshoek kennen. De belangrijkste bevindingen daaruit zijn:

  • Organisaties hebben onvoldoende specialistische kennis beschikbaar.
  • Trainingen om awareness te creëren en cultuur te verbeteren zijn beperkt gefaciliteerd.
  • Risk management beperkt zich veelal tot het schrijven van beleidsstukken, maar is nog beperkt geëffectueerd.
  • Er zijn onvoldoende maatregelen genomen om een cyberaanval te detecteren, bedrijfscontinuïteit te garanderen en te reageren op een cyberaanval. Zowel de processen als de technologie hiervoor (bijvoorbeeld SIEM-tooling) ontbreken. Dit wordt ook onvoldoende geoefend.
  • Wet- en regelgeving wordt in acht genomen, maar organisaties hebben moeite om de regels praktisch uitvoerbaar te maken.

Recentelijk heeft DNB onderzoek gedaan naar de beheersing van cybersecurity in de pensioensector. Heel specifiek worden naast onze punten ook de volgende aandachtsgebieden genoemd:

  • Voor de gehele keten geldt dat cybersecurity nog onvoldoende beheerst wordt beheerst. Inzicht in en beheersing van beveiligingsrisico's zijn beperkt in de gehele informatieketen (bijvoorbeeld bij cloudoplossingen). De complexiteit neemt toe naarmate er meer schakels in de keten betrokken zijn.
  • Het dreigingsbeeld verandert snel door toename van de cybersecurityrisico's; dit draagt bij aan de noodzaak tot samenwerking.

DNB geeft ook aan dat in turbulente tijden 'in control' blijven lastiger is dan in een meer stabiele situatie. DNB was van plan om de huidige vereisten aan cybersecurity-eisen sterk op te schroeven, maar heeft uiteindelijk de vier belangrijkste extra cyberbeheersdoelstellingen toegevoegd aan de bestaande 54 CoBIT-beheersdoelstellingen.

De pensioensector worstelt er in algemene zin mee om aan de eisen van cybersecurity te voldoen en vervolgens op dat niveau te blijven. In de bestuurskamer zijn dergelijke ontwikkelingen veelal ongrijpbaar. Daarnaast zijn de kosten die gemoeid zijn met het inspelen op nieuwe technologische bedreigingen hoog. Maar niets doen is geen optie voor pensioenfondsen en hun uitvoerders, want de risico's nemen sterk toe.

In onze visie dient er een realistische balans te zijn tussen preventie-, detectie- en responsemaatregelen, gericht op de belangrijkste applicaties en bijbehorende infrastructuur (zogenaamde kroonjuwelen) in een organisatie. Organisaties moeten risicogebaseerd de juiste keuzes maken uit alle mogelijke maatregelen, om snel en efficiënt te kunnen reageren op cyberaanvallen en continuïteit te waarborgen. Hoe kun je als fonds of uitvoerder ervoor zorgen dat de cybersecurityrisico's binnen de risicotolerantiegrenzen blijven?

Preventie, detectie en response

Organisaties lopen inherent achter op de laatste ontwikkelingen in het cybersecuritydomein. Hackers ontdekken steeds nieuwe kwetsbaarheden in IT-componenten. De IT-componenten kunnen niet vooraf worden beschermd tegen deze nieuwe kwetsbaarheden. Preventiemaatregelen alleen zijn dus onvoldoende voor een effectieve bescherming.

Daarom is het nodig om aanvullend de detectie van incidenten in te richten, inclusief maatregelen om in te grijpen en de gevolgschade te beperken. Organisaties richten daarom security & operations centers (SOC) in met bijbehorende Security Identity and Event Monitoring (SIEM)-tooling. Om de effectiviteit van de maatregelen te testen, voeren zij periodieke testen uit (zogeheten red-teaming). Red-teaming is als een brandweeroefening. Op basis van de belangrijkste dreigingsscenario's proberen 'goede' hackers de zogeheten kroonjuwelen (belangrijkste systemen en gegevens) te benaderen (stelen of manipuleren) zonder gedetecteerd te worden. Daarmee simuleren zij een echte inbraak. Om de simulatie van detectie en response zo echt mogelijk te laten zijn, wordt de organisatie – op een paar personen na – van tevoren niet ingelicht over deze test. De uitkomsten laten zien in welke mate de organisatie in staat is dergelijke scenario's te detecteren en of de daaropvolgende response tijdig en effectief is. Deze uitkomsten worden vervolgens gebruikt om de detectie- en responsemaatregelen verder te verbeteren.

Hebt u voldoende gedaan op het moment dat u deze maatregelen heeft geïmplementeerd? Preventie en detectie in de bestaande IT-omgeving kan nog steeds leiden tot 'brandjes blussen' door (veel) aanwezige kwetsbaarheden. Om cybersecurityrisico's op langere termijn verder te reduceren en de kosten daarvan omlaag te brengen is het belangrijk om het 'security by design'-principe toe te passen.

Security by design

Security by design betekent dat bij alle IT-aanpassingen in de ontwerpfase de focus ligt op de beheersing en beveiliging van nieuwe applicaties, infrastructuur en bijbehorende processen en dat deze daarbij expliciet onderdeel zijn van alle veranderprocessen en systeemontwikkelingsprocessen. Hierbij helpen de eisen van DNB inzake het voldoen aan COBIT level 3 (en soms 4). Voor veel pensioenfondsen (maar ook financiële instellingen) is het rekening houden met security by design in de ontwerpfase niet iets dat vanzelf gaat. De focus bij de implementatie van nieuwe producten, processen en IT-applicaties ligt veelal op de primaire functionaliteit en niet op beheersingsfunctionaliteit of (technische) beveiliging. Als pas laat in het ontwikkelproces (of zelfs achteraf) deze maatregelen alsnog worden geïmplementeerd, zijn de kosten daarvan gestegen met een factor 100. In de tussentijd zijn de risico's op een succesvolle cyberaanval vele malen groter.

Wat nu te doen?

Cyberaanvallen zullen de komende jaren verder toenemen door de digitalisering en integratie van de samenleving. Een gestructureerde aanpak, gebaseerd op een gedegen risicoanalyse met een mix aan preventie-, detectie- en responsemaatregelen, is een must, aangezien de complexiteit bij veel uitvoerders groot is met veel legacysystemen met een hoog inherent cybersecurityrisico. Om uit de situatie te komen dat achteraf omvangrijke tekortkomingen worden gesignaleerd en de organisatie in de tussentijd veel risico loopt is het gewenst om 'security by design'-principes te hanteren in alle fasen van IT-strategie, systeemontwikkeling tot operationele bedrijfsvoering.

Daar is nu het juiste moment voor. Veel pensioenuitvoerders staan aan de vooravond van of zijn reeds begonnen met omvangrijke aanpassingen in hun applicatielandschap, infrastructuur en outsourcing (cloud), hiertoe gedwongen door veranderingen in de pensioenregelingen en de toenemende communicatie met de deelnemers. Nu er zo veel in de IT-architectuur gaat veranderen is het in alle changeprocessen en ontwikkelmethodieken verankeren van het 'security by design'-principe gewenst om ook in de toekomst de beveiligingsrisico's te beheersen, aan de DNB-beveiligingsvereisten te voldoen en de operationele processen beheersbaar en tegen aanvaardbare kosten te kunnen uitvoeren.

Denk hierbij aan:

  • IT risicoanalyse. Maak cyber onderdeel van uw IT-risico-assessments. Het fonds heeft hier een eigen verantwoordelijkheid. Niet alleen in een bestaande situatie, maar ook bij omvangrijke vernieuwingen in het IT-landschap. Focus op de applicaties en bijbehorende infrastructuur die het meest kritisch zijn voor uw bedrijfsvoering (de zogenaamde kroonjuwelen). Scenario's van mogelijke aanvallen zijn een goed startpunt voor de risicoanalyse. Het implementeren van threat management helpt hierbij om actief nieuwe cybersecurityrisico's te detecteren.
  • Kennis. Investeer in deskundigheid op het gebied van cyber, bij het fonds zelf maar ook bij de uitvoerders. Hierbij kunt u denken aan het inhuren van cyberexpertise, aantrekken van een security officer en het aanbieden van bewustwordingstrainingen aan uw medewerkers binnen en buiten de IT-afdelingen.
  • Systeemontwikkeling. De trend in systeemontwikkeling is Agile. Waar de traditionele ontwikkelmethodieken een duidelijke functiescheiding hebben en supervisie kennen, is dit voor Agile juist moeilijker doordat de teams autonoom zijn. Teams dienen verantwoordelijk te zijn voor het volgen van 'security by design'-principes en het leveren van de gewenste functionaliteit. Security by design voor systeemontwikkeling betekent dat het vaststellen van de toepassing daarvan meer aandacht moet hebben. U kunt dan denken aan onafhankelijke softwarereviews door een tweede reviewer, gebruik van de juiste tools, documentatievereisten en logging van alle activiteiten. 
  • Outsourcing. Pensioenfondsen en uitvoerders moeten bij het aangaan van de contracten eisen stellen aan cyberonderwerpen zoals Threat Management, Vulnerability Management, Incident Management en Incident Respons. De zwakste schakel kan bij u problemen veroorzaken. Belangrijk in dezen is het kennen van de keten van serviceproviders en de beheersing van de beveiligingsrisico's in de keten. Dit is noodzakelijk omdat veel serviceproviders op hun beurt weer diensten uitbesteden.

Om kwetsbaarheden en cybersecurityincidenten tijdig te ontdekken en de bewustwording en toepassing van security by design niet te laten verslappen is het noodzakelijk om te investeren in de volgende zaken:

  • Detectie. Investeer in een SOC en SIEM-tooling om tijdig cybersecurityincidenten te detecteren. Rapporteer hierover tijdig aan management om ook trends in cybersecurityincidenten te ontdekken.
  • Response. Definieer maatregelen om bij een cybersecurityincident tijdig en effectief te kunnen acteren en escaleren om de schade van een cyberincident te beperken. Maak cybersecurity een onderdeel van business contingency-plannen.
  • Voer regelmatig penetratietesten uit, of nog beter: laat een red-teaming op basis van scenario's uitvoeren, waardoor u ook een goede indruk krijgt van waar de zwakke plekken in uw infrastructuur en organisatie zich bevinden en of u in staat bent deze tijdig te detecteren en er effectief op te acteren.

Het verheffen van security by design tot een inrichtingsprincipe en het nemen van detectie- en response-maatregelen betekenen een reductie van risico's en schade van cybersecurityincidenten.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)