IN GESPREK MET EXPERTS


Pensioenfondsen en cyberveiligheid

Door de toenemende digitalisering, integratie van systemen en aandacht voor privacy, moeten pensioenfondsen steeds hogere eisen stellen aan de beveiliging van informatie(stromen). Cybersecurity is dan ook een belangrijk onderwerp voor pensioenfondsbesturen.

Het beveiligingsniveau van Nederlandse pensioenfondsen is de afgelopen jaren in snel tempo verhoogd. Dit is onder andere af te leiden uit de Informatiebeveiligingsmonitor van DNB. Hieruit valt op te maken dat in de periode 2010-2018 het aantal beveiligingsmaatregelen op voldoende niveau1 is opgelopen van 63% naar 87%. Nederlandse pensioenfondsen lijken zich daarmee te kunnen meten met andere financiële instellingen in Europa. Dit neemt niet weg dat digitale criminaliteit zich ook in snel tempo ontwikkelt. Dit vergt steeds hogere en andere manieren van informatiebeveiliging van pensioenfondsen. Zo benadrukt DNB in de laatste beveiligingsmonitor dat informatiebeveiliging niet alleen een kwestie is van preventie, maar ook van samenwerking, detectie en reactie. Het onderwerp cybersecurity vereist veel kennis en geld. Een aantal (grotere) pensioenorganisaties heeft daarom een gezamenlijk Information Sharing and Analysis Centre (ISAC) ingesteld. In een dergelijk ISAC wordt een vertrouwde omgeving gecreëerd met organisaties uit dezelfde sector om gevoelige en vertrouwelijke informatie over incidenten, dreigingen, kwetsbaarheden, maatregelen leerpunten op het gebied van digitale veiligheid te delen. De Pensioenfederatie onderkent en onderschrijft het grote belang van ‘cyber’. Kennisdeling tussen de leden en hun uitvoeringsorganisaties wordt dan ook gestimuleerd. Tijdens de online ledenbijeenkomst ‘Digitaal veilig pensioenfonds’ die de Pensioenfederatie op 6 oktober organiseerde en die 160 kijkers trok, gingen pensioenfondsbestuurders in gesprek met professionals op het gebied van cybersecurity. De experts zetten hun voornaamste aanbevelingen voor het magazine op schrift.

1 54 (tegenwoordig 58) door DNB gedefinieerde controls dienen “beheerst en meetbaar” te zijn.

Sanne Maasakkers,

Cyber Security Expert bij Fox-IT vertelt over een eenvoudig en daardoor gevaarlijk voorbeeld van een hack. “Stel, een partij met kwaad in de zin maakt een emailadres aan dat lijkt op dat van jouw organisatie. Iedereen die een typefout maakt, ookinterne medewerkers, stuurt zijn mails dan naar die mailbox, in plaats van naar jouw pensioenfonds. Gezien de sensitiviteit van informatie die worden gedeeld binnen en aan pensioenfondsen, is dit best een risico. Beveiligingsrisico’s zijn te duiden in termen van dreiging, kwetsbaarheid en impact. Er zijn veel dreigingen te noemen. Van kwajongens tot staten. Van (ex-)medewerkers tot criminelen. Allemaal kunnen ze er belang bij hebben om gegevens te stelen of het pensioenfonds in een kwaad daglicht te zetten. De kwetsbaarheid van het pensioenfonds is daarbij niet alleen afhankelijk van hoe de beveiliging binnen de gehele keten van dienstverlening is georganiseerd, maar ook van het karakter van het pensioenfonds zelf. Denk hierbij ook aan je eigen rol als IT-gebruiker: het doorsturen van de gegevens naar verkeerde personen, gebruik maken van openbare wifi-netwerken, laptop ergens onbeheerd achterlaten, je eigen social media accounts niet goed beschermen…met reputatieschade als gevolg. Voorkomen is dus erg belangrijk, en dat bereik je met awareness trainingen voor medewerkers en het regelmatig testen van systemen. Maar: volledig voorkomen is niet mogelijk. Daarom zijn detectie en respons zo belangrijk.”

Dirk de Hen,

Partner Forensisch Onderzoek bij BDO: “Zorg dat de cyber incident response georganiseerd is! Van recente incidenten leren we dat organisaties zich niet moeten afvragen óf een beveiligingsincident gaat plaatsvinden, maar wanneer. Terwijl pensioenfondsen alles altijd op orde moeten hebben, hoeft een aanvaller het maar één keer goed te hebben om aanzienlijke schade te veroorzaken. Pensioenfondsen moeten hun aandacht richten op de voorbereiding van kritieke incidenten, aangezien het garanderen van preventie nauwelijks mogelijk is, laat staan haalbaar. De manier waarop een pensioenfonds omgaat met een aanval heeft direct gevolgen op de totale kosten van een incident. In sommige gevallen kunnen soortgelijke incidenten zelfs mogelijkheden bieden om waarde te creëren voor de stakeholders. Dit is alleen in het geval als het pensioenfonds de incidenten snel en adequaat afhandelt. Om dit voor elkaar te krijgen, raden wij pensioenfondsen aan om een ‘incident response plan’ op te stellen voordat een incident zich voordoet. Door dit te doen, wordt het risico op imago-en financiële schade verminderd, wordt de business continuïteit verbeterd en kunnen de bedrijfsactiviteiten tegelijkertijd voldoen aan de AVG-voorschriften. Richt je dus op de voorbereiding van kritieke incidenten, aangezien het garanderen van 100% succes in preventie nauwelijks mogelijk is, laat staan haalbaar. Cyber incident response is het vangnet. En vergeet niet: cybersecurity is niet alleen de verantwoordelijkheid van IT. Een incident heeft effect op de gehele organisatie. Het is daarom noodzakelijk dat het incident response team uit vertegenwoordigers bestaat die uit alle afdelingen binnen de organisatie komen.”

Gerrit Liefers

van Willis Towers Watson: “Digitale veiligheid bij uitbestedingspartijen is niet alleen afhankelijk van een goede IT-infrastructuur. Digitale veiligheid bij uitbestedingspartijen hoort dan ook integraal onderdeel uit te maken van de uitbestedingscyclus. Het start, ook bij IT, met de formulering van het beleid en de doelstellingen. Benoem de risico’s die je doelstellingen kunnen bedreigen en scoor deze op de impact en de kans dat die zich voordoen. Benader dit echter integraal (proces gedreven) en niet sec op IT. Vervolgens kan het bestuur invulling geven aan het besproken proces, wat de volgende stappen kent:

  • Bepaal de gewenste mate van beheersing; deze is mede afhankelijk van je risicobereidheid.
  • Bepaal de overeenkomst en de SLA met de eisen aan IT control framework en de rapportage hierover.
  • Organiseer de doorlopende monitoring en de jaarlijkse evaluatie, waarin ook veranderingen in de omgeving en de organisatie worden meegenomen. Onderdeel daarvan is ook het belang van de beschikbaarheid van de systemen.”

“Zo is de deelnemersadministratie belangrijk, maar die kan er wel een paar uur uitliggen zonder grote gevolgen. De uitkeringsadminstratie is een geval apart; op de dagen dat pensioen moet worden uitgekeerd moet deze absoluut beschikbaar zijn. Het handelssysteem van de vermogensbeheerder is essentieel tijdens de handelsuren; die mag er, tijdens deze uren eigenlijk nooit uitliggen. Dit betekent dat er “zwaardere” beheersingsmaatregelen rondom continuïteit van het handelssysteem en de uitkeringsadministratie getroffen moeten worden dan voor de deelnemersadministratie. Voorbeelden van incidenten zijn DDoS-aanvallen, phishing, ransomware & malware, het gebruik van gestolen inloggegevens en het misbruik maken van te ruime rechten. Je ziet, bij IT gaat het dus niet alleen om de techniek, maar ook om de mensen, de middelen en de processen.”

Jacco Jacobs,

Afdelingshoofd Expertisecentrum Operationele & IT-risico’s bij DNB: 'DNB heeft vorig jaar het Toetsingskader Informatiebeveiliging in samenwerking met de sector geactualiseerd en omgevormd naar de ‘Q&A en Good Practice IB’. De rol van de bestuurder wordt hierin specifiek benoemd en het sluit aan op het voormalige ‘Q&A Toetsingskader Informatiebeveiliging voor DNB onderzoek’. De Good Practice IB is toegankelijker gemaakt voor bestuurders en beleidsbepalers en geeft meer concrete voorbeelden. Ook zijn er vier nieuwe beheersingsmaatregelen toegevoegd. Zo is er aandacht voor het actief bevorderen van bewustzijn voor cyberrisico’s bij medewerkers. En er wordt ingegaan op ‘vulnerability management’: het actief monitoren en oplossen van kwetsbaarheden in de IT-infrastructuur en IT-applicaties. “Belangrijk is ook dat applicaties tijdig worden onderhouden en uitgefaseerd wanneer ze niet langer toekomstvast zijn (bijvoorbeeld bij einde van de supporttermijn van leveranciers). Zeker nu veel mensen thuiswerken, kan dit wel eens onder druk komen te staan, met alle risico’s van dien. Tot slot is het testen van de weerbaarheid van de instelling tegen cyberdreigingen belangrijk. Wat ik wil benadrukken is dit: het is van groot belang dat bestuurders voldoende deskundig zijn op dit onderwerp en in control zijn. Dat ze bij uitbesteden niet de verantwoordelijkheid uit handen geven, maar zelf aan het roer zijn en weten wat er speelt. Ook in alle schakels in de uitbestedingsketen, die soms wel zeven lagen diep kan zijn. Preventie alleen is niet genoeg. De focus verschuift naar samenwerking, detectie en response.'