Informatiebeveiliging blijft cruciaal

Uitgave: Pensioen Bestuur & Management (PBM) nummer 3 2019

JACCO JACOBS, HENK VISSER EN NOOR WITTEVEEN, DNB Rubriek: Nieuwe ontwikkelingen
Geplaatst op 26-06-2019
Informatiebeveiliging blijft cruciaal Sinds een aantal jaren onderzoekt DNB de kwaliteit van informatiebeveiliging en cybersecurity binnen de financiële sector. Onderdeel van deze onderzoeken zijn periodieke self-assessments die bij instellingen die onder toezicht van DNB staan, worden uitgezet. Als handvat voor het invullen van deze self-assessments kunnen instellingen in de ‘Q&A Toetsingskader Informatiebeveiliging voor DNB-onderzoek’ lezen waar DNB op let.

hv

nw

[kader]
Wat verstaat DNB onder informatiebeveiliging
Onder informatiebeveiliging wordt het geheel van preventieve, detectieve, repressieve en correctieve maatregelen verstaan. Alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een instelling garanderen. Het doel hierbij is de continuïteit en betrouwbaarheid van de IT, informatie en informatievoorziening te waarborgen en de gevolgen van eventuele beveiligingsincidenten tot een acceptabel en door de instelling vooraf bepaald niveau te beperken. Hierbij is met name van belang dat de procedures en (technische) maatregelen, die vormgeven aan informatiebeveiliging, passen bij de aard en doelstellingen van de instelling. DNB ziet cybersecurity als een integraal onderdeel van informatiebeveiliging.
[einde kader]

Deze Q&A is kortgeleden geactualiseerd en aangepast aan de eisen van deze tijd. Dit artikel geeft inzicht in de bevindingen op het gebied van informatiebeveiliging in 2018 en de wijzigingen in het toetsingskader die in 2019 van toepassing zijn.

Bevindingen uit informatiebeveiligingsonderzoeken 2018
Uit de informatiebeveiligingsonderzoeken die DNB in 2018 heeft uitgevoerd bij onder meer pensioenfondsen is een aantal bevindingen naar voren gekomen die als volgt kunnen worden samengevat.
1. Maatregelen ten aanzien van informatiebeveiliging op het gestelde volwassenheidsniveau brengen en houden vereist voortdurend aandacht van pensioenfondsbestuurders.
2. Pensioenfondsen besteden nog onvoldoende expliciet aandacht aan hun weerbaarheid tegen cyberdreigingen.
3. Er is onvoldoende inzicht bij pensioenfondsen voor de risico’s en de effectiviteit van maatregelen op het gebied van informatiebeveiliging in de gehele uitbestedingsketen.

Daarnaast ziet DNB de afgelopen jaren ook breder in de financiële sector en daarbuiten een toename van potentieel zeer schadelijke cyberdreigingen. DNB ziet een financiële sector die door verschillende vormen van uitbesteding en samenwerkingsverbanden steeds meer in ketens opereert met de daarbij behorende kansen en risico’s voor informatiebeveiliging en cybersecurity. In onderzoeken is DNB verder een groot aantal goede voorbeelden tegen gekomen, die de risico’s voortkomend uit deze trends kunnen mitigeren. Dit alles heeft de aanleiding gevormd om de ‘Q&A Toetsingskader Informatiebeveiliging voor DNB-onderzoek’ te actualiseren.

Wijzigingen vorige toetsingskader
Het toetsingskader is geactualiseerd tot een voor bestuurders, beleidsbepalers en experts toegankelijke Good Practice Informatiebeveiliging. Bij het onderzoeken naar informatiebeveiliging heeft DNB ervaren dat pensioenfondsbestuurders heel verschillend omgaan met het selfassessment. Dit varieert van het uitgebreid doornemen van alle beheersingsmaatregelen aan de bestuurstafel tot het voor een groot deel delegeren aan de experts binnen het fonds of de uitvoeringsorganisatie.
De Good Practice beschrijft nadrukkelijker de rol van de bestuurder in dit onderwerp, die hierin evident is. De Good Practice sluit zoveel mogelijk aan op de reeds bestaande indeling van het voorgaande Toetsingskader Informatiebeveiliging in de door DNB gehanteerde onderzoeken. De 54 controls en de ‘points to consider’ uit het voorgaande kader zijn nu als ‘beheersingsmaatregelen’ meegenomen.
Belangrijk verschil met de vorige versie is dat de directe link met de ‘Cobit-standaarden (Control Objectives for Information and related Technology)’ is losgelaten. Wel zijn de relevante Internationale Standaarden zoals die van Cobit, ISACA, ISO27000 en het NIST Cybersecurity Framework meegenomen.

Er zijn vier nieuwe beheersingsmaatregelen toegevoegd.
1. Employee awareness. Het actief bevorderen van bewustzijn voor cyberrisico’s bij medewerkers. DNB veronderstelt dit zowel bij het fonds als bij de Pensioen Uitvoering Organisatie (PUO) als evident.
2. Vulnerability management. Het actief monitoren en oplossen van kwetsbaarheden van IT-assets (infrastructuur en applicaties) voor cyberrisico’s.
3. Application life cycle management. Borgen dat applicaties tijdig worden onderhouden en uitgefaseerd, opdat het gewenste informatiebeveiligingsniveau niet in gevaar komt.
4. Penetration testing and ethical hacking. Testen van de weerbaarheid tegen cyberrisico’s.

Nieuwe beheersingsmaatregelen
De vier nieuwe beheersingsmaatregelen zien vooral toe op het versterken van de weerbaarheid van de instellingen ten aanzien van cyberdreigingen. Een voorbeeld hiervan is de beheersingsmaatregel ‘penetration testing and ethical hacking’: het testen van de weerbaarheid tegen cyberrisico’s. Onderzoek toont aan dat het (laten) uitvoeren van security testing effectief is om informatiebeveiliging en cyberweerbaarheid van instellingen continu te verbeteren. Een aantal pensioenfondsen heeft aandacht besteed aan het periodiek (laten) uitvoeren van vulnerability scanning en penetratietesten om meer inzicht te krijgen in de potentiële cybersecuritykwetsbaarheden. In voorkomende gevallen eisen fondsen dat derde partijen, aan wie is uitbesteed, dergelijke periodieke penetratietesten en vulnerabilityscanningactiviteiten onderdeel laten uitmaken van assuranceverklaringen. Dit gaat overigens verder dan alleen de eventuele uitvoeringsorganisatie. Onder-uitbestedingen (als andere serviceproviders) worden hierin ook betrokken.

dnbm

Door het uitvoeren van deze testen, verkrijgt het fonds meer inzicht in het beheersen van de actuele kwetsbaarheden op het gebied van informatiebeveiliging. Er is daarom een nieuw element, ‘testing’, toegevoegd aan de Good Practice, met handvatten en concrete voorbeelden om het (laten) uitvoeren van security testing vorm te kunnen geven. Bijvoorbeeld dat het pensioenfonds en/of PUO verschillende typen beveiligingstesten kan of laat uitvoeren. Denk hierbij aan de genoemde penetratietesten, waarbij wordt onderzocht of daadwerkelijk kan worden ingebroken in IT-systemen. Maar ook redteaming waarbij (naast een gecontroleerde inbraak in systemen) ook wordt gekeken naar de fysieke beveiliging en of de organisatie effectief reageert op inbraken: het menselijk handelen in relatie tot informatiebeveiliging is hierin een belangrijk onderdeel.

Rol van het bestuur
Een andere belangrijke wijziging is dat de beheersmaatregelen zijn geactualiseerd. Hierbij is de strekking van de beheersingsmaatregelen ongewijzigd gebleven, maar zijn de toelichtingen verder uitgewerkt. De voorbeelden geven concrete en geactualiseerde handvatten.
Zoals gezegd ziet DNB dat de financiële sector steeds meer in ketens opereert door verschillende vormen van uitbesteding en samenwerkingsverbanden.
Pensioenfondsen hebben vaak onvoldoende inzicht in de effectiviteit van beveiligingsmaatregelen bij partijen waaraan kritische processen zijn uitbesteed. Daar waar individuele partijen dit inzicht wel hebben, zijn in voorkomende gevallen de onderlinge afhankelijkheden tussen partijen niet bekend. Met als gevolg dat partijen in de gehele keten risico kunnen lopen: de keten is zo sterk als de zwakste schakel. Dit heeft ertoe geleid dat alle bestaande beheersingsmaatregelen zijn geactualiseerd met extra aandacht voor informatiebeveiliging bij (de keten van) uitbesteding.

In de Good Practice wordt verder voor de rol van het bestuur bij de implementatie van de beheersmaatregelen een aantal handvatten gegeven. Zo wordt in de beheersingsmaatregel ‘Penetration testing and ethical hacking’ het voorbeeld genoemd dat het bestuur de uitkomsten van security testing bespreekt binnen de bestuursvergadering en met de uitbestedingsrelaties op verbetering stuurt.

Wat verwacht DNB
DNB veronderstelt dat instellingen moeten voldoen aan de wettelijke eisen ten aanzien van de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking. Aan de hand van een risicoanalyse moeten ze beheersmaatregelen treffen op het gebied van informatiebeveiliging. Deze beheersmaatregelen zijn daarbij zowel gericht op technologische oplossingen (Technology), als op het gebied van Governance, Organisation, People, Processes, Facilities, Outsourcing, Testing en de Riskmanagement-cycle.

In de Good Practice is beschreven hoe DNB de regelgeving opvat die betrekking heeft op ‘het op een integere en beheerste wijze’ inrichten van informatiebeveiliging en cybersecurity. Het is aan de instellingen zelf om een beheersingsraamwerk te implementeren dat past bij de aard en omvang van de instelling. Voor een grote instelling zullen de activiteiten voortkomend uit de beheersmaatregelen die zij toepassen omvangrijker zijn dan voor een kleinere instelling. De Good Practice sluit niet uit dat voor een instelling een afwijkende, mogelijk strengere, toepassing van de onderliggende regels geboden is, dan wel dat onderdelen van de Good Practice niet relevant zijn voor betreffende instelling.

Vooruitblik onderzoeken DNB
Dit jaar wordt bij een geselecteerde groep pensioenfondsen een informatiebeveiligingsonderzoek uitgevoerd op basis van de geactualiseerde Good Practice Informatiebeveiliging. Verder wordt rond de Good Practice samen met de sectoren invulling gegeven aan een ‘feedback loop’, waarbij instellingen input kunnen leveren om de voorbeelden actueel te houden. Medio 2020 vindt met diverse stakeholders uit de sector een evaluatie plaats aan de hand waarvan de Q&A en de Good Practice kunnen worden aangepast. Voorts heeft DNB de intentie om jaarlijks een structurele uitvraag te doen bij alle pensioenfondsen om te rapporteren over de volwassenheid van informatiebeveiliging, waarvoor de geactualiseerde Good Practice de basis is.