Weerbaar tegen cyberrisico’s

Uitgave: Pensioen Bestuur & Management (PBM) nummer 3 2018

JACCO JACOBS, AFDELINGSHOOFD TOEZICHT VAN HET EXPERTISECENTRUM OPERATIONELE & IT-RISICO’S DNB, DEREK DIJST EN MARCEL BAVECO, EXPERTISECENTRUM DNB Rubriek: Trends en strategie
Geplaatst op 31-07-2018
Weerbaar tegen cyberrisico’s Pensioenfondsen worden geacht weerbaar en wendbaar te zijn. Tegelijkertijd is de ruimte om te veranderen beperkt vanwege wet- en regelgeving. De onderwerpen waar bestuurders op worden bevraagd, stapelen zich op: pensioenresultaat, communicatie, kosten, duurzaam beleggen, beleggen in Nederland, beheerste uitvoering van de regeling en technologie. Welke lessen uit andere sectoren en uit de wetenschap over verandervermogen kunnen pensioenfondsen helpen uit deze spagaat te komen?

dd

mb

[Kader]
Cyberrisico’s
De beheersing van cyberrisico’s maakt deel uit van informatiebeveiliging. Daarbij onderscheidt cyberrisico zich van andere IT-risico’s doordat er sprake is van kwaadwillende partijen die zich richten op het stelen, verstoren of wijzigen van (klant)data in IT-systemen, die aan het Internet zijn gekoppeld.

Hoe kunnen bestuurders in deze omstandigheden in control blijven? Dit artikel beschrijft een aantal goede voorbeelden die DNB heeft aangetroffen in de sector.

Uitbesteding
Veel pensioenfondsen hebben (delen van) het vermogensbeheer en de pensioenadministratie uitbesteed. De uitbestedingspartijen maken zelf vaak ook gebruik van derde partijen (hierna: serviceproviders genoemd), bijvoorbeeld op het gebied van IT. De keten van begin tot eind bestaat hierdoor uit een groot aantal schakels.

Steeds meer pensioenfondsen maken gebruik van cloud computing, direct of via een pensioenuitvoeringsorganisatie (PUO). De locatie waar de data van pensioenfondsen wordt bewaard is daarmee – in beginsel – minder eenduidig bepaald dan in een situatie waarin van ‘eigen’ datacenters gebruik wordt gemaakt. Zeker wanneer verschillende serviceproviders binnen diverse schakels in de keten data opslaan bij verschillende cloudproviders, wordt het houden van inzicht en overzicht voor een pensioenfonds complex. De zwakste schakel in de keten qua beveiliging kan zorgen dat cyberaanvallen impact hebben op de rest van de keten.

Cyberrisico’s in de keten beheersen
Wat hebben bestuurders van pensioenfondsen gedaan om hun cyberrisco’s in de keten te beheersen? Hieronder beschrijven wij goede voorbeelden die we bij onze onderzoeken in de sector zijn tegengekomen en die andere fondsen kunnen inspireren om de regie op de uitvoering verder in te vullen.

1. Cyberrisico’s staan op de agenda
Weerbaarheid van pensioenfondsen begint met bewustzijn (herkennen en erkennen) van cyberrisico’s. Hoewel veel van de operationele activiteiten door het fonds zijn uitbesteed, moet aandacht van het bestuur centraal staan. In onze onderzoeken zijn we goede voorbeelden tegengekomen van weerbare fondsen. Die fondsen geven een sterke ‘eigen’ invulling aan het uitwerken van een informatiebeveiligingsbeleid al dan niet met behulp van adviseurs. In overleg met de uitvoerders wordt een gedeeld beeld gevormd van de beheersing van cyberrisico’s. Uit het informatiebeveiligingsbeleid van het fonds blijken concrete uitgangspunten ten aanzien van beheersing. Bijvoorbeeld door borging van beveiliging als onderdeel van ontwikkeltrajecten en testtrajecten. Bij de uitvoeringsorganisatie krijgt IT, waaronder ook beheersing van cyberrisico’s valt, voldoende bestuurlijke aandacht. Zo is in de bedrijfsvoering groot bewustzijn dat de processen IT-gedreven zijn. De beheersing van cyberrisico’s maakt deel uit van de IT-strategie en van projectkeuzes. Onderdeel van de keuzes betreft het toekomstbestendig houden van systemen, ook op weerbaarheid van cyberrisico’s.

2. Serviceprovider treft maatregelen
Naast aandacht vanuit management hebben wij goede voorbeelden gezien van serviceproviders die het fonds goed inzicht geven in de geïnventariseerde risico’s op het gebied van informatiebeveiliging (IB) en cyberrisico’s. Die serviceproviders hanteren een gestructureerde aanpak om de risico’s in kaart te brengen en te beheersen. Vragen die ze daarbij stellen zijn of de aanpak en uitkomsten voldoende uitlegbaar zijn voor stakeholders en voor een evaluatie door niet-directbetrokkenen.

Specifiek voor cyberrisico’s is het van belang dat de analyses ingaan op de snelle technologische ontwikkelingen en daaraan gekoppelde (nieuwe) risico’s. De IT wijzigt snel, maar ook de technieken die hackers gebruiken, worden steeds geraffineerder. Voor een fonds is het van belang om te zien dat de serviceprovider gebruikmaakt van scenario’s waarin ook recente incidenten of risicobeelden1 verwerkt zijn. Dat de reeds getroffen maatregelen worden geëvalueerd en of nieuwe maatregelen worden getroffen.
Hierbij moeten ook systemen worden betrokken die niet langer worden onderhouden (legacy). In de uitvoering wordt namelijk nog regelmatig verouderde software en hardware gebruikt. Door het ontbreken of traag doorvoeren van (security) patches neemt de mogelijke kwetsbaarheid toe. Daarnaast blijkt uit onze onderzoeken in 2017 dat security patches die wel beschikbaar zijn, niet altijd binnen de door instellingen gestelde termijnen worden geïmplementeerd.

In de praktijk blijkt dat de getroffen (technische) maatregelen op het gebied van beheersing van cyberrisico’s jaar-op-jaar behoorlijk wijzigen. Daarom volstaat het ook niet om alleen preventieve beheersingsmaatregelen te treffen, maar zijn ook detectieve maatregelen essentieel. Zo wordt gesignaleerd wanneer cyberrisico’s zich hebben gemanifesteerd. Periodieke penetratietesten en zogenaamde ‘red teaming testen’ door ethische hackers geven een beeld of maatregelen volstaan of juist moeten worden versterkt.

3. Zicht op cyberrisico’s leveranciers

Besturen moeten inzicht hebben in de kritische bedrijfsprocessen en belangrijke cyberrisico’s en de wijze waarop deze risico’s worden beheerst door degenen die de processen uitvoeren. Inzicht in de onderliggende ketens is hierbij van groot belang. Een goed voorbeeld is een bestuur dat van de serviceproviders verwacht dat die inzicht kunnen geven in ieder onderdeel van de keten. Dit zal immers beheerst moeten worden volgens de uitgangspunten en randvoorwaarden van het bestuur, bijvoorbeeld terug te vinden in IT- en risicobeleid, de uitbestedingscontracten en overige afspraken zoals SLA’s en incidentenregelingen.

4. Effectieve cyberbeheersmaatregelen
In onze onderzoeken zagen wij besturen die ervoor zorgen dat door de gehele keten verantwoording wordt afgelegd. Dit zijn goede voorbeelden omdat iedere schakel een bijdrage levert aan de beheersing van de gehele keten. Dit zal enerzijds bestaan uit rapportages door de uitvoerende functies zelf die uiteindelijk worden geaggregeerd naar een rapportage voor bestuur. Aanvullend hierop zijn ook periodieke rapportages van belang van toetsende functies zoals riskmanagement en/of audit. Aandachtspunten hierbij zijn of de uitkomsten van deze toetsende onderzoeken ook beschikbaar zijn voor het fonds. Of ze aansluiten op de uitbestede processen, risico’s van het fonds en of verbeteracties voldoende worden geadresseerd door de serviceprovider. Fondsen stellen minimaal jaarlijks een analyse op waarbij de risico’s in de keten worden geanalyseerd. Bij het ontbreken van onafhankelijke rapportages op essentiële onderdelen van de keten zal het fonds op andere manieren voldoende onafhankelijke zekerheid willen krijgen (bijvoorbeeld eigen audits).

5. Strategie serviceprovider
Iedere instelling kan geconfronteerd worden met een serieus cyberincident. Instellingen moeten ervan uitgaan dat de beheersmaatregelen om te voorkomen dat hackers toegang zullen krijgen tot vertrouwelijke systemen opeens niet voldoende blijken te zijn. De serviceprovider zal dan ook naast de maatregelen ter preventie en detectie ook procedures of afspraken moet maken om iemand die onrechtmatig ‘binnen is’, weer op een effectieve manier uit de systemen te krijgen. Het doel hiervan is om zo spoedig mogelijk naar de business as usual situatie terug te keren (cyber resilience). Werken met scenario’s kan helpen, zo zagen wij in de praktijk. Centrale vraag is of er procedures en concrete afspraken zijn (bijvoorbeeld inschakelen van cyberspecialisten). En of hierop periodiek getest wordt.

Conclusie
Pensioenfondsen besteden veel uit. De keten van serviceproviders wordt langer en complexer. Pensioenfondsen kunnen grip houden op cyberrisico’s in de keten door de eisen daarin door te voeren. De verschillende serviceproviders in de keten moeten de risico’s beheersen. Zij leggen hierover verantwoording af aan het pensioenfonds. Dit zal geaggregeerd op de agenda kunnen komen van het fondsbestuur. Het beheersen van de keten vergt van het fondsbestuur meer kennis en tijd door de toegenomen complexiteit hierbinnen.

DNB besteedt de komende periode meer aandacht aan de beheersing van cyberrisico’s binnen de financiële sector. Dit doen wij door individuele onderzoeken te doen bij instellingen. Daarnaast willen wij in samenwerking met de sector komen tot een specifiek beheersingskader voor cyberrisico’s.

[Kader]
Handige links
- DNB Nieuwsbrief mbt IB/Cybersecurity februari 2018): https://www.dnb.nl/nieuws/dnb-nieuwsbrieven/nieuwsbrief-pensioenen/NieuwsbriefPensioenenfebruari2018/index.jsp
- DNB IB toetsingskader: http://www.toezicht.dnb.nl/3/50-203304.jsp
- DNB guidance uitbesteding door pensioenfondsen:http://www.toezicht.dnb.nl/2/6/50-236728.jsp
- DNB Cloud computing: http://www.toezicht.dnb.nl/2/5/50-230433.jsp

[Kader]
Actuele cyberdreigingen
In 2017 waren er wereldwijde ontwrichtende aanvallen met gijzelsoftware (ransomware) zoals Wannacry en Petya. Ook in Nederland zijn bedrijven hiervan het slachtoffer geworden.

Begin 2018 zijn banken en ook overheidsinstellingen zoals de Belastingdienst en DigiD getroffen door zware DDoS-aanvallen. Hierdoor liep de dienstverlening gevaar. Aangezien veel pensioenfondsen gebruikmaken van DigiD voor hun webportalen (de mijn-omgevingen) werd ook deze dienstverlening verstoord.

De laatste tijd plaatsen hackers vaak kwaadaardige software op de webomgevingen van organisaties. Deze software misbruikt de capaciteit van de computers, bijvoorbeeld om cryptocurrencies te genereren (cryptojacking).


1 Zie bijvoorbeeld: “Cybersecuritybeeld Nederland 2017” Nationaal Cybersecurity Centrum, juni 2017, www.ncsc.nl