Ga naar content
Zoek op onderwerpen, blogs, diensten etc.
Secure. Kennis Nóg meer grip op risico’s: wat is de volgende cybersecurity-stap voor de financiële sector?

Nóg meer grip op risico’s: wat is de volgende cybersecurity-stap voor de financiële sector?

Kennis
Dennis de Hoog
29-9-2023

Ook in de financiële sector vormen scherpe kwaadwillige actoren steeds vaker een belangrijk doelwit. Gelukkig zijn de meeste financiële instellingen zich hiervan goed bewust. In het algemeen is het van cruciaal belang dat financiële instellingen niet te veel risico's nemen. Veilig zijn en veilig blijven is dan ook van essentieel belang. Veiligheid zit als het ware in hun DNA - zelfs op het bestuursniveau is er een sterke urgentie om (cyber)risico's tot een minimum te beperken. In tegenstelling tot sommige andere sectoren beschikt deze sector ook nog eens over veel kennis, moderne technologieën en 'vijfsterren' beveiligingsprofessionals.

Financiële instellingen en het toezicht vanuit De Nederlandsche Bank (DNB) zijn al jaren onlosmakelijk met elkaar verbonden. DNB denkt zelfs actief mee over informatiebeveiliging en doet concrete suggesties voor het nemen van beveiligingsmaatregelen. Dit staat bekend als 'Good Practice Informatiebeveiliging'. Als je hier niet aan voldoet en dus niet voldoet aan de normen, zijn de gevolgen serieus. In het ergste geval kan je zelfs je banklicentie verliezen. Maar maak je je daar zorgen over? Je hebt immers alles goed geregeld, toch?

Optimalisatieslag: volgens onderzoek toch (brood)nodig

In 2022 heeft DNB een onderzoek uitgevoerd waaruit verrassende resultaten naar voren kwamen. Het bleek dat financiële instellingen hun basismaatregelen toch niet voldoende op orde hadden, de actieve monitoring van cyberrisico's binnen hun IT-omgeving kon beter, en financiële organisaties oefenden hun handelen in geval van een cyberaanval onvoldoende.

Verbijsterend? Zeker wel. Hoewel financiële instellingen in vergelijking met organisaties in andere sectoren de basis lijken te hebben gelegd, lijkt een optimalisatieslag waarschijnlijk toch geen overbodige luxe. Zeker niet nu de invoering van de Digital Operational Resilience Act (DORA) aanstaande is - een belangrijke nieuwe Europese wet die zich richt op cybersecurityrisico's binnen de financiële dienstverlening. De DORA zal van toepassing zijn op 20 soorten financiële entiteiten in de EU, variërend van banken en verzekeraars tot beleggingsfirma's en aanbieders van cryptovalutadiensten. Kortom, de kans is groot dat jouw organisatie hieronder valt. Maar wat is precies de volgende stap?

Security by design: de 'bijbel' van beheersbare (basis)maatregelen

Niet elke financiële dienstverlener is hetzelfde. Waar 'security by design' al ingebakken zit in het denken van banken, hebben verzekeringsmaatschappijen hier nog mee te maken. De laatste groep maakt steeds meer gebruik van SaaS-diensten. Maar voordat je dergelijke kant-en-klare oplossingen gebruikt, moet je natuurlijk eerst een grondige risicoanalyse uitvoeren.

Je leidraad - of eerder gezegd, je bijbel - hiervoor? De Good Practice Informatiebeveiliging van DNB. Dit document is te uitgebreid om hier volledig te beschrijven. Maar om je een idee te geven van wat je kunt verwachten, lichten we enkele tastbare beheersbare basismaatregelen uit waarmee je de integriteit, beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking kunt waarborgen. Let op: deze lijst is zeker niet compleet, dus zorg ervoor dat je het document in zijn geheel doorneemt!

  • Stel een dataclassificatieschema (BIV) op;

  • Wijs specifieke verantwoordelijkheden toe op het gebied van informatiebeveiliging aan een Security Operations Center;

  • Verplicht je medewerkers om deel te nemen aan security-awareness-programma's, bestaande uit e-learning, phishing-campagnes, presentaties en mystery guests;

  • Monitor ongebruikelijke activiteiten in IT-systemen en zorg ervoor dat je uitzonderingen detecteert en opvolgt (bijvoorbeeld door een SIEM in te zetten);

  • Implementeer preventieve, detecterende en corrigerende maatregelen om je IT-systemen te beschermen tegen virussen, malware, cryptoware en spyware;

  • Voer regelmatig pentesten uit;

  • Stel een beleid voor incident management op en beschrijf daarin escalatieprocedures en -criteria;

  • Zorg ervoor dat je herstelscenario's hebt die je kunt activeren in geval van een beveiligingsincident;

  • Maak afspraken met je dienstverlener over risicobeheer, betrouwbaarheid en continuïteit van de dienst die je afneemt.

4 kenmerken van een goede partner op een rij 

Met zoveel verplichtingen en verantwoordelijkheden is het als financiële dienstverlener nuttig om nauw samen te werken met een gespecialiseerde partner. Maar deze partner moet aan bepaalde voorwaarden voldoen. Zo moet een partner jouw organisatie en sector zeer goed begrijpen, over relevante certificeringen en specialisaties beschikken en bekend zijn met de normen van DNB. Want alleen als een partner dezelfde taal spreekt als jij, kan deze concreet invulling geven aan de eisen.

Maar hoe vind je zo'n partner? En hoe kom je erachter of deze jouw belangen vooropstelt en er echt voor je is - in goede en slechte tijden? Dit lijkt ons iets dat je niet uit al die vaak droge marktconsultaties of ondoorgrondelijke vragenlijsten kunt halen. Bekijk een potentiële partner eens goed in de ogen, stel hem aan tafel enkele praktijkgevallen voor en zet hem aan het denken. Dit werkt heel verfrissend en je leert de partij direct goed kennen.

Om je op weg te helpen, zetten we de kenmerken van een goede partner voor je op een rij!

1. In controle

Een partner moet altijd kunnen aantonen wat deze voor jou doet. Via begrijpelijke rapportages biedt de partij in kwestie inzicht in essentiële zaken zoals CIS security baseline benchmarks, kwetsbaarheden en afgehandelde security incidenten. Zo kun jij als financiële instelling namelijk aantonen dat je in controle bent. Als je dat niet kunt, riskeer je sancties vanuit DNB. Een goede partner begrijpt dit als geen ander en weet dat dit niet wenselijk voor je is.

2. Trackrecord

Welke andere financiële dienstverleners hebben al vertrouwen gehad in deze partner? Een trackrecord is belangrijk, omdat dit aantoont dat de betreffende partij je goed kan helpen bij het detecteren en opvolgen van security incidenten. Als je bijvoorbeeld een SIEM-oplossing implementeert, moet je partner in lijn met de eisen van DNB aan deze behoefte kunnen voldoen. Ervaring is dan zeer nuttig!

3. Flexibiliteit en innovativiteit

Je bevindt je in een zeer innovatief landschap waarin nieuwe functionaliteiten elkaar snel opvolgen. Voor jou als financiële instelling is het essentieel om up-to-date te blijven (hackers blijven dat immers ook doen!). Een goede partner volgt slimme technologieën op de voet, kan jou dus bijhouden en zelfs verrassen met innovaties. Sterker nog, als je het partnerschap op de juiste manier vormgeeft, kun je samen voorop lopen (1+1=3).

4. Snel reactievermogen

Kwetsbaarheden en security incidenten komen in de huidige omgeving dagelijks voor. Daarom is het cruciaal dat je hier voortdurend op anticipeert. Als er sprake is van een nieuwe dreiging of een nieuw aanvalsscenario, moet je partner hier razendsnel op kunnen reageren.

Los de problemen aan de 'Wortel(l)' op

Zijn de verbeterpunten die DNB voor jouw financiële instelling heeft aangegeven relevant? En wil je ze graag aanpakken? Wortell kan je hierbij samen met jou ondersteunen. Aarzel niet om contact met ons op te nemen om jouw uitdagingen en mogelijkheden te bespreken.

Next level beveiliging

Managed Detection and Response

Wij bieden jou een veilige werkomgeving.
Lees meer

Neem contact op.