Pensioenfondsen en uitvoeringsorganisaties zijn aantrekkelijke doelwitten voor hackers die met gijzelsoftware operationele systemen platleggen. DNB adviseert om simulaties te spelen als voorbereiding op zo’n incident.
Dat zei Jacco Jacobs, afdelingshoofd operationele en it-risico’s bij DNB, donderdag op het Pensioen Pro Focuscongres. Een ransomware-aanval bij een pensioenfonds of uitvoerder kan ernstige consequenties hebben zoals het tijdelijk niet kunnen uitbetalen van pensioenuitkeringen of het vragen van een (zeer) hoog losgeld. Jacobs wilde desgevraagd niet in detail ingaan op deze gevolgen.
Simulatiegame
De DNB’er gaf de aanwezigen als advies mee om concreet te oefenen wat er gebeurt bij een gijzeling. ‘Speel bijvoorbeeld een simulatie in de geest van de Table Top oefening.’ Dit zijn games zonder vooraf opgestelde regels waar de spelers oplossingen zelf moeten vormgeven. Slechts een handvol toehoorders in de zaal had inmiddels een dergelijke simulatie gedaan of toonde daarvoor belangstelling.
In het afgelopen halfjaar vonden inderdaad ransomware-aanvallen plaats, maar hoeveel is onduidelijk. Dat bleek uit een staafgrafiek in de presentatie waar geen cijfers bij stonden. De grafiek gaf een overzicht van de belangrijkste oorzaken van een datahack. Phishing mails zijn daarbij nog altijd de meest gebruikte methode.
DNB intervenieert niet direct
Jacobs benadrukte dat aan het pensioenfonds of uitvoeringsorganisatie zelf is om actie te ondernemen na een hack en maatregelen in gang te zetten. ‘Als DNB interveniëren we niet in primaire bedrijfsprocessen bij fondsen en uitvoerders. Wel vragen we instellingen onder andere impact- en root-cause analyses uit te voeren.’
DNB blijft bij data-incidenten doorgaans op de achtergrond. Zo ook bij het omvangrijke datalek bij Blue Sky Group (via een phishing mail) waar BSG en de fondsklanten de beveiligingslekken dichtten en de schade inventariseerden. ‘Wel kunnen we bij ernstige incidenten overleggen tussen de cio’s van de uitvoerder faciliteren of een getroffen partij in contact brengen met een slachtoffer van een soortgelijke hack.’
Over de extra cybergevaren in het kader van de Oekraïne-oorlog stelde hij dat er in de laatste weken weliswaar geen toename is geweest van het aantal cyberincidenten, maar dat vanuit de financiële instellingen wel een ‘veranderend dreigingsniveau’ wordt gesignaleerd.
Kwetsbaar bij transitie
Jacobs riep pensioenbestuurders op tot meer alertheid en bewustzijn over cyberrisico’s. ‘Juist in tijden van transitie is een organisatie extra kwetsbaar.’ Hij memoreerde enkele bevindingen uit de IB-monitor die DNB eind vorig jaar publiceerde. Daaruit blijkt dat bij ruim een kwart van de pensioenfondsen en verzekeraars de beheersing van kwetsbaarheden op ict-vlak niet op niveau is.
Daarnaast voldoet een kwart niet aan de minimale eisen die zijn gesteld aan het beleid voor beveiligingstesten, surveillance en monitoring. Ook toonde Jacobs zich ontevreden over de snelheid waarmee fondsen zogeheten ‘beveiligingspatches’ doorvoeren. Bijna de helft doet daar vijf dagen of langer over. ‘Dat is vrij lang’, stelde Jacobs eufemistisch.
Russen hacken EIOPA-call?
Dat ook de hoogste toezichthouder niet ongevoelig is voor een hack bleek uit een anekdote van Jacobs over een online meeting van EIOPA waar hij aan deelnam. ‘Op een gegeven moment kwamen onbekenden de vergadering binnen. Hun camera stond uit en ze hielden zich stil. Ook reageerden ze niet op vragen van de host. Uit onderzoek van de callgegevens bleek later dat de anonieme deelnemers te herleiden waren tot Russische IP-adressen.’
Op een vraag uit de zaal of er, gezien het belang van het onderwerp, misschien een aparte sleutelfunctie IT-beleid moet komen, antwoordde Jacobs dat niet nodig te vinden. Hij zei de sleutelfuncties risicomanagement en internal audit voldoende te vinden, mits deze in hun werkzaamheden ook voldoende aandacht geven aan niet-financiële risico’s. Wel stelde Jacobs naderhand dat DNB open staat voor een certificerende verklaring van een IT-auditor, vergelijkbaar met een verklaring van de certificerende actuaris. ‘Voorwaarde is wel dat het onderzoek van de auditor de juiste scope en voldoende diepgang heeft.’