Cyberaanvallen zijn voor pensioenfondsen een constante dreiging. Met name ondernemingspensioenfondsen onderschatten soms het risico omdat ze denken via het moederbedrijf verzekerd of beschermd te zijn tegen cyberaanvallen.
Cyberaanvallen op pensioenfondsen komen maar zelden in het nieuws. Tot zover is het datalek bij Blue Sky Group in 2021 het enige bekende geval van een succesvolle cyberaanval in de pensioensector waarbij een grote hoeveelheid persoonsgegevens werd buitgemaakt. Toch zijn cyberaanvallen op pensioenfondsen zeker geen zeldzaamheid. Volgens Jim Gee, hoofd forensische diensten bij de Britse consultant Crowe vinden er alleen al in het VK elke maand vijf cyberaanvallen plaats op pensioenfondsen. In zowel 2021 als 2022 rapporteerde 5% van de Nederlandse pensioenfondsen volgens DNB een succesvolle cyberaanval.
Aantrekkelijk doelwit
Maar het aantal pogingen van hackers om data van pensioenfondsen en hun deelnemers te bemachtigen en/of hun systemen binnen te dringen. ligt nog vele malen hoger. Gee: ‘De vraag is niet of je als pensioenfonds wordt aangevallen door hackers, maar wanneer.’
Pensioenfondsen hebben volgens de consultant twee kenmerken die hen aantrekkelijke doelwitten maken voor hackers. ‘Ten eerste hebben ze enorm veel persoonlijke gegevens van hun deelnemers in bezit, die soms tientallen jaren teruggaan. Ten tweede weten hackers dat pensioenfondsen een enorme druk zullen voelen om losgeld te betalen als gijzelsoftware de uitbetaling van pensioenen heeft stilgelegd.’ Van dat laatste zijn geen voorbeelden bekend, al betekent dit niet dat iets dergelijks nooit is voorgekomen.
Onderschatting
Het risico op een cyberaanval wordt vaak nog onderschat. Dat geldt met name voor ondernemingspensioenfondsen, stelt Paul McGlone, die namens Aon pensioenfondsen adviseert over cybersecurity. ‘Pensioenfondsbesturen van vooral grote ondernemingen gaan er soms voetstoots vanuit dat het moederbedrijf het fonds indekt tegen cyberrisico’s, maar dat is niet per definitie het geval.’ Een bekend voorbeeld is een Brits pensioenfonds dat dacht verzekerd te zijn voor schade als gevolg van een cyberaanval, maar de betreffende polis van het moederbedrijf bleek een eigen risico te hebben van $25 mln. McGlone: ‘Dus die verzekering was voor het pensioenfonds van generlei waarde.’
McGlone noemt nog een voorbeeld: een groot bedrijf met een pensioenfonds met 5000 deelnemers. ‘Een bestuurder wilde de prioriteiten weten van het bedrijf in geval van een datalek. Hem werd verteld dat het bedrijf data van honderdduizenden klanten had en dat, vergeleken daarmee, 5000 pensioenfondsdeelnemers klein bier was. Pas toen het moederbedrijf werd duidelijk gemaakt dat het eventueel niet kunnen uitbetalen van pensioenen een enorm reputatierisico met zich meedroeg, beloofde het bedrijf zijn prioriteiten te herzien.’
Contracten
Ten slotte doen pensioenfondsen er goed aan de contracten met hun uitvoerders opnieuw te bekijken, aldus McGlone. Die gaan namelijk soms wel jaren terug, vaak ver voordat cybersecurity een serieus risico werd. ‘Pensioenfondsen zouden die contracten moeten herzien zodat wordt vastgelegd wat de verantwoordelijkheid van uitvoerders en andere dienstverleners is in geval van een cyberaanval.’
DNB: Ruim kwart pensioenfondsen test niet op cyberaanval
Toezichthouder DNB concludeerde afgelopen november na onderzoek er dat pensioenfondsen cyberrisico’s nog niet altijd serieus genoeg nemen, ondanks ‘een toenemende cyberdreiging’. Zo voerde ruim een kwart van de pensioenfondsen vorig jaar geen zogeheten ‘continuïteitstest’ uit waarbij een cyberaanval wordt gesimuleerd. Zo’n test zou volgens DNB in principe minimaal één keer per jaar moeten plaatsvinden. DNB noemt het percentage van ruim een kwart dat vorig jaar geen test uitvoerde ‘opvallend hoog’. Volgens de toezichthouder noemde een aantal fondsen de oorlog in Oekraïne als reden geen test uit te voeren. ‘Daardoor veranderde het dreigingsniveau en is een bestuurlijke afweging gemaakt de test niet op dat moment uit te voeren’, aldus DNB. De toezichthouder ziet wel vooruitgang bij de beveiliging van IT-systemen. Afgelopen jaar maakte 32% van de fondsen gebruik van één of meer kritieke IT-systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates. In 2021 was dit nog 42%. ‘Een voorzichtige conclusie is dat instellingen aandacht hebben voor deze verouderde systemen en deze bijvoorbeeld uitfaseren’, aldus DNB.
Dit is een bewerkte versie van een artikel dat eerder in het Engels verscheen op ipe.com, de Britse zusterpublicatie van Pensioen Pro
U moet ingelogd zijn en een geldig abonnement hebben om een reactie te plaatsen.