Ga naar content
Zoek op onderwerpen, blogs, diensten etc.
Secure. Blogs Nóg meer grip op risico’s: wat is de volgende cybersecurity-stap voor de financiële sector?

Nóg meer grip op risico’s: wat is de volgende cybersecurity-stap voor de financiële sector?

Blogs
MxDR (Managed eXtended Detection and Response)
Dennis de Hoog
28-8-2023

Ook de financiële sector is in toenemende mate een hot target voor scherpe malicieuze actoren. Gelukkig zijn de meeste financiële instellingen zich daar goed van bewust. In algemene zin is het belangrijk dat financiële instellingen niet te veel risico’s nemen. Veilig zijn en veilig blijven is dan ook ‘foundational’. Security is verweven in hun DNA — tot op het bestuurlijke niveau is er een hoge urgentie om (cyber) risico’s te minimaliseren. En in tegenstelling tot sommige andere sectoren beschikt deze sector ook nog eens over veel kennis, moderne technologieën en ‘five-star’ security professionals. 

Al jaren zijn financiële instellingen en toezicht vanuit de Nederlandsche Bank (DNB) onlosmakelijk met elkaar verbonden. De DNB ‘denkt ook graag mee’ over informatiebeveiliging en doet zelfs concrete suggesties omtrent het nemen van security maatregelen. ‘Good Practice Informatiebeveiliging’, heet dat. Voldoe je daar niet aan en ben je dus niet compliant, dan zijn de consequenties best serieus. In het slechte geval kun je immers je banklicentie verliezen. Maar moet je je daar zorgen over maken? Je hebt de zaken toch immers goed op orde? 

Optimalisatieslag: volgens onderzoek tóch (brood)nodig 

In 2022 heeft DNB een onderzoek uitgevoerd waaruit behoorlijk verrassende resultaten kwamen. Zo bleken financiële instellingen hun basismaatregelen tóch onvoldoende op orde te hebben, kon de actieve monitoring op cyberrisico’s binnen de IT-omgeving beter en oefenden financiële organisaties hun handelen in geval tegen een cyberaanval onvoldoende. 

Verbazingwekkend? Zeker. Hoewel financiële instellingen de basis in vergelijking tot organisaties in andere sectoren goed op orde lijken te hebben, is een optimalisatieslag waarschijnlijk toch geen overbodige luxe. Zeker niet nu de invoering van de Digital Operational Resilience Act (DORA) er ook nog eens aankomt — een belangrijke nieuwe Europese wet die cybersecurityrisico’s binnen de financiële dienstverlening aanpakt. De DORA zal in de EU op 20 soorten financiële entiteiten van toepassing zijn — van banken en verzekeraars tot beleggingsfirma’s en aanbieders van cryptovalutadiensten. Kortom, de kans is groot dat jouw organisatie hieronder valt. Maar wat is precies de volgende stap? 

Security by design: ‘bijbel’ van beheersbare (basis)maatregelen 

De ene financiële dienstverlener is de andere niet. Waar ‘security by design’ binnen banken al in het gedachtegoed zit ingebakken, worstelen verzekeringsmaatschappijen hier nog wel mee. De laatste groep stapt steeds meer over op SaaS-diensten. Maar om dergelijke off-the-shelf-oplossingen af te nemen, moet je natuurlijk eerst een goede risico analyse doen. 

Je leidraad — of, liever, bijbel — hierin? De Good Practice Informatiebeveiliging van DNB. Dit document is te omvangrijk om hier te beschrijven. Maar om je een beeld te geven van wat je kunt verwachten, lichten we enkele aantoonbare beheersbare basismaatregelen uit waarmee je de integriteit, beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking kunt waarborgen. Let op: deze lijst is zeker niet volledig, dus zorg dat je het document in zijn geheel bestudeert! 

  • Stel een dataclassificatieschema (BIV) op; 

  • Beleg specifieke verantwoordelijkheden op informatiebeveiligingsgebied bij een Security Operations Center

  • Verplicht je medewerkers om deel te nemen aan security-awareness-programma’s die bestaan uit e-learning, phishing-campagnes, presentaties en mystery guests; 

  • Monitor ongebruikelijke activiteiten in IT-systemen en zorg dat je uitzonderingen signaleert en opvolgt (bijvoorbeeld door een SIEM in te zetten); 

  • Implementeer preventieve, detecterende én corrigerende maatregelen om je IT-systemen te beveiligen tegen virussen, malware, cryptoware en spyware; 

  • Laat met regelmaat een pentest uitvoeren; 

  • Maak een beleid voor incident management en beschrijf hierin escalatieprocedures en -criteria; 

  • Zorg dat je recoveryscenario’s hebt die je kunt inzetten in het geval van een securityincident; 

  • Maak afspraken met je dienstverlener omtrent het risicobeheer, de betrouwbaarheid en de continuïteit van de dienst die je afneemt. 

4 kenmerken van een goede partner op een rij 

Met zoveel verplichtingen en verantwoordelijkheden helpt het om als financiële dienstverlener nauw samen met een gespecialiseerde partner werken. Maar deze partner zal wel aan bepaalde voorwaarden dienen te voldoen. Zo moet een partner jouw organisatie en sector héél goed begrijpen, over relevante certificeringen èn specialisaties beschikken en de DNB normen kennen. Want alleen als een partner dezelfde taal spreekt als jij, kan deze concreet invulling geven aan de eisen. 

Maar hoe vind je zo’n partij? En hoe kom je erachter of deze jouw belangen vooropstelt en er echt voor je is — in makkelijke én moeilijke tijden? Dit lijkt ons iets dat je niet uit al - die vaak gort droge marktconsultaties of ondoorgrondelijke questionnaires - haalt. Kijk een partner eens ‘goed in de ogen aan’, leg hem aan tafel enkele praktijk casussen voor en zet hem aan het denken. Dit werkt heel verfrissend en je leert de partij direct goed kennen.  

Om je op weg te helpen, zetten we de kenmerken van een goede partner voor je op een rij! 

  1. In control
    Een partner moet altijd kunnen aantonen wat deze voor jou doet. Via begrijpelijke rapportages biedt de partij in kwestie inzicht in essentiële zaken als CIS security baseline benchmarks, kwetsbaarheden en afgehandelde security incidenten. Zo kun jij als financiële instelling namelijk aantonen dat je in control bent. Kun je dat niet, dan krijg je sancties vanuit DNB. Een goede partner weet dit en begrijpt als geen ander dat dit niet wenselijk voor je is.  
     
  2. Track Record 
    Welke andere financiële dienstverleners hebben reeds vertrouwen gehad in deze partner? Een track record is belangrijk, omdat dit aantoont dat de bewuste partij jou goed kan helpen met het detecteren en opvolgen van security incidenten. Ga je bijvoorbeeld SIEM-oplossing implementeren, dan moet jouw partner deze behoefte kunnen invullen in lijn met de eisen vanuit DNB. Een flinke dosis ervaring is dan wel zo handig! 
     
  3. Flexibiliteit en innovativiteit 
    Je beweegt je in een enorm innovatief landschap waarin nieuwe functionaliteiten elkaar in rap tempo opvolgen. Voor jou als financiële instelling is het essentieel om up-to-date te blijven (hackers doen dat immers ook!). Een goede partner volgt slimme technologieën op de voet, kan jou dus bijbenen en zelfs verassen met innovaties. Sterker nog, als je het partnerschap op de juiste manier invult, loop je samen (1+1=3) voorop. 
     
  4. Scherp reactievermogen 
    Kwetsbaarheden en security incidenten zijn in het huidige klimaat aan de orde van de dag. Daarom is het cruciaal dat je hier constant op anticipeert. Is er sprake van een nieuwe dreiging of kersvers aanvalsscenario? Dan moet je partner hier razendsnel op kunnen reageren. 

Pak problemen bij de ‘Wortel(l)’ aan 

Zijn de verbeterpunten van DNB op jouw financiële instelling van toepassing? En wil je ze graag aanpakken? Wortell kan hier samen met jou invulling aan geven. Neem gerust contact met ons op om jouw uitdagingen en mogelijkheden te bespreken. 

Next level beveiliging

Managed eXtended Detection and Response

Cybersecurity als next level beveiliging tegen alle bedreigingen van buitenaf.
Lees meer

Neem contact op.

Onze auteur

Dennis de Hoog

Gepassioneerd en betrokken helpt Dennis organisaties graag met het invullen van hun cloud en cyber security vraagstukken, uitdagingen en soms hun worstelingen. Zonder de kracht van de mens uit het oog te verliezen, werkt hij hierbij vanuit proces en technologie.
Contact me. Bekijk alle artikelen van Dennis.