DNB: Informatiebeveiliging verzekeraars verbeterd maar nog niet op gewenste niveau; ook beheersing risico’s uitbesteding onvoldoende

0

De informatiebeveiliging bij verzekeraars en pensioenfondsen is verbeterd, maar nog niet op het vereiste niveau, concludeert De Nederlandsche Bank (DNB).  Uit een ander onderzoek blijkt dat de risico’s van de uitbestedingen op onderdelen onvoldoende worden beheerst door veel verzekeraars.

In 2017 heeft DNB-onderzoek gedaan naar de beheersing van informatiebeveiliging (inclusief cyberrisico’s) van verzekeraars en pensioenfondsen. Het onderzoek is uitgevoerd bij een selectie van middelgrote en grote verzekeraars, en pensioenfondsen. Het onderzoek betrof primair de beoordeling van de self-assessment van de instelling onderbouwd met een dossier. DNB heeft het dossier per instelling beoordeeld en deelwaarnemingen uitgevoerd bij de desbetreffende instellingen op locatie.

Conclusies

DNB trekt uit de onderzoeken de volgende conclusies:

  • Pensioenfondsen en verzekeraars hebben hun informatiebeveiliging de afgelopen jaren op een hoger niveau gebracht. Op basis van de metingen vanaf 2010 ziet DNB dat instellingen – gemiddeld genomen – hun maatregelen beter op orde hebben, gestructureerd controleren en verbeteren;
  • Informatiebeveiliging is nog niet op het vereiste niveau. In het algemeen kennen pensioenfondsen en verzekeraars een aantal maatregelen (controles), die nog op het minimaal vereiste niveau moeten worden gebracht;
  • Informatiebeveiliging in de gehele keten is nog onvoldoende beheerst. Pensioenfondsen en verzekeraars houden in onvoldoende mate zicht op de kwaliteit van informatiebeveiliging nadat zij werkzaamheden hebben uitbesteed. Inzicht en beheersing van beveiligingsrisico’s in de gehele informatieketen (bijvoorbeeld bij cloudoplossingen) is in het algemeen onvoldoende. Deze complexiteit neemt toe naarmate er meer schakels in deze keten betrokken zijn (bijvoorbeeld bij onderuitbesteding);
  • De kwaliteit van (IT-)riskmanagement moet verbeteren. Pensioenfondsen en verzekeraars evalueren en onderhouden de door hen getroffen maatregelen onvoldoende, waardoor een achterstand ontstaat op de continu veranderende (cyber)risico’s. Actieve evaluatie gezien het bewegende speelveld en dreigingsbeeld is een vereiste. Ook ziet DNB dat maatregelen rondom patchmanagement verbeterd moeten worden;
  • De expliciete aandacht voor cyberrisico’s wisselt sterk per instelling. Voor de analyse van cyberrisico’s zoeken instellingen in toenemende mate de samenwerking met partijen binnen de sector en met gespecialiseerde partijen daarbuiten. Een deel van de instellingen betrekt cyberrisico’s onvoldoende expliciet in hun analyses;
  • Het dreigingsbeeld verandert snel door toename van de cyberrisico’s; dit draagt bij aan de noodzaak tot samenwerking. In toenemende mate wordt kennis gedeeld in de keten en tussen instellingen om weerbaar te zijn voor cyberrisico’s.                                                                                                                                                                                                                                                                                                        De conclusies uit het onderzoek zijn aan alle betrokken instellingen verstrekt. Eind december gaf DNB zowel de individuele resultaten als een vergelijking van de individuele resultaten met het sectorgemiddelde.                                                                                                                                                                                                                                                                                                   Onvoldoende beheersing risico’s uitbesteding

De risico’s van de uitbestedingen worden op onderdelen onvoldoende beheerst door veel verzekeraars, zo blijkt uit DNB-onderzoek. Het percentage uitbestedingen is de afgelopen jaren redelijk stabiel gebleven. Het aandeel materiële uitbestedingen naar de cloud stijgt significant, aldus de toezichthouder. “Met deze laatste ontwikkeling neemt (ook) de versnippering van uitbestedingsrelaties toe, worden uitbestedingsketens langer en wordt de beheersing op de hele keten complexer. De top serviceproviders wordt aangevoerd door traditionele spelers. Deze worden direct gevolgd door de grote cloudserviceproviders.”

Beheersing op uitbestedingsrisico’s moet beter

Uit het onderzoek is gebleken dat de risico’s die aan uitbesteden zijn verbonden (zoals continuïteit bedrijfsvoering, kwaliteit (service), gegevensbescherming en compliance) bij een groot deel van de deelnemers aan dit onderzoek nog niet voldoende worden beheerst. Op basis van de resultaten van dit onderzoek zouden instellingen beter zicht en grip moeten hebben op de (onder)uitbestedingen om uitbestedingsrisico’s te kunnen beheersen. DNB koppelt in april 2018 de resultaten van het onderzoek terug in een sectorbrief. “De uitvoering van het onderzoek heeft een forse impact gehad. Het effect op de sector laat zich vangen in de woorden van een van de deelnemende instellingen: ’van onbewust onbekwaam, naar bewust onbekwaam’.”

Niet alle uitbestedingsketens zijn volledig inzichtelijk geworden. De verzekeraars hebben deze data niet beschikbaar en kunnen daarom niet volledig rapporteren. Desondanks ziet DNB aan het einde van de uitbestedingsketens regelmatig de in Nederland gevestigde datacenters en de grote internationale cloudproviders.

Melden uitbestedingen

Een deel van de verzekeraars is niet bekend met de meldingsplicht: de plicht om uitbestedingen tijdig te melden aan DNB. Ook is een aantal verzekeraars niet goed op de hoogte van de plicht om het onderzoeksrecht voor DNB op te nemen in de contracten die zij aangaan met derden over de uitbesteding. DNB bouwt aan een Digitaal Loket Uitbesteding. Verzekeraars kunnen bij dit loket in de nabije toekomst hun meldplicht voldoen. Meer informatie hierover volgt in de komende maanden.

Foto DNB

Laat een reactie achter