Informatiebeveiligingsmonitor DNB: Samenwerking essentieel bij bestrijding cybercrime

Samenwerking tussen financiële instellingen is essentieel om cyberdreigingen het hoofd te kunnen bieden. Door informatie uit te wisselen over digitale aanvallen en manieren om deze aanvallen op te sporen kunnen dreigingen effectiever worden weerstaan en kan de sector weerbaarder worden, aldus DNB in haar onlangs verschenen Informatiebeveiligingsmonitor.

Een instelling beschikt qua informatie vaak alleen over een stukje van de puzzel. Informatie-uitwisseling met andere partijen kan tot een meer volledig beeld leiden waardoor de eigen beheersmaatregelen kunnen worden aangescherpt, aldus de toezichthouder in haar jaarlijkse terugkoppeling van de resultaten uit haar cyber security (Informatiebeveiliging) onderzoeken bij verzekeraars en pensioenfondsen. Bijzonder aandachtspunt in de editie van dit jaar vormen de aangepaste werkvormen, zoals thuiswerken, die voortkomen uit de maatregelen tegen verspreiding van het coronavirus.

Cyberhygiëne cruciaal

Cruciaal in de bestrijding van cybercrime blijft voor financiële instellingen de cyberhygiëne. De basis van cyberweerbaarheid ligt nog steeds bij het bepalen en implementeren van de interne standaarden bij financiële instellingen om de impact van kwaadaardige software te beperken. Over het algemeen hebben financiële instellingen hiervoor de instrumenten in huis, maar er kan meer gedaan worden op het gebied van preventie. Zo wordt de uitfasering van verouderde software nog wel eens over het hoofd gezien. Als er applicaties worden gebruikt die niet meer worden ondersteund door leveranciers, zijn zij kwetsbaar voor cyber- en continuïteitsdreigingen zoals door ransomware aanvallen. Een ander voorbeeld is dat soms achterstanden kunnen ontstaan bij het wegwerken van kwetsbaarheden. Zo komt uit het DNB-onderzoek naar voren dat 28% van kritische ‘patches’, de oplossingen voor de kwetsbaarheden, niet binnen twee dagen zijn geïmplementeerd.

Phishing meest gebruikte techniek

Verder blijkt dat ‘phishing’ de meest gebruikte aanvalstechniek is bij incidenten vanuit het perspectief van informatiebeveiliging. Bij ‘spear phishing’, het hengelen naar de vertrouwelijke gegevens van specifieke personen bij een instelling, wordt steeds vaker gebruik gemaakt van de verkoop van persoonlijke data. Soms is deze data illegaal gelekt uit een bedrijf, vaak zijn de gegevens gewoon legaal online beschikbaar, uit onder andere databases van bedrijven, sociale netwerken en websites. Deze informatie wordt gebruikt in combinatie met ‘social engineering’: de werkwijze om mensen te manipuleren om persoonlijke en gevoelige informatie over hun werkgever af te staan.

Daarbij komt het steeds vaker voor dat goedwillende medewerkers worden gemanipuleerd door criminele partijen, die zich bijvoorbeeld voordoen als collega’s of leidinggevenden, om ongewild data te verstrekken of toegang te geven tot systemen. CEO fraude is hier een bekend voorbeeld van. Hierbij geeft een medewerker gehoor aan een verzoek van de CEO om bijvoorbeeld een bedrag over te maken, terwijl dit verzoek niet echt van de CEO komt.

Thuiswerken brengt nieuwe risico’s met zich mee

Relevant voor de huidige periode van thuiswerken is dat er nieuwe risico’s ontstaan door het werken met potentieel kwetsbare VPN verbindingen, laptops en mobiele telefoons. Dit loopt samen met de reeds bestaande trend van mobieler werken zoals in de trein of op openbare locaties en bij klanten. Hierdoor neemt ook het risico van verlies, diefstal van de devices toe, waardoor kwetsbare VPN verbindingen toegankelijker worden wanneer de devices onvoldoende beveiligd zijn.

Blijf zelf in control bij uitbestedingen

Financiële instellingen zijn mogelijk kwetsbaar via partijen waaraan werkzaamheden zijn uitbesteed (dienstverleners) en die toegang hebben tot of die behoren tot hun (kern-) infrastructuur. Hierbij kan worden gedacht aan dienstverleners als cloud-, infrastructuur- en datacenteropslag, call centers, betalingssystemen en werkplekfaciliteiten. Als een klein aantal dienstverleners werkt voor een groot aantal financiële instellingen, kan bijvoorbeeld een concentratierisico ontstaan omdat met een hack (inbraak) bij één dienstverlener meteen bij meerdere financiële instellingen naar binnen kan worden gekeken. De beheersing door de financiële instellingen van hun uitbestedingen blijft ook in dit opzicht van groot belang.

‘Awareness’ moet medewerkers scherp houden

Het in kaart brengen van de belangrijkste dreigingen waaraan financiële instellingen kunnen blootstaan, is een belangrijke eerste stap in de bestrijding van cybercrime. Instellingen maken een beeld van de dreigingen die voor hun relevant zijn en stellen een pakket aan beheersmaatregelen op. Daarbij gaat het om beheersmaatregelen die zien op awareness programma’s om medewerkers scherper te maken op het oplettend omgaan met devices en gevoelige informatie. Maar ook maatregelen als goede toegangsbeveiliging, logging en security monitoring en andere tools die helpen om te voorkomen dat cyber criminelen het netwerk binnen kunnen komen of niet gedetecteerd worden.

Ethisch hacken om beheersmaatregelen te testen

Steeds meer beheersmaatregelen richten zich op het tijdig opsporen met detectietools of er ongewenste partijen al in het netwerk zijn en indien dat het geval is, op de vraag hoe daar mee om wordt gegaan. Om de werking van de beheersmaatregelen te testen, laten financiële instellingen zich ook ‘ethisch hacken’.

De meest uitgebreide vorm van testen is Threat Intelligence Based Ethical Red Teaming framework (TIBER-NL), dat in 2017 voor het eerst in samenwerking met DNB in Nederland is uitgebracht. De ontwikkeling van de documentatie binnen het framework gebeurt in nauwe samenwerking met zowel de partijen uit de financiële sector als partijen uit de security sector.

Doel is om zo de cyberweerbaarheid van de belangrijkste financiële instellingen in Nederland te vergroten. In eerste instantie was alleen de financiële kerninfrastructuur betrokken. Sinds 2018 nemen ook verzekeraars en pensioenfondsen deel aan deze testen.

Dit is een voorbeeld van samenwerking die DNB aanmoedigt. DNB ziet onderlinge samenwerking tussen de instellingen en in sectorverband als essentieel voor de financiële sector om cyberdreigingen het hoofd te kunnen bieden.