(Worden de pensioenfondsen daar ook door geraakt?)
Begin 2020 hebben wij via onze compliance jaarrapportages over 2019 weer kort aandacht besteed aan Cyberrisico’s, datakwaliteit en privacy in een steeds verder digitaliserende omgeving. Dat hebben we gedaan via een aparte bijlage die u nog eens rustig kunt nalezen als u daar tijd voor heeft. Een belangrijke katalysator voor de versnelling van deze ontwikkelingen is de coronacrisis. De coronacrisis maakte het nodig om een werkbaar alternatief te vinden voor de klassieke manier (in persoon) van vergaderen en bijeenkomen. In veel gevallen werd dat het ‘thuiswerken’ zoals we dat nu allemaal kennen. Natuurlijk gebeurde dat op kleine schaal en in beperktere mate al veel langer, maar binnen de pensioensector was dat toch een vrij revolutionaire en relatief onbekende manier van werken. Met die ‘nieuwe’ manier van werken werden we ook geconfronteerd met de uitdagingen die daarbij horen om alles in goede en veilige banen te leiden.
Hoe kwetsbaar zijn wij voor cybercrime?
Een directe consequentie van het niet meer fysiek bij elkaar kunnen komen om te vergaderen en overleggen was een directe toename van de behoefte aan alternatieve communicatieplatvormen. Niet alleen vanuit de IT infrastructuren van het fonds en hun dienstverleners, maar ook in privé, bij de afzonderlijke verbonden personen en bestuurders van de fondsen. Hierdoor is er echter ook onbedoeld een grotere kans op beveiligingsrisico’s ontstaan omdat er wellicht minder aandacht is geweest voor veiligheid dan voor werkbaarheid. Het werk wacht immers niet en automatisering en cybercrime was een zaak voor de uitvoerders.. toch?
DNB wijst al een poosje op de kwetsbaarheid van pensioenadministraties en in haar Good Practice Pensioenen geeft ze daar ook toelichting op. Is uw IT dienstverlener berekend op de beveiligings- en continuïteitsrisico’s en de extra druk van de vraag om meer capaciteit en functionaliteit? Is hun infrastructuur ‘toekomst bestendig’ of bestaat die uit aan elkaar geknoopte (verouderde) systemen die in potentie een continuïteits- en integriteitsrisico met zich meedragen? Hoe groot is de afhankelijkheid van uw organisatie van de huidige IT dienstverlener of de uitvoerders van het fonds? Een belangrijke ‘good practice’ uit dit DNB document stelt dat: ‘Een PUO jaarlijks haar gehele keten toetst op de effectieve beheersing van de toegang tot data’ met als doel het vaststellen of de maatregelen om externe toegang tot data te beheersen effectief zijn. Resultaten van deze test worden onder andere in de SLA-rapportage aan het pensioenfonds gerapporteerd.
Dat DNB hier op wijst onderstreept het belang en de actualiteit van deze ontwikkelingen binnen de context van geautomatiseerde trajecten, maar daarmee zijn we er nog niet. We maken immers zelf ook dagelijks gebruik van geautomatiseerde communicatie en opslag en daar hebben we al eerder op gewezen maar dit aspect blijft toch een beetje onderbelicht. Nog steeds stellen wij vast dat pensioenfondsen toelaten dat verbonden personen zakelijk gebruik maken van niet door het pensioenfonds uitgegeven e-mail adressen. Dat zijn dus e-mail adressen die buiten de controle van de beveiligde IT infrastructuren van het fonds of professionele uitvoerders staan, maar daar wel toegang toe hebben.
Omdat ‘professionele’ netwerken over het algemeen een adequate beveiliging kennen, verkeren we soms in de onterechte veronderstelling dat die professionele beveiliging alle vormen van cybercrime wel zal detecteren en tegenhouden. Het probleem is alleen dat de cybercriminelen een veel makkelijker ‘point of entry’ hebben gevonden en dat is ‘social engineering’ ofwel het overnemen van iemands identiteit. Dat doen cybercriminelen bijvoorbeeld door zich in een e-mail voor te doen als een bekende of betrouwbare partij en de ontvanger te prikkelen om een meegezonden link te openen waarna de afzender toegang krijgt tot persoonsgegevens en eventuele gevoelige (fonds) informatie uit uw persoonlijke netwerk. Soms zelf uw ‘lijstje met wachtwoorden’ omdat het zo lastig is om al die wachtwoorden van al die organisaties waar je tegenwoordig alleen digitaal kunt aankloppen te onthouden of door elkaar haalt.
Cybercriminelen proberen dus niet langer alleen rechtstreeks toegang te forceren via de systemen van een organisatie, maar vooral door een aanval op de gebruikers. Systemen ‘beoordelen’ immers op basis van identificatie van de gebruiker of deze toegang mag hebben tot het netwerk en daarmee tot bepaalde informatie. Als het systeem de gebruiker eenmaal heeft geïdentificeerd, dan ligt het netwerk (binnen het toegekende gebruikersprofiel) als het ware ‘open’ voor die gebruiker.
‘…De grootste uitdaging van bedrijven lijkt zodoende het veelvuldige gebruik van persoonlijke apparaten met standaard cybersecurity software. Deze zijn gericht op thuisgebruik, niet op de bedreigingen die een enterprise op zich af krijgt. Laat staan dat ze organisaties het continue beveiligingsinzicht van een enterprise-level, cloud-gebaseerde oplossing kunnen geven. Het is van essentieel belang dat bedrijven over cybersecurity beschikken die hen beschermt tegen deze dreigingen, ongeacht de locatie waarvan of het apparaat waarop werknemers werken.’
Bron: Ronald Pool, Cyber Security Specialist bij CrowdStrike
Dit citaat komt uit een artikel op de website van Industry Wire1 dat ingaat op een onderzoek onder 255 senior besluitvormers in Nederland. Hieruit komt naar voren dat:
Dit onderzoek was weliswaar niet specifiek gericht op de pensioensector maar geeft wel een beeld van het toegenomen risico en de risicoperceptie. Uit ditzelfde onderzoek blijkt dat het apparaat waarop senior beslissers vanuit huis werken, geen invloed heeft op de mate waarin ze denken beschermd te zijn tegen geavanceerde cyberaanvallen. Van de beslissers die thuis op eigen apparaten werken, denkt 91 % beschermd te zijn tegen geavanceerde cyberaanvallen. Bij apparaten die door het werk verschaft zijn, is dit 90 %. CrowdStrike zelf nam in het eerste kwartaal van 2020 een verdubbeling van het aantal eCrimes waar ten opzichte van heel 2019.
Wij adviseren fondsbestuurders om met extra aandacht te kijken naar mogelijke kwetsbaarheden gerelateerd aan het gebruik van eigen middelen en het gebruik van privé e-mail adressen voor zakelijke doeleinden en de gebruikers op de eventuele risico’s daarvan te wijzen.
1 Dit onderzoek is uitgevoerd door YouGov Plc UK in opdracht van CrowdStrike