Pensioensector kan cybercrime beter voorkomen dan genezen

08 juni 2017 Consultancy.nl

De pensioensector moet op zijn hoede zijn voor de groeiende bedreiging van grote cyberaanvallen. Met zo’n €1,7 biljoen aan bij pensioenfondsen en instellingen ondergebracht beheerd vermogen, vormt de sector een aantrekkelijke prooi voor digitale criminelen. Aan pensioenfondsen de taak om op te staan en actie te ondernemen.

Cybercrime staat de laatste jaren hoger dan ooit op de bestuursagenda van zowel de politiek als het bedrijfsleven. Recent infecteerde de WannaCry ransomware computersystemen in tientallen landen. Zo werden in Nederland de systemen van Q-park geïnfecteerd en werd ook het LAKS, het Landelijk Aktie Komitee Scholieren, getroffen door de aanval, waardoor het kampte met storingen. Hoewel de financiële schade die de cyberaanval wereldwijd veroorzaakte – 150 landen werden getroffen – niet spectaculair te noemen was, vormde de cyberaanval volgens de media wel een van de grootste ooit, vooral door de enorme globale omvang van infectie. Wereldwijd zorgde algehele cybercrime in 2016 voor een kostenpost van zo’n $280 miljard.

Pensioensector kwetsbaar

Terwijl de laatste jaren vooral veel aandacht uitging naar de bankensector is het – gekeken naar de mogelijke impact – vooral de pensioensector, die een van de meest kwetsbare gebieden vormt. De fondsen in ons land beschikken immers over veel geld. Zo bezitten de vijf grootste pensioenfondsen in ons land samen zo’n €740 miljard aan beheerd vermogen. Deze fondsen hebben bovendien te maken met een grote hoeveelheid aan opgeslagen persoonsgegevens van bijna iedere Nederlandse burger.

“Deze combinatie maakt pensioenfondsen een aantrekkelijk doelwit voor kwaadwillenden. Zeker in een branche waar het vertrouwen van mensen cruciaal is, kan een cyberaanval – waarbij gegevens op straat kunnen komen of waarbij de tijdige uitbetaling van pensioenen in gevaar komt – zorgen voor veel schade”, zegt Floris van Rijn, risico-expert bij advieskantoor Willis Towers Watson.

Pensioensector kan cybercrime beter voorkomen dan genezen

Hoewel er in de Nederlandse pensioensector nog weinig gevallen bekend zijn van grote cyberaanvallen, is het oppassen geblazen. Niet voor niets toont onderzoek aan dat “de risico’s van cyberaanvallen door pensioenfondsen worden onderschat en de kennis achterblijft”, vult Kevin van ’t Wout aan, ook risico-expert bij het adviesbureau. Op basis van hun ervaring in het domein hebben de twee consultants diverse tips opgesteld voor pensioenfondsbestuurders op het gebied van cyberrisicobeheersing. De moraal van hun verhaal: “Wacht niet af, maar kom in actie!”

De consultants lichten toe: “Risico bestaat uit de kans dat er iets gebeurt (1) en de mate van impact indien er iets gebeurt (2). Of een cyberaanval impact heeft en hoe groot die impact dan is, kan worden bepaald door na te gaan of een aanval een bedreiging vormt voor de missie, visie, strategie of doelstellingen van een pensioenfonds (in volgorde van hoge impact naar minder hoge impact).” Uit een rondgang van Willis Towers Watson blijkt dat pensioenfondsbestuurders zowel de kans als de impact inmiddels behoorlijk hoog inschatten.

Actie nodig

“Stilzitten en afwachten of er iets gebeurt is dus geen optie”, stelt Van Rijn. Gevraagd of verzekeren dan dé optie is, zegt hij: “Ja en nee. Een cyberverzekering kan schade deels afdekken. Denk hierbij aan de vergoeding van kosten voor juridische bijstand, een crisis manager, PR-diensten en IT-specialisten. Ook wel de Cyber pechhulpdekking genoemd.”

De focus moet volgens Van Rijn echter niet alleen liggen op het mogelijk afsluiten van een cyberverzekering – het cyberrisico heeft namelijk ook impact op de ‘traditionele’ verzekeringen. Van Rijn: “Vergeet daarom niet de huidige verzekeringen (ook die van samenwerkingspartners!) te evalueren en zo nodig aan te passen of uit te breiden. De grootste schade zal in veel gevallen het vertrouwen in het pensioenfonds op het spel zetten en dat is moeilijk te verzekeren. Zeker in dit geval geldt daarom dat voorkomen beter is dan genezen. Preventie begint met een paar eenvoudige stappen.”

pensioenfondsbestuurders schatten zowel de kans op als de impact van een cyberaanval  inmiddels behoorlijk hoog in

Van Rijn geeft drie tips: 1) “Plaats cyberrisico binnen de context van alle risico’s die het pensioenfonds loopt. Pas dan kan de prioriteit en de wenselijkheid van een eventuele investering echt vastgesteld worden.” 2) “Maak bij het analyseren van cyberrisico in ieder geval onderscheid naar het risico op het pensioenbeheer, vermogensbeheer en bestuursondersteuning.” En 3) “Focus vervolgens op drie aspecten: allereerst de mens (beschikt de organisatie over voldoende getrainde mensen die weten hoe te handelen?), de organisatie (ligt er een draaiboek klaar voor het geval dat? hoe goed zijn de huidige afspraken en overeenkomsten?) en tot slot de techniek (is de digitale beveiliging op het wenselijke niveau en up-to-date?).”

Scan in the Box

“Risico’s beheersen begint met het krijgen van inzicht en weten hoe de organisatie er voor staat”, vervolgt Van ’t Wout. “Pensioenfondsen kunnen bijvoorbeeld een ‘Scan in the box’ uitvoeren. Deze scan brengt bekende kwetsbaarheden in de IT-omgeving (zoals achterstallige updates of eenvoudig te raden wachtwoorden) in kaart en biedt vervolgens de best mogelijke oplossing. Hierbij wordt op ruim 90.000 bekende kwetsbaarheden getoetst. Het is daarmee een middel om het zo noodzakelijke inzicht te krijgen en kan als startpunt dienen om de beveiliging van de IT-omgeving aantoonbaar onder controle te krijgen.”

De consultants wijzen er tenslotte op dat het voor cybercriminelen natuurlijk makkelijker is om binnen te komen als de deur (wagenwijd) open staat. “Probeer die deur dus zo goed mogelijk af te sluiten. Verdiep je in de materie (“organisaties hoeven geen slotenmaker te worden maar moeten wel weten of en hoe goed de deur op slot zit”), maak mensen verantwoordelijk en maak het risico inzichtelijk”, luidt het advies van de consultants. Zijn deze basisstappen genomen, dan kan als volgende stap altijd nog een cyberverzekering volgen. “Helemaal veilig ben je immers nooit”, besluiten ze.

Nieuws

Meer nieuws over