De weerbaarheid van de financiële sector tegen cyberaanvallen is nog niet voldoende. Zo moet er meer aandacht voor patchmanagement en end-of-life systemen komen, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). Vandaag publiceerden toezichthouders van verschillende sectoren het rapport "Samenhangend inspectiebeeld cybersecurity vitale processen".

Daarin pleiten de toezichthouders gezamenlijk voor meer aandacht voor het risicomanagement bij organisaties. De toezichthouders geven ook per sector aan wat ze tijdens het toezicht tegenkwamen. In het geval van DNB hebben de onderzoeken bij financiële instellingen drie hoofdthema's opgeleverd. Het risicomanagement gericht op informatiebeveiliging moet beter, het beheersen van informatiebeveiliging in ketens vereist meer aandacht en de weerbaarheid tegen cyberaanvallen moet worden versterkt.

Zo ontbreekt het bij sommige financiële instellingen aan een volledig inzicht in de beheersmaatregelen bij dienstverleners en eventuele onderaannemers die zijn betrokken in de uitbestedingsketen. "Deze waarnemingen kunnen cyberrisico’s opleveren voor instellingen, immers door uitbesteding worden instellingen blootgesteld aan het aanvalsoppervlak van de dienstverlener. Steeds vaker blijkt dat gerichte cyberaanvallen op organisaties en bedrijven starten bij een dienstverlener van de financiële instelling", aldus DNB.

Verder blijkt dat er bij financiële instellingen nog veel risico's zijn op het gebied van cyberhygiëne. Het gaat dan om volwassenheid van vulnerability & patch management, beheersing van end-of-life systemen en cyberweerbaarheid en het testen op basis van een risicoanalyse om zwakheden op te sporen. In veel gevallen is er geen goed overzicht van de belangrijkste it-middelen of een goed inzicht in de mogelijke kwetsbaarheden daarvan.

DNB merkt op dat in het geval van zeer ernstige kwetsbaarheden, zoals het Log4j-lek, financiële instellingen weliswaar snel reageren, "maar het tegelijkertijd complex was om vast te stellen hoe kwetsbaar zij waren als gevolg van onduidelijkheid rondom de aanwezigheid van Log4j inactieve it-assets."

Tenslotte blijft volgens DNB response en recovery een blijvend aandachtsgebied voor de financiële sector in het kader van weerbaarheid tegen cyberaanvallen. Zo moeten reguliere business continuity en recovery plannen die zijn opgezet om zeer snel te kunnen herstellen van scenario’s zoals stroomuitval of brand waarschijnlijk worden uitgebreid om effectief te kunnen zijn bij grootscheepse cyberaanvallen zoals een ransomware-aanval.