De storingen en onderbrekingen die deze maand de financiële sector troffen, tonen ten overvloede de kwetsbaarheden aan die gepaard gaan met de afhankelijkheid van technologie. Regelgeving zoals Dora toont echter een zekere volwassenheid in het anticiperen op dergelijke problemen, aldus experts.
Augustus kende zijn deel aan technische verstoringen, waarbij online brokers zoals Fidelity Investments en Charles Schwab werden getroffen op wat Reuters een “frenetische handelsdag” noemde. Gebruikers konden hun posities niet bekijken, laat staan beheren, hoewel de problemen dezelfde dag nog werden opgelost.
Daarnaast zorgde de defecte CrowdStrike-update op 19 juli voor een historische storing die miljoenen Microsoft-gebruikers trof – opnieuw een herinnering aan tech-gerelateerde kwetsbaarheden. Een analyse van Parametrix schatte de directe financiële verliezen voor Fortune 500-bedrijven in de VS, exclusief Microsoft, als gevolg van de storing op 5,4 miljard dollar, waarbij de gezondheidszorg- en bankensector bijzonder zwaar werden getroffen, met respectievelijk ongeveer 1,9 miljard en 1,1 miljard dollar.
Op de dag van de storing gaf de Luxemburgse financiële toezichthouder, de Commission de Surveillance du Secteur Financier (Cssf), een verklaring af. Daarin riep zij ‘in Luxemburg gevestigde beleggingsbeheerders en instellingen voor collectieve beleggingen (UCI’s), evenals alle entiteiten die betrokken zijn bij de werking van deze entiteiten’, op om de impact van deze IT-storing grondig te beoordelen en passende maatregelen te nemen om de continuïteit van de UCI’s te waarborgen.
Er werd ook verwezen naar een technisch rapport van Circl, het Computer Incident Center Luxembourg, gehost door het Luxembourg House of Cybersecurity (LHC). Circl documenteert, rapporteert en reageert regelmatig op dergelijke kwesties en fungeert als een “brandweer” met betrekking tot cyberdreigingen.
Robuust cyber-ecosysteem
In een recent interview met Investment Officer wees LHC-oprichter en ceo Pascal Steichen op enkele van Luxemburgs ranglijsten op het gebied van cyberbeveiliging. De Global Security Index beoordeelt het Groothertogdom bijvoorbeeld als elfde wereldwijd en zevende in Europa voor zijn inzet voor cyberveiligheid.
‘Voor zo’n klein land is dat behoorlijk goed’, legt Steichen uit. ‘De ontwikkeling van de financiële sector in de afgelopen decennia – vanwege de hoge gevoeligheid van de sector rond gegevensprivacy en beveiliging – heeft ervoor gezorgd dat er een aanzienlijk cyberbeveiligingsecosysteem is ontstaan in Luxemburg.’
Er zijn meer dan 320 bedrijven actief in cyberbeveiligingsgerelateerde diensten, en Steichen benadrukte ook de langetermijnbetrokkenheid van de overheid bij de sector, met de eerste nationale cyberbeveiligingsstrategie die al in 2012 werd gelanceerd. En hoewel de CrowdStrike-update niet gelinkt was aan kwaadaardige inbraken, merkt Steichen op: ‘Wat een beetje zorgwekkend is, ook al is het niet direct gerelateerd, is dat we de afgelopen jaren meer aanvallen hebben gezien, maar ook andere problemen met beveiligingsproducten zelf, omdat ze meer AI en automatisering gebruiken.’ Zo zijn VPN-aanvallen bijvoorbeeld steeds vaker voorgekomen.
Ondertussen houden spelers zoals het LHC ook rekening met toekomstige dreigingen, zoals kwantumcomputing. ‘De algoritmen van vandaag zijn gebaseerd op bepaalde wiskundige procedures die zeer moeilijk te verwerken zijn met traditionele computers, maar heel gemakkelijk met kwantumcomputers’, voegt de ceo toe.
Hoewel de Digital Operational Resilience Act (Dora) van de EU – van toepassing vanaf 17 januari 2025 – niet de eerste wetgeving is die cyberkwetsbaarheden in de financiële sector aanpakt, ziet Steichen een bepaalde volwassenheid in de tekst. De focus ligt niet alleen op technologie of externe IT-bedrijven; Dora ‘brengt meer procedurele elementen naar voren’, zoals duidelijke processen, bedrijfscontinuïteit, rapportage en communicatie, organisatie en governance, enzovoort.
Versterking van governance
Vergelijkbare gevoelens werden gedeeld door Marc Mouton en Yann Fihey van Arendt. Mouton, partner in de praktijk voor bank- en financiële diensten, wees erop dat de Cssf al hoge normen hanteert, en financiële spelers zoals banken, betalingsinstellingen en beleggingsondernemingen onderworpen zijn aan brede eisen.
Mouton noemt echter “belangrijke nuances” met betrekking tot Dora, zoals de versterking van governance en procedures, uitbreiding van incidentrapportage en het hebben van een goed gedocumenteerd raamwerk. ‘De boodschap van de toezichthouders, met name de Cssf, is duidelijk: vertrouw niet te veel op de bestaande regelingen, maar analyseer echt in detail de hiaten en upgrades die moeten worden uitgevoerd’, aldus Mouton.
Fihey, partner en lid van het managementcomité van Arendt Regulatory & Consulting, benadrukte dat het CrowdStrike/Microsoft-incident niet alleen aantoont hoe systemen steeds meer geïntegreerd raken en hoe één bug een “sneeuwbal- of domino-effect” kan veroorzaken, maar ook het belang van risicobeheer versterkt. ‘Er is een risicogebaseerde aanpak vereist in de geest van Dora’, voegt hij toe.
Onder de Dora-gerelateerde klantendiensten bij Arendt zijn gap-analyses om dergelijke risico’s te bepalen, advies over het dichten van deze hiaten, evenals IT-beveiliging als dienst. En de risico’s van niet-naleving kunnen kostbaar zijn: Mouton wees erop dat administratieve boetes voor bedrijven kunnen oplopen tot 5 miljoen euro, of 10 procent van de totale jaaromzet op geconsolideerde basis.
Hoewel de beleidsmaatregelen, procedures, contractonderhandelingen, enz. achter Dora inderdaad tijd kunnen vergen, wees Fihey erop dat de impact op systemen bijzonder complex kan zijn: ‘Als de analyse aantoont dat er kwetsbaarheden zijn in een systeem, en u een back-up oplossing of workaround nodig heeft om het risico van onbeschikbaarheid van het systeem op te vangen, kan dit vanuit technisch perspectief vrij lang duren om te implementeren.’
Ondertussen heeft de Cssf deze week een Dora-voorbereidingsenquête met tien vragen gelanceerd, waarin relevante entiteiten worden uitgenodigd om deel te nemen. De enquête is bedoeld om de Dora-gereedheid en uitdagingen van de markt te beoordelen, evenals om meer bewustwording te creëren en bedrijven aan te moedigen zich voor te bereiden.
De originele versie van dit artikel in het Engels is te lezen op investmentofficer.lu.