In deze onzekere tijden van toenemende cyberdreiging moeten pensioenfondsbestuurders zich ‘in control’ voelen over de gehele keten – dus ook over de IT-processen bij uitvoerders en vermogensbeheerders.
De IT-eisen die worden gesteld aan externe partijen, zoals pensioenuitvoerders en vermogensbeheerders, zijn de laatste jaren verder opgeschroefd, stellen consultants van Willis Towers Watson (WTW) in gesprekken met IO|Institutioneel. ‘Pensioenfondsen moeten kunnen voelen: ik ben in control’, zegt Floris van Rijn, senior retirement consultant en director riskmanagement bij WTW in Amstelveen.
Als consultant met een actuariële achtergrond staat hij de laatste jaren steeds meer Nederlandse pensioenfondsen bij in het in kaart brengen van de IT-risico’s en het beheersen ervan. ‘Risicomanagement draait om het inzichtelijk maken van de risico’s: waar zit de zwakste schakel?’ Hij legt uit dat WTW helpt door bijvoorbeeld op te treden als gesprekspartner in een verbetertraject.
Dit kan bij de externe hostingpartij zijn waar gevoelige data op de servers worden opgeslagen, maar ook bij de eigen organisatie om te zien op welke manieren wordt omgegaan met vertrouwelijke informatie. ‘Je ziet nog steeds pensioenfondsbestuurders communiceren via een hotmail account’, zegt Van Rijn met enige verwondering. Hij adviseert om sowieso in vergaderstukken en andere documentatie die tussen partijen wordt verstuurd geen persoonsgegevens te vermelden en deze niet uit te wisselen via e-mail maar via een beveiligde omgeving of vergader-app.
Checks en requirements
Mede op aandringen van toezichthouders, waaronder De Nederlandsche Bank (DNB), vragen pensioenfondsen om inzicht in de bedrijfsvoering van de partijen waaraan vitale processen zijn uitbesteed. Dit kan bijvoorbeeld worden verkregen aan de hand van een ISAE-verklaring, ISO-certificering of SOC2 rapportage. Bij dergelijke vormen van assurance worden processen getoetst door een accountant of auditor.
DNB vraagt bijvoorbeeld om maatregelen uit het internationaal opgestelde Control Objectives for Information and Related Technologies (COBIT) raamwerk, maar heeft er ook een paar eigen checks aan toegevoegd. Zo wil DNB nu zien dat medewerkers awareness training krijgen om het risicobewustzijn te bevorderen en dat met ethical hacking de weerbaarheid van de organisatie wordt getest.
De verzekeringsbranche – een ander werkterrein van WTW – brengt al langer cyberrisico’s in kaart, stelt Gilles van Buyten, practice leader financial lines van WTW in Brussel. Verzekeraars in de Benelux zijn inmiddels als zo’n tien jaar aanbieder van cyberverzekeringen. Na een paar forse schadegevallen zijn ze wel aanmerkelijk strenger geworden in de acceptatie van nieuwe polissen.
‘Je steeds vaker in de kranten over miljoenenschades. Als potentiële klanten dan bij ons aankloppen, kunnen wij ze toetsen aan de zogenaamde minimum requirements van de verzekeraars’, aldus Van Buyten. Uit discussies hierover zijn een achttal vereisten gekomen waaraan een klant, bijvoorbeeld een pensioenfonds, moet voldoen om een verzekering te kunnen afsluiten.
De voornaamste eis is dat het inlogproces van een potentiële klant beveiligd is met multifactor-identificatie. De groei in thuiswerken tijdens de Covid19-pandemie heeft deze beveiliging – met naast een user name en password combinatie ook een token of iets dergelijks – extra relevant gemaakt. Van Buyten: ‘Zo’n 90 tot 99 procent van alle hacks kan op deze manier vermeden worden.’
Het detecteren van wie aanmeldt, is een volgende stap. Training is een derde. Het is belangrijk dat een ‘bemand centrum’ actief aan monitoring doet. Om schade te beperken, dienen verder regelmatig backups gemaakt te worden. Ook kan het netwerk gesegmenteerd worden, zodat een crimineel die eenmaal binnen weet te komen, niet overal gelijk bij kan. De laatste twee van de achttien requirements zijn het managen van toestellen en van wie wat mag installeren.
Cyber kill chain
Hackers werken typisch via een vast patroon, wijst Van Buyten. Dit wordt aangeduid als de kill chain en kent acht fasen. De eerste is de verkenning, de hacker gaat op zoek naar een gewillige prooi. ‘Er is bijvoorbeeld een zwakte gebleken in bepaalde software, dan gaan ze op zoek naar bedrijven die daar gebruik van maken.’ Vervolgens kijken ze bijvoorbeeld via sociale media naar werknemers die ‘een gemakkelijke target’ vormen.
De tweede stap is de infiltratie, het zich verschaffen van toegang. Als dit lukt, volgt stap drie: het uitbuiten ervan door binnen te dringen. In stap vier, de escalatie, worden administrator-rechten opgebouwd voor de gehackte accounts. Dan volgt stap vijf: de verspreiding. ‘Ze infecteren zo veel mogelijk accounts en toestellen met malware.’ Het creëren van dwaalsporen om later onderzoek te bemoeilijken, is stap zes.
Stap zeven is typisch de denial of access, de gehackte is nu in de macht van de hacker. Die kan het systeem op slot zetten en losgeld eisen voor het vrijgeven van het systeem en dreigen gevoelige informatie te verspreiden. De laatste stap is de exfiltratie, de hacker maakt zich zo onzichtbaar mogelijk uit de voeten.
Buiten eventueel betaald losgeld – waarover betrokkenen nooit iets zeggen – blijft het moeilijk om de exacte schade van een cyberincident te bepalen, beaamt Van Buyten. Hij noemt exploitatieverliezen en kosten van systemen die wellicht vervangen moeten worden. Maar wat kost een datalek?
Onder een cyberpolis vergoeden verzekeraars vaak de kosten die een getroffene moet maken om de schade in elk geval te beperken, bijvoorbeeld voor het inhuren van advocaten, IT-specialisten of reputatiemanagers. Zo kan met de juiste crisiscommunicatie de imagoschade worden beperkt. Op de vraag of veel pensioenfondsen al een cyberverzekering hebben, zegt Van Rijn: ‘Nee, nog maar een paar. In dit geval is voorkomen wellicht beter dan genezen.’