Vorig jaar werd één op de twintig pensioenfondsen gehackt. Toezichthouders focussen daarom extra op cyberrisico’s. Thuiswerken in coronatijd vergrootte de risico’s en de dreiging van hybride oorlogvoering neemt toe. Dit brengt de pensioensector in staat van verhoogde alertheid.
De noodzaak om waakzaam te zijn voor cybercriminaliteit wordt niet alleen onderkend door toezichthouder De Nederlandsche Bank (DNB), maar ook door de sector zelf. Dit laat de Pensioenfederatie (PF) weten bij monde van voorzitter van de commissie risicomanagement Jeroen van der Put (foto). Naast deze functie is hij bestuurder van een APF en twee ondernemingspensioenfondsen.
Cybersecurity is een van de belangrijkste operationele risico’s voor pensioenfondsen, benadrukt Van der Put. ‘De kans dat je geraakt wordt door een cyberincident is reëel. Hackers werken op grote schaal en zijn zeer professioneel. Er is ook een levendige handel waarbij bepaalde hacks doorverkocht worden aan andere hackers die er verder op doorgaan. De gedachte dat je als klein pensioenfonds mogelijk niet zo op de radar staat van dit soort partijen is een illusie.’
In het Overzicht Financiële Stabiliteit (OFS) van afgelopen najaar bestempelde DNB cyberrisico als ‘een van de grootste bedreigingen’. In de IB-monitor 2021, specifiek gericht op de pensioen- en verzekeringssector, meldde de bank dat 5 procent van pensioenfondsen dat jaar te maken had met ‘een succesvolle cyberaanval’. DNB-afdelingshoofd expertisecentrum operationele en IT-risico’s Jacco Jacobs voegde hier tijdens een PensioenPro congres aan toe dat 15 procent van de slachtoffers ‘ook daadwerkelijk schade geleden heeft’.
Omdat DNB niet eerder zo’n sectorbrede studie deed, wil de toezichthouder nog niet spreken van een trend. ‘Cybersecurity staat al geruime tijd hoog op de lijst van te beheersen risico’s’, beaamt Van der Put. Wel ziet hij ontwikkelingen die extra aandacht rechtvaardigen. ‘In coronatijd gingen we massaal vanuit huis werken, waardoor het potentiële risico toenam en extra aandacht kreeg. De verhoogde aandacht is gebleven en wordt weer verder aangescherpt met de recente ontwikkelingen in Oost-Europa.’
Sabotage en verstoring
Hackers beperken zich niet alleen tot aanvallen voor geldelijk gewin, maar zijn volgens DNB vaak uit op ‘sabotage, verstoring en economische of politieke spionage’. De recente aanval op de Maastricht University, waarbij hackers netwerken platlegden en losgeld eisten, past in dit beeld. Maar veelal gaat het ook om stille, onopgemerkte aanwezigheid op het netwerk.
Achter dit soort hacks zitten dan vaak weer instanties ‘op het niveau van de natiestaat’, zo waarschuwt DNB. De Nationaal Coördinator Terrorismebestrijding en Veiligheid stelt dat ‘staten wiens doelstelling het is om de democratische rechtsorde in andere landen te ondermijnen, zoals Rusland, en staten met een actieve diasporapolitiek, zoals Iran en Turkije’ de gevaarlijkste zijn. Dit is te lezen in een rapport dat nog dateert van vóór de Russische inval in Oekraïne.
Een complicerende factor voor pensioenfondsen is dat de meeste processen zijn uitbesteed. ‘Daarmee zijn ze niet van het probleem af, maar moeten ze zorgen dat het in de hele keten van uitbesteding en onderuitbesteding goed geborgd is’, zegt Van der Put. ‘De belangrijkste aandacht gaat uit naar de pensioenuitvoeringsorganisaties en de eigen bestuursomgeving, maar ook het vermogensbeheer is in dit kader relevant.’
Hij wijst op het door DNB aangereikte raamwerk voor informatiebeveiliging met maar liefst 58 checks. ‘In de keten worden verschillende soorten maatregelen genomen. Enerzijds zijn er preventieve maatregelen om een hack te voorkomen, anderzijds detective maatregelen om een hack ook op te merken.’
Daarnaast is er veel aandacht voor awareness en cultuur, aldus de voorzitter van de PF-commissie risicomanagement. ‘De menselijke schakel kan zwak zijn en op een verkeerde link is zomaar geklikt. Ook bij uitbesteding is dit een aandachtspunt. Verschil in cultuur tussen fonds en uitvoerder kan tot verschil van inzicht leiden over wat nou precies de bedoeling is.’ Hierover en over incidenten of verhoogde risico’s, ‘zoals bij de ontwikkelingen in Rusland’, moeten partijen volgens hem voortdurend in gesprek blijven.
Plan achter de hand
De kans is groot dat je als pensioenfonds vroeg of laat geconfronteerd zal worden met een cyberincident, concludeert Van der Put. ‘In zo’n geval is het belangrijk dat je een plan hebt hoe daarmee om te gaan, waarbij je bijvoorbeeld kan terugvallen op back-ups van data.’
De commissie risicomanagement van de Pensioenfederatie pleit voor het delen van kennis over mogelijke risico’s en best practices over beheersing ervan. ‘Dat geldt zeker voor cyberrisico’s. Het is een onderwerp dat langjarig hoog op de agenda staat en er is een werkgroep die de vinger aan de pols houdt.’
Daarnaast is er sinds 2016 een specifieke Pensioen Information Sharing and Analysis Center (ISAC) voor pensioenfondsen en uitvoeringsorganisaties om kennis te delen en incidenten te bespreken. De Pensioenfederatie is aangesloten bij het digital trust center van het ministerie van Economische Zaken die dreigingsinformatie deelt. Deze informatie wordt overgenomen in de nieuwsbrieven van de federatie, waarbij 189 Nederlandse pensioenfondsen zijn aangesloten.
Van der Put: ‘Ik ben blij dat er zoveel samenwerking is en kennis wordt gedeeld over cyberrisico’s, want samen staan we sterker.’
Dit artikel is opgenomen in de derde editie van IO Institutioneel, de krant die gericht is op pensioenfondsbestuurders en pensioenbeleggers, en dezer dagen wordt bezorgd bij geregistreerden.
Gerelateerde artikelen op Investment Officer:
- Operational Due Diligence: geen overbodige luxe
- Waarom de risicomanager de nucleaire optie liever niet gebruikt
- AF Advisors: pensioenfonds, kies je operationele inrichting