Risico's informatiebeveiliging bij financiële dienstverleners groter door Corona
De Autoriteit Financiële markten (AFM) waarschuwt financiële ondernemingen en accountants dat de risico's op het gebied van informatiebeveiliging door de Corona-crisis sterk zijn toegenomen. Onder andere het risico op datalekken door thuiswerken en een toenemende afhankelijkheid van (externe) dienstverleners worden expliciet genoemd door de toezichthouder.
In een speciale bijlage van de AFM staat dat er ‘op basis van signalen en in overleg met de Nederlandse Bank een zes-tal risico’s zijn geïdentificeerd’, te weten:
Het risico op datalekken als gevolg van thuiswerken.
Het risico dat IT-systemen van ondernemingen onveilig zijn door uitstel van de installatie van patches.
Het risico dat de dienstverlening van ondernemingen vermindert door uitval van medewerkers (key person risk).
Het risico dat de kwaliteit en continuïteit van de dienstverlening van (externe) service providers afneemt.
Het risico dat cybercriminelen toegang krijgen tot systemen door phishingactiviteiten.
Het risico dat ondernemingen slachtoffer worden van DDoS aanvallen.
"Thuiswerken maakt ondernemingen kwetsbaarder voor het risico op het lekken van gevoelige informatie, bijvoorbeeld door het gebruik van onveilige apparatuur of communicatiekanalen'“, aldus de toezichthouder. AFM ziet bij financiële dienstverleners een toenemende afhankelijkheid van (externe) dienstverleners,
Ook wordt met name phising genoemd in het verslag. Grote organisaties zoals bijvoorbeeld de Universiteit van Maastricht is door phising besmet geraakt door ransomsoftware waarna ze geen toegang meer had tot essentiële systemen en documenten. Cybercriminelen eisten losgeld die de universiteit uiteindelijk betaalde. Volgens de AFM is het cruciaal om medewerkers bewust te maken van de risico’s omtrent informatiebeveiliging en hebben de meeste financiële dienstverleners sinds het uitbreken van het coronavirus diverse awareness programma’s geïnitieerd. Deze programma’s zijn erop gericht om medewerkers in staat te stellen phishing te herkennen en op een veilige manier af te wenden. Ook zijn er enkele ondernemingen die zelf phishing aanvallen simuleren om (op een veilige manier) te toetsen hoe medewerkers reageren op dergelijke situaties.
#Aim2Awareness