In een serie interviews over de cyberveiligheid van verzekeraars gaat het Verbond van Verzekeraars in gesprek met experts uit de (financiële) sector. Welke vormen van cyberaanvallen vormen de grootste risico’s en hoe wapenen verzekeraars zich hier tegen? In dit interview delen Rogier Besemer (Manager Cyber Unit) en Jacco Jacobs (Head of department operational and IT risks) van DNB hun ervaring vanuit TIBER-NL.
Laten we beginnen bij het begin: wat is TIBER-NL?
Besemer: “Dat is een community waarin sinds 2016 de belangrijkste financiële instellingen van Nederland samenwerken om hun cyberweerbaarheid te vergroten. In eerste instantie vooral banken en betaalinstellingen, maar in 2018 zijn ook de grootste verzekeraars en pensioenuitvoerders betrokken. Deze bedrijven laten geavanceerde hacktesten op hun eigen omgeving uitvoeren. Vervolgens worden de bevindingen geanonimiseerd binnen de community gedeeld. Zo blijven zij cyberaanvallers een stap voor en kunnen wij in Nederland veilig onze financiële zaken regelen.”
Jacobs: “Wij besteden sowieso veel aandacht aan cyber. We merken ook dat de awareness groeit bij verzekeraars, maar er is en blijft werk aan de winkel. Bedrijven maken een digitaliseringsslag, medewerkers werken vaker thuis en cyberaanvallers veranderen hun technieken en methoden razendsnel. Het is dit jaar dan ook niet voor niets weer een belangrijk toezichtthema bij DNB.”
Jacco Jacobs
Een aantal verzekeraars heeft een hacktest ondergaan. Wat kwam daar uit?
Besemer: “De testen laten zien dat cyber security steeds serieuzer genomen wordt. De TIBER-testen werken. Als een instelling een tweede test ondergaat, is de weerbaarheid flink toegenomen. De veiligheid van onze verzekeraars is de afgelopen jaren verbeterd. Tegelijkertijd blijven aanvallers zichzelf razendsnel ontwikkelen, waardoor bedrijven alle zeilen bij moeten zetten om cyberdreiging het hoofd te blijven bieden. Daarom is het ook zo mooi om te zien dat onze meest kritische verzekeraars en pensioenuitvoerders vrijwillig meedoen aan het TIBER-NL testprogramma. Daarmee laten ze zien dat ze willen investeren en bereid zijn om van elkaar te leren door informatie te delen. Er is dus aandacht, samenwerking en kunde nodig om de snelle ontwikkeling bij te benen.”
“Er komen ook punten van aandacht naar voren uit de testen: we zien bijvoorbeeld dat verzekeraars meer IT-services uitbesteden dan banken. Door die outsourcing ontstaat er een keten van leveranciers. En hoewel de keten op papier misschien mooi is ingericht, blijkt in de praktijk niet altijd duidelijk wie waarvoor verantwoordelijk is. Een cyberaanval krijgt daardoor meer kans van slagen. De monitoring teams van de verschillende schakels zien bijvoorbeeld ieder maar een deel van de aanval en slaan dan geen alarm. Als je de monitoring combineert, gaan de alarmbellen wel af. Door de TIBER-testen ontdekten we deze kwetsbaarheid.”
“Daarnaast hebben verzekeraars veel unieke persoonsgegevens in handen. Denk bijvoorbeeld aan medische- en contactgegevens, ook die van mensen in belangrijke beroepen. Uit onze gesprekken blijkt dat bestuurders zich onvoldoende realiseren welke cyberaanvallers geïnteresseerd zijn in hun data. Het beeld bestaat dat het oké is als je net zo goed, of net iets beter beveiligd bent dan een andere verzekeraar. Dat is écht niet zo. Bestuurders moeten precies weten welke aanvallers op de loer liggen en hoe goed ze zijn. Dan pas kan het benodigde niveau van bescherming worden bepaald. En geloof me, dat niveau kan heel hoog zijn.”
Je hebt het nu over bestuurders, bedoel je niet IT-specialisten?
Besemer: “Nee. Verzekeraars werken veelal digitaal. Cyberveiligheid is daardoor essentieel voor het voortbestaan van de hele bedrijfsvoering. Daarom is het echt verstandig om aan de bestuurstafel iemand te hebben zitten met veel IT- en specifiek IT security-kennis. Sommige bestuurders of commissarissen hebben enige IT-achtergrond en kunnen intern goed doorvragen. Maar het gaat erom de lat hoger te leggen. Wat kan een bestuurder of RvC-lid uit de high tech sector ons leren bijvoorbeeld? Je moet vooruit kunnen denken, richting geven en de specifieke uitdagingen voor de sector kennen.”
Rogier Besemer
En nu?
Jacobs: “Zoals Rogier aangaf, blijven bestuurders vaak bij de vraag hoe goed het bedrijf is beveiligd in vergelijking met een branchegenoot en of de ‘basishygiëne’ op orde is. Maar er zijn nog twee belangrijke vragen. De eerste is: tegen wie moeten wij ons precies beschermen? En de tweede: als hackers erin slagen om binnen te dringen, hoe goed zijn we dan in staat om de schade te beheersen en oefenen we dat ook? Dit vinden we vanuit toezicht ook enorm belangrijk.”
Besemer: “TIBER-NL is een middel om door hacktesten deze vragen te beantwoorden. Dus niet hoe goed je denkt te zijn, maar je test echt je weerbaarheid en weet dan heel precies waar je moet investeren om te verbeteren. Pas dan kun je antwoord geven op: ken uzelf en uw vijand.”
Maar TIBER-NL is niet voor alle verzekeraars toegankelijk. Wat kunnen anderen doen om hun cyberveiligheid te verbeteren?
Jacobs: “Om te beginnen geldt er vanuit ons toezicht een minimale verwachting voor alle verzekeraars. Dit betekent dat zij 58 beheersmaatregelen op orde moeten hebben. En met de drie basisvragen die net genoemd zijn, kunnen zij het dreigingsbeeld in kaart brengen. Dit hoeven verzekeraars overigens niet allemaal zelf te doen. Daarvoor kan expertise worden aangetrokken.”
“En over die beheersmaatregelen gesproken: naast periodiek testen is ook goed patchmanagement een maatregel. Dat kan het tijdig installeren van belangrijke security updates zijn. Klinkt simpel, maar is het niet. Als je de krant openslaat waarin over recente hacks geschreven wordt, dan zijn deze vaak te herleiden naar achterstallig onderhoud. Ook uit onze toezichtonderzoeken, uitgevoerd in 2020, zien we dit terug. Het is dus vooral een maatregel waarbij bestuurders goed op de bal moeten zitten. En hiermee benadruk ik ook graag de commissarissen, want zij hebben een frisse, outside-in blik.”
Is een light versie van TIBER-NL een idee?
Jacobs: “Als er in de verzekeringssector dit jaar één actie kan worden gedefinieerd, dan is het meer samenwerken. Naast TIBER-NL zijn er ook andere manieren van testen die uitermate geschikt zijn voor verzekeraars, voor zowel grote als kleine. Dat loopt van vulnerability scanning, pentesten van een applicatie tot meer omvattende red team testen.”
“Het TIBER-programma is het hoogste niveau van testen wat we reserveren voor de meest kritische instellingen. En net zoals deze kritische financiële instellingen samenwerken, ben ik ervan overtuigd dat er veel winst is te behalen als verzekeraars dat ook doen als groep of vanuit de sector. DNB zal hier, rekening houdend met onze rol, graag een steentje aan bij blijven dragen. En het i-CERT van het Verbond kan eventueel een faciliterende rol spelen. Kortom; Het zou toch mooi zijn als er dit jaar een groep verzekeraars in beweging komt om samen aan de slag te gaan.”
Lees ook de andere delen uit de interviewreeks over cyberveiligheid van verzekeraars:
Simon Greve (VIVAT): Hoe goed zit onze digitale voordeur op slot?
Enriko Groen (Achmea): Verzekeraar kan ontwikkelingen niet in z’n eentje bijbenen