image

"Financiële sector moet updates en end-of-life systemen meer aandacht geven"

woensdag 6 juli 2022, 17:25 door Redactie, 4 reacties

De weerbaarheid van de financiële sector tegen cyberaanvallen is nog niet voldoende. Zo moet er meer aandacht voor patchmanagement en end-of-life systemen komen, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). Vandaag publiceerden toezichthouders van verschillende sectoren het rapport "Samenhangend inspectiebeeld cybersecurity vitale processen".

Daarin pleiten de toezichthouders gezamenlijk voor meer aandacht voor het risicomanagement bij organisaties. De toezichthouders geven ook per sector aan wat ze tijdens het toezicht tegenkwamen. In het geval van DNB hebben de onderzoeken bij financiële instellingen drie hoofdthema's opgeleverd. Het risicomanagement gericht op informatiebeveiliging moet beter, het beheersen van informatiebeveiliging in ketens vereist meer aandacht en de weerbaarheid tegen cyberaanvallen moet worden versterkt.

Zo ontbreekt het bij sommige financiële instellingen aan een volledig inzicht in de beheersmaatregelen bij dienstverleners en eventuele onderaannemers die zijn betrokken in de uitbestedingsketen. "Deze waarnemingen kunnen cyberrisico’s opleveren voor instellingen, immers door uitbesteding worden instellingen blootgesteld aan het aanvalsoppervlak van de dienstverlener. Steeds vaker blijkt dat gerichte cyberaanvallen op organisaties en bedrijven starten bij een dienstverlener van de financiële instelling", aldus DNB.

Verder blijkt dat er bij financiële instellingen nog veel risico's zijn op het gebied van cyberhygiëne. Het gaat dan om volwassenheid van vulnerability & patch management, beheersing van end-of-life systemen en cyberweerbaarheid en het testen op basis van een risicoanalyse om zwakheden op te sporen. In veel gevallen is er geen goed overzicht van de belangrijkste it-middelen of een goed inzicht in de mogelijke kwetsbaarheden daarvan.

DNB merkt op dat in het geval van zeer ernstige kwetsbaarheden, zoals het Log4j-lek, financiële instellingen weliswaar snel reageren, "maar het tegelijkertijd complex was om vast te stellen hoe kwetsbaar zij waren als gevolg van onduidelijkheid rondom de aanwezigheid van Log4j inactieve it-assets."

Tenslotte blijft volgens DNB response en recovery een blijvend aandachtsgebied voor de financiële sector in het kader van weerbaarheid tegen cyberaanvallen. Zo moeten reguliere business continuity en recovery plannen die zijn opgezet om zeer snel te kunnen herstellen van scenario’s zoals stroomuitval of brand waarschijnlijk worden uitgebreid om effectief te kunnen zijn bij grootscheepse cyberaanvallen zoals een ransomware-aanval.

Reacties (4)
07-07-2022, 10:47 door Anoniem
Dit is laaghangend fruit. Tijdig bijwerken geldt bijna altijd en iedereen kon zien dat ze met verouderde systemen werken. Ik hoop niet dat ze teveel betaald hebben voor dit advies.

Ik kan met niet voorstellen dat dit de enige zwakheden zijn (wel de meest voor de hand liggende)
07-07-2022, 11:40 door Anoniem
SBOM (software bill of materials) zou ontzettend helpen bij het identificeren van kwetsbare software.... Net als product verantwoordelijkheid van de leverancier
07-07-2022, 14:04 door Anoniem
Dit is laaghangend fruit. Tijdig bijwerken geldt bijna altijd en iedereen kon zien dat ze met verouderde systemen werken. Ik hoop niet dat ze teveel betaald hebben voor dit advies.

Met behulp van dat laaghangend fruit, dat bij inspecties naar boven komt, kan men wel in de omgevingen van financiele instellingen binnen dringen. Dat moet verholpen worden. Het ligt niet aan de inspectie dat deze zaken boven komen drijven, maar aan nalatigheid bij de geinspecteerde instanties.
07-07-2022, 15:31 door Anoniem
Door Anoniem:
Dit is laaghangend fruit. Tijdig bijwerken geldt bijna altijd en iedereen kon zien dat ze met verouderde systemen werken. Ik hoop niet dat ze teveel betaald hebben voor dit advies.

Met behulp van dat laaghangend fruit, dat bij inspecties naar boven komt, kan men wel in de omgevingen van financiele instellingen binnen dringen. Dat moet verholpen worden. Het ligt niet aan de inspectie dat deze zaken boven komen drijven, maar aan nalatigheid bij de geinspecteerde instanties.

Dat is natuurlijk wel waar maar ik had gehoopt op iets interessanter leesvoer. Dit verveelt. Dit artikel wekt de indruk dat dit de enige zwakheden zouden zijn. Als dit al fout gaat dan zijn er vast wel interessantere zwakheden te melden waar we van kunnen smullen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.