Embed Size (px)
Citation preview
Informatie-beveiligingsmonitor 2018
2
Inleiding
1 Zie voor nadere toelichting de ‘Disclaimer’.
DNB doet al een aantal jaren onderzoek bij banken, pensioenfondsen en verzekeraars naar informatiebeveiliging (IB). Ook ontvangt DNB meldingen van cyber-incidenten en is de weerbaarheid van instellingen op het gebied van cybersecurity getest in het kader van het TIBER-programma. Wat wij hierbij allemaal gezien hebben, presenteren wij u graag in deze ‘IB-monitor’.
Basis voor de IB-monitor is het jaarlijkse onderzoek bij pensioenfondsen en verzekeraars. Uit de toezichtgesprekken met bancaire instellingen en andere onderzoeken, blijkt dat de waarnemingen uit het IB-onderzoek 2018 relevant zijn voor de gehele Nederlandse financiële sector.
In de IB-monitor leest u:1. De doelstelling en achtergrond
van het DNB onderzoek naar informatiebeveiliging.
2. De belangrijkste waarnemingen uit het onderzoek in 2018.
3. Een vooruitblik op DNB onderzoeken naar informatiebeveiliging in 2019.
In 2018 is in de onderzoeken aandacht besteed aan specifieke cyberdreigingen en maatregelen die instellingen treffen. Een uitwerking hiervan vindt u terug in de bijlage.
DNB is van plan de IB- monitor jaarlijks te publiceren.
Ter concretisering van onze waarnemingen zijn in separate kaders voorbeelden opgenomen. Deze voorbeelden hebben niet een verplichtend karakter1.
3
Inhoud
4
Doelstelling en achtergrond
2 art. 3:17 Wft en art. 18 Besluit FTK.
3 Zie voor meer informatie over het self-assessment “Open Boek Toezicht”: http://www.toezicht.dnb.nl/3/50-203304.jsp.
Informatiebeveiliging is een fundamenteel onderdeel van de beheerste en integere bedrijfsvoering van onder toezicht staande financiële instellingen. Instellingen beschikken over adequate procedures en maatregelen ter beheersing van de te lopen risico’s, zoals de IB-risico’s, rekening houdende met de aard en omvang van de instelling en de hieraan gerelateerde inherente risico’s2.
Om de kwaliteit te meten van de beheersing van IB heeft DNB een toetsingskader ontwikkeld3. Om het niveau van IB vast te kunnen stellen, hanteert DNB een model uit het DNB toetsingskader waarin de verschillende niveaus zijn toegelicht. Het toetsingsniveau is gekoppeld aan de mate van aantoonbaarheid van opzet, bestaan en werking van getroffen maatregelen. Voor maatregelen op het gebied van risicomanagement is het hierbij van belang dat ook de evaluatie op het risicobeheersingsraamwerk aangetoond kan worden.
DNB voert elk jaar IB-onderzoeken uit bij een selectie van instellingen om vast te stellen op welk niveau IB bij die instellingen wordt beheerst. Voor dat onderzoek selecteren we instellingen die niet eerder voor een IB-onderzoek zijn geselecteerd (0-metingen) en we doen een aantal vervolgmetingen. De beoordeling van de IB is ‘principle based’. Hierbij wordt rekening gehouden met de aard, omvang en complexiteit van de instelling.
In 2018 heeft DNB in het bijzonder aandacht besteed aan de beheersing van IB-risico’s in de uitbestedingsketen.
Deze bijzondere aandacht kwam voort uit de trend die wordt waargenomen van cyberaanvallen via toeleveranciers, waardoor de gehele keten, inclusief de instelling, slachtoffer kan worden.
5
Waarnemingen
Op basis van ons IB-onderzoek in 2018 hebben wij de volgende waarnemingen: ▪ Niet steeds is expliciet aandacht gegeven aan analyses van cybersecuritydreigingen en -maatregelen.
▪ Aandacht voor het op niveau brengen en houden van informatiebeveiligingsmaatregelen schiet soms te kort.
▪ Pensioenfondsen en verzekeraars hebben niet altijd inzicht in de risico’s en de effectiviteit van informatiebeveiligingsmaatregelen in de uitbestedingsketen.
▪ Er komen soms ongewenste combinaties voor in toegangsrechten van applicaties en processen (toxic combinations).
5
6
Analyses van cybersecurity dreigingen en -maatregelen
4 Bijvoorbeeld door het verwerken van IB- en cyberrisico’s in de ORSA (verzekeraars) of de ERB (pensioenfondsen).
5 DNB verwacht Niveau ‘4’ op het gebied van IB-risicomanagement (#4.1, #4.2 en #4.3) wat betekent dat in aanvulling van opzet, bestaan en werking (niveau 3)
ook de effectiviteit van de beheersmaatregel periodiek wordt geëvalueerd en dat, naar aanleiding van die reflectie, eventueel door de instelling zelf noodzakelijke
verbeteringen in gang zijn gezet.
Het dreigingsbeeld in de financiële sector verandert. Op basis van door instellingen gemelde incidenten in 2018 ziet DNB als top drie: DDoS-aanvallen, gevolgd door ongeautoriseerde toegang en (on)bewuste ‘datalekken’. Verder zien we een gespreid beeld van verschillende typen incidenten – zie figuur 1.
Uit het onderzoek blijkt dat instellingen in hun risk-management-framework aandacht besteden aan het beoordelen en beheersen van IB-risico’s. De IB- onderzoeken laten zien dat de periodieke evaluatie van het riskmanagement framework en IB-maatregelen niet frequent plaatsvindt of onvoldoende inspeelt op ontwikkelingen op het gebied van IB4. Dat is wel essentieel, omdat (cyber)dreigingen toenemen en veranderen. De maatregelen op het gebied van IB-riskmanagement (#4.1, #4.2 en #4.3) uit het DNB toetsingskader hebben dan ook in het onderzoek van
2018 gemiddeld genomen een lager volwassenheidsniveau5. Wat hierbij opvalt, is dat de (IT) riskmanagement raamwerken en processen weinig aandacht besteden aan concrete cybersecurity dreigingen, zoals phishing, ransomware en hacking. Veelal komen in de risico-analyses van instellingen meer de klassieke scenario’s aan bod.
Recente inzichten, onder meer uit de terugkoppelingen van de TIBER-testen, hebben geleerd dat aandacht nodig blijft voor het detecteren en analyseren van cyber-aanvallen en dat meer aandacht uit zou moeten gaan naar het reageren hierop en het herstel daarna. Dergelijke scenario-analyses (of afwegingen waarom deze niet van toepassing zijn) verwacht DNB als basis voor de (IT)riskmanagement raamwerken en/of in crisismanagement simulaties.
Uit het onderzoek blijkt bovendien dat instellingen vaak onvoldoende inzicht
Cyberrisico’s hoeven niet alleen direct gericht te zijn op uw instelling maar kunnen ook via uw instelling gericht zijn op anderen. Belangrijk bij het in kaart brengen van cybersecurity dreigingen: “Ken uw vijand”; weet wat de risico’s zijn door de dreiging te kennen van actoren die het op de instelling gemunt hebben. Ook is het goed om aandacht te hebben voor dreigingen die niet gericht zijn op de instelling zelf maar waarbij de instelling onderdeel is van een zogenaamd ECO-systeem voor het uitvoeren van een cyber-aanval, bijvoorbeeld door gebruik te maken van de IT-infrastructuur van uw instelling. Oftewel: “Ken uw plek in het ECO-systeem”.
Een aantal instellingen voert calamiteitentesten uit op basis van realistische cybersecurity-scenario’s. Realistische cyber-scenario’s leiden namelijk vaak tot actualiseren van beheersmaatregelen. Zij testen bijvoorbeeld welke acties moeten worden genomen na een geslaagde hack van een kritisch informatiesysteem. Deze instellingen realiseren zich dat voor het reageren op en het herstel van cyber-events, niet alleen kan worden gesteund op reeds bestaande reguliere business continuity processen. Want in het geval van een klassiek scenario als stroomuitval zal herstel van de IT-omgeving erop zijn gericht zo snel mogelijk weer operationeel te zijn. In het geval van een cyberaanval zal ook voldoende aandacht moeten worden besteed aan forensisch onderzoek om in kaart te brengen òf data is gemanipuleerd en zo ja welke data. Hiervoor is het vaak noodzakelijk om IT-omgevingen te ‘bevriezen’, wat haaks kan staan op de wens zo snel mogelijk weer operationeel zijn.
7
hebben in de getroffen (technische) cybersecurity maatregelen.
Dit betreft met name maatregelen uit het DNB-toetsingskader die te maken hebben met een veilige infrastructuur (maatregel #18.1 tot en met #18.5). Recente malware-aanvallen hebben geleerd dat reeds bekende kwetsbaarheden kunnen worden misbruikt als bijvoorbeeld patchlevels niet up-to-date zijn, netwerkverkeer en gegevens onvoldoende zijn beveiligd met cryptografische toepassingen of dat het interne netwerk onvoldoende is gesegmenteerd.
DNB stelt op basis van het toetsingskader vast dat instellingen in onvoldoende mate beleid, processen en procedures ‘in place’ hebben voor het beheer van
cryptografische certificaten/sleutels (maatregel #18.3). Ook de daadwerkelijke werking van certificaten/sleutels kan onvoldoende worden aangetoond, bijvoorbeeld ten aanzien van het interne netwerkverkeer, e-mailverkeer en/of encryptie van databases en gegevens. Een adequaat proces voor het beheren van certificaten/sleutels (Life Cycle Management) is daarmee onvoldoende aantoonbaar. Bij een noodzakelijke wijziging in cryptografische certificaten/sleutels kan de instelling onvoldoende vaststellen of deze wijziging ook daadwerkelijk overal is doorgevoerd. De instelling loopt dan het risico dat cryptografische sleutels (niet tijdig) zijn geactualiseerd, waardoor ongeautoriseerde toegang tot gegevens mogelijk is.
1%1%
25%
15%
11%10%
8%
7%
6%
4%
4%
3%2% 2%
Figuur 1 Gemelde incidenten
1% Pretexting
DDos is meest voorkomende incident
1% Intentional misuse of access rights by service provider
25% Denial of service
15% Unauthorised access
11% Accidental data leakage/corruption
10% Phishing/*ishing
8% Brute force attack
7% Malicious script injection and/or OS commanding
6% Malware
4% Insider/Third party provider threat
4% Other
3% Social engineering
2% Ransomware
2% Trojan Horse
Een aantal instellingen heeft aandacht besteed aan het periodiek (laten) uitvoeren van vulnerability scanning en pen-testen om meer inzicht te krijgen in de potentiele cybersecurity kwetsbaarheden. Specifieke aandacht bij met name penetratietesten gaat dan uit naar de genomen cryptografische maatregelen. In voorkomende gevallen eisen instellingen dat derde partijen aan wie is uitbesteed dergelijke periodieke penetratietesten en vulnerability scanning activiteiten onderdeel laten uitmaken van assurance verklaringen. Door het uitvoeren van deze testen, verkrijgt de instelling meer inzicht in het beheersen van de actuele kwetsbaarheden op het gebied van IB.
8
Noodzakelijk om maat regelen op het gebied van IB op niveau te brengen en te houden
6 Hierin zijn opgenomen de onderzoeken in de periode 2010 tot en met 2018.
De volwassenheid van IB van individuele instellingen neemt toe: dit is op te maken uit vervolgmetingen bij dezelfde instellingen. Figuur 2 toont een overzicht van de ontwikkelingen in de financiële sector gerangschikt naar het type meting (0-meting is de initiële meting)6.
Tegelijkertijd ontwikkelen IB-risico’s zich, waardoor de beheersing van deze risico’s zich mee moeten blijven ontwikkelen. Dit is voor instellingen een voortdurende uitdaging, hetgeen ook blijkt uit de lichte terugval van het volwassenheidsniveau bij 3-metingen (87% op niveau) ten opzicht van 2-metingen (88% op niveau).
IB is daarmee geen papieren exercitie: het is van belang dat continue aandacht aanwezig blijft bij besturen en directies van instellingen voor het op niveau brengen en houden van informatiebeveiliging.
DNB heeft de IB-maatregelen uit het onderzoek ingedeeld naar verschillende domeinen. In figuur 3 is zichtbaar gemaakt in welke mate de beheersmaatregelen op het door DNB verwachte volwassenheidsniveau zijn, afgezet tegen de verschillende domeinen.
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0 1 2 3
63%
80%
88% 87%
Figuur 2 Percentage op niveau
Figuur 3 Percentage van controls op niveau
1. Strategy & Policies
2. Organisation
3. People
4. Processes
5. Technology
6. Facilities
0% 20% 40% 60% 80% 100%
9
Inzicht in de risico’s en de effectiviteit van IB-maatregelen in de uitbestedingsketen
7 Effectief door aantoonbare testen, bijvoorbeeld middels assurance rapportages en door in staat gebleken
te zijn om de impact van incidenten te beperken.
De aan uitbesteding gerelateerde maatregelen uit het DNB toetsingskader scoren gemiddeld genomen een laag volwassenheidsniveau. De maatregelen kunnen vaak niet worden aangetoond qua opzet, bestaan en werking op de gebieden van Service Level Management (maatregel #14.1), Supplier Risk management (maatregel #14.2) en het ontvangen van zekerheid (assurance) op het controleraamwerk van de uitbestedingspartij(en) (maatregel #16.3).
Regelmatig zijn uitbestedingspartijen verantwoordelijk voor het uitvoeren van (een gedeelte van) de maatregelen op het gebied van IB. De instellingen hebben vaak onvoldoende inzicht om daarmee aan DNB aan te geven welke maatregelen deze uitbestedings-partijen qua opzet hebben getroffen om ‘in control te zijn'. Ook ontbreekt het inzicht bij de instellingen of de getroffen maatregelen ook daadwerkelijk effectief7 zijn. Als individuele partijen dit inzicht wel
hebben, zijn in voorkomende gevallen de onderlinge afhankelijkheden tussen partijen niet bekend. Onbekend is dan of het geheel aan getroffen maatregelen bij de diverse partijen voor de gehele keten afdoende is. Met als gevolg dat partijen in de gehele keten risico kunnen lopen: de keten is zo sterk als de zwakste schakel.
Uit het onderzoek komen vier observaties naar voren:
▪ Mogelijke IB-risico’s ten aanzien van nieuwe en bestaande uitbeste-dingspartijen worden onvoldoende geïdentificeerd, waardoor belangrijke mitigerende maatregelen ontbreken in bijvoorbeeld contracten en service level afspraken.
▪ Indien informatiebeveiligings afspraken zijn gemaakt, wordt onvoldoende gemonitord of deze operationele afspraken daadwerkelijk worden nagekomen.
▪ Instellingen beoordelen in onvoldoende mate de kwaliteit van het interne beheersingsraamwerk bij serviceproviders, om zich ervan te verzekeren dat deze uitbestedings-partijen voldoen aan overeengekomen service afspraken en wet- en regelgeving.
▪ Assurancerapportages zijn niet volledig, hebben een (te) beperkte scope en dekken niet alle essentiële IB-maatregelen van uitbestedings-partijen af (inclusief onderuitbe-stedingen).
0%
10%
20%
30%
40%
50%
60%
70%
63%
Figuur 4 Percentage instellingen op niveau
64% 64%
52%
14.1 Monitoring and reporting of SLA’s
14.2 Supplier risk management
16.3 Internal control of third parties
Een aantal instellingen heeft afspraken met service providers vastgelegd over autorisaties van gebruikers, inrichting van systemen conform afgesproken baselines en meer algemeen het uitvoeren van processen in overeenstemming met het door de instelling gehanteerde informatiebeveiligingsbeleid. Daar waar de instelling steunt op externe assurance verklaringen over de dienstverlening van de leverancier en deze verklaring relevante bevindingen kent, hebben instellingen zelf additionele onderzoeken (of audits) uitgevoerd om voldoende zekerheid te krijgen.
10
Ongewenste combinaties in toegangsrechten van applicaties en processen (toxic combinations)
De maatregelen die instellingen nemen voor toegangsrechten en gebruikersaccounts (#7.1, #17.1 en #17.2) hebben in het IB-onderzoek van 2018 gemiddeld genomen een lager volwassenheidsniveau. Opzet, bestaan en werking kan dan onvoldoende worden aangetoond. Het ontbreekt opmerkelijk vaak aan een formeel vastgestelde norm in bijvoorbeeld de vorm van een autorisatiemodel. Aan de hand van een autorisatiemodel kan de instelling vervolgens periodiek beoordelen of taken, verantwoordelijkheden en functiescheidingen correct in de IT-systemen zijn ingericht. Daarnaast ontbreekt regelmatig een risicogebaseerde analyse op bedrijfskritische processen en -systemen, op basis waarvan is vastgesteld welke functiescheidings-conflicten niet alleen binnen, maar ook over de verschillende systemen inzichtelijk kunnen worden gemaakt en vervolgens kunnen worden gemeten.
Als wel een autorisatiemodel aanwezig is, dan is vaak een of meer van de volgende vier tekortkomingen vastgesteld:
▪ Onvoldoende is vastgelegd dat het autorisatiemodel in lijn is met de functies van de medewerkers.
▪ Het model is niet actueel en/of recent vastgesteld.
▪ Er is geen periodieke controle uitgevoerd of de daadwerkelijke inrichting van autorisaties in de IT systemen in overeenstemming is met het autorisatiemodel.
▪ Een relatief groot aantal accounts is met hoge rechten in de IT-systemen aanwezig. Recente cyberdreigingen hebben aangetoond dat de impact hoog kan zijn als een dergelijk account met hoge rechten kan worden misbruikt.
Een aantal instellingen brengt op basis van een risico gebaseerde benadering niet alleen de gewenste functiescheidingen per applicatie in kaart, maar nadrukkelijk ook per proces indien dit proces wordt ondersteund door meerdere applicaties. Dit voorkomt dat functiescheidingen op procesniveau kunnen worden doorbroken, terwijl deze per individuele applicatie in het proces wel conform eis zijn ingericht. Tegelijkertijd brengen instellingen het aantal accounts met hoge rechten terug.
Met een dergelijke aanpak kunnen ongewenste functievermengingen (toxic-combinations) en de daarmee samenhangende risico’s, worden vermeden.
1111
Vooruitblik
8 www.dnb.nl/binaries/Toezicht%20Vooruitblik%202019_tcm46-380420.pdf.
9 https://www.toezicht.dnb.nl/3/50-203304.jsp.
In toezicht vooruitblik 20198 leest u waaraan DNB extra aandacht besteedt in het toezicht op de financiële sector en het adresseren van operationele en IT-risico’s in het bijzonder. De IB-onderzoeken zijn hier onderdeel van. Ook in 2019 zullen we expliciet aandacht blijven besteden aan de risico’s en beheersing van informatiebeveiliging in de uitbestedingsketen en we doen een follow-up van gesignaleerde tekortkomingen uit eerder onderzoek. DNB is voornemens de uitvraag verder te ontwikkelen en dit jaarlijks structureel uit te vragen. Over de wijze en vorm zullen we de sector nader informeren.
Update DNB toetsingskader informatiebeveiliging De IB-onderzoeken in 2019 voeren we uit aan de hand van een geactualiseerd toetsingskader Informatiebeveiliging. Op basis van een aantal door DNB uitgevoerde pilotonderzoeken in 2018 naar cybersecurity en na consultaties met vertegenwoordigers van de sector, zullen we het kader actualiseren. In het geactualiseerde toetsingskader is het onderwerp cybersecurity meer expliciet geadresseerd. Hierbij komen onderdelen als het detecteren (‘detect’), reageren (‘respond’) en herstellen
(‘recover’) van en na cyber-incidenten explicieter aan de orde. Dit komt onder meer naar voren in nader uitgewerkte ‘points to consider’ waarin DNB explicieter maakt welke elementen we in het toezicht beoordelen (waarbij instellingen niet verplicht zijn ze letterlijk te volgen). Verder biedt het nieuwe toetsingskader (geanonimiseerde) voorbeelden van effectieve beheers-maatregelen die DNB in haar toezicht ziet. De indeling van het self-assessment volgens zes domeinen van informatiebeveiliging en de gehanteerde volwassenheidsniveaus veranderen niet.
DNB is tot slot van plan met een feedback-loop de meeste recente ervaringen uit de sector op het gebied van informatiebeveiliging en cybersecurity te verwerken in een jaarlijkse actualisatie van het toetsingskader. DNB verwacht het geactualiseerde toetsingskader Informatiebeveiliging in 2019 te publiceren op Open Boek Toezicht9.
1212
Bijlage: cybersecurity dreigingen
In 2018 heeft DNB aandacht besteed aan maatregelen die zijn getroffen om cybersecuritydreigingen en daaraan gerelateerde risico’s te beheersen. De door instellingen onderkende cybersecurity dreigingen omvatten vooral phishing, ransomware en hacking. De DDoS-aanvallen worden het meest als incident gemeld aan de toezichthouders (zie figuur 1). DNB heeft geconstateerd dat banken in de loop van vorig jaar de maatregelen tegen DDoS aanvallen hebben verbeterd, nadat begin 2018 deze aanvallen een aanzienlijke impact op het betalingsverkeer hebben gehad. De bestaande maatregelen waren tijdens de aanvallen minder effectief doordat complexere DDoS aanvalstechnieken werden ingezet. Deze technieken waren bovendien eenvoudiger op het internet beschikbaar gekomen. Doordat de cyberrisico’s (inclusief DDoS) continu veranderen dienen ook de maatregelen continu te verbeteren. Hier wordt door DNB toezicht op gehouden.
De beheersmaatregelen van de sector om cyber security risico’s te mitigeren laten een sterk wisselend beeld zien. De getroffen maatregelen zijn onder andere:
▪ Het verder robuust maken van klantportalen, applicaties en netwerk apparatuur door bijvoorbeeld het uitzetten van overbodige/niet gebruikte functionaliteit en het aanpassen van beveiligingsinstellingen (het
zogenaamd ‘hardenen’ van applicaties en systemen). Dit betreft onder meer secure coding (maatregel #1.2) en netwerkbeveiliging (maatregel #18.5).
▪ Het monitoren van de IT-infra-structuur door het inrichten van een Security Operations Center (die in voorkomende gevallen bij een externe partij is belegd), aangevuld met het periodiek uitvoeren van onderzoeken naar kwetsbaarheden in de IT-infrastructuur in de vorm
van vulnerability scanning en penetratietesting. Dit betreffen in het bijzonder: security testen en monitoring (maatregel #16.1) en netwerkbeveiliging (maatregel #18.5).
▪ Het bij voortduring werken aan bewustwording over het onderwerp informatiebeveiliging in het algemeen en cybersecurity in het bijzonder bij directie, bestuur, medewerkers en verantwoordelijke IT-beveiligingsexperts. Dit betreft onder meer security awareness (maatregel #9.1 en #9.2). Tevens stelt DNB vast dat door instellingen initiatieven worden genomen om in gezamenlijkheid met uitbestedingspartners bewustwording op het gebied van cybersecurity te vergroten.
13
Uit het onderzoek van DNB blijkt dat instellingen naast bovenstaande maatregelen aanvullende maatregelen nemen om cyberdreigingen en daaraan gerelateerde risico’s te beheersen. Voorbeelden hiervan zijn het (verder) op orde brengen van gebruikersaccountmanagement (maatregel #17.1 en #17.2), het verder verfijnen van segmentering en scheiding van netwerken (maatregel #18.5) en maatregelen op het gebied van encryptie van ‘data in rest’ en ‘data in motion’ (maatregel #12.3 en #18.5). Tevens hebben recente cryptoware aanvallen geleerd dat, naast bovenstaande maatregelen, het optimaliseren van back-up en recovery maatregelen (maatregel #11.3 en #11.4) kan bijdragen aan het beperken van de impact van een succesvolle aanval.
10 Bij red teaming worden hackers ingehuurd door instellingen (het ‘red team’) die proberen gedurende een langere periode in te breken bij de instelling, waar een
kleine groep mensen van de aanval af weet (het ‘white team’). Van de staande organisatie – die niet van de test op de hoogte is – wordt verwacht dat zij de
aanval mitigeren (het ‘blue team’). De test is erop gericht om vast te stellen in hoeverre het ‘blue team’ aan die verwachting voldoet.
De door de cryptoware versleutelde gegevens kunnen dan vanaf de back-ups worden hersteld.
Het hiervoor gepresenteerde beeld onderschrijft het belang dat DNB hecht aan het op orde brengen en houden van de belangrijkste basis beheersmaatregelen, om cyberdreigingen adequaat te kunnen weerstaan.
Als laatste komt uit het onderzoek van DNB naar voren dat instellingen steeds vaker het initiatief nemen tot onderlinge samenwerking, om zo cyberdreigingen het hoofd te kunnen bieden. Voorbeelden hiervan zijn:
▪ Het onderling uitwisselen van informatie over cybersecurity-dreigingen en -incidenten (FI-ISAC, IN-ISAC en P-ISAC).
▪ Het onderbrengen van de monitoring van IT-infrastructuren bij gezamenlijke Security Operations Centers.
▪ Het op termijn gezamenlijke ‘red teaming’10 activiteiten (laten) uitvoeren.
Daarnaast betrekken instellingen steeds meer partners in de uitbestedingsketen bij detectie van, en respons op, cyber-security dreigingen.
14
DisclaimerDeze IB-monitor bevat enkele voorbeelden of good practices.
Good practices geven niet-verplichtende aanbevelingen voor de toepassing van de wetgeving op het gebied van beheerste en integere uitvoering (o.a. art. 3:17 Wft en art. 18 Besluit FTK) aan de onder toezicht staande instellingen. Met behulp van een good practice draagt de Nederlandsche Bank N.V. haar opvattingen uit over de door haar geconstateerde of verwachte gedragingen in de beleidspraktijk, die naar haar oordeel een goede toepassing inhouden van de regels waarop deze good practice betrekking heeft.
Met een good practice beoogt de Nederlandsche bank N.V. te bereiken dat de onder toezichtstaande het daarin gestelde, de eigen omstandigheden in aanmerking nemende, in hun afweging betrekken, zonder dat zij verplicht zijn dat te doen. De good practice geeft inzicht in de door DNB geconstateerde of te verwachten gedraging in de beleidspraktijk, is indicatief van aard en sluit daarmee niet uit dat voor instellingen een afwijkend, al dan niet strengere toepassing van de onderliggende regels geboden is. De afweging betreffende de toepassing berust bij deze instellingen zelf.
