40 procent financiële instellingen werkt met niet-ondersteunde systemen
Zo’n 42 procent van de financiële instellingen zoals pensioenfondsen en verzekeraars werkt met kritieke systemen die niet ondersteund worden door de leverancier. Dat blijkt uit de jaarlijkse informatiebeveiligings-monitor (IB-monitor). Er wordt bovendien te langzaam gepatcht.
© Pixabay CC0 Public Domain
Pixabay CC0 Public Domain
Het aantal cyberaanvallen neemt toe, maar de impact wordt ook steeds groter. Uit het jaarlijkse onderzoek van DNB wordt duidelijk dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars in het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken. Ruim 5% van de financiële sector heeft te maken gehad met een geslaagde cyberaanval waarbij ongeautoriseerd toegang werd verkregen.
DNB heeft om die reden een aantal ‘Good Practices’ gedeeld om de weerbaarheid van de financiële sector tegen cybercriminelen te versterken. Uit de IB-monitor blijkt dit jaar dat dit hard nodig is. “Aanvallers werken steeds geraffineerder en aanvallen worden steeds complexer. Daarnaast zien we ruimte voor verbetering van kennis binnen het bestuur en intern toezicht, om het onderwerp informatiebeveiliging voldoende te borgen”, zo schrijven de onderzoekers.
Uit de IB-monitor wordt duidelijk dat er nog veel werk te doen is. Van de ondervraagde instellingen geeft slechts 58% aan dat alle door haar geïdentificeerde kritieke systemen, zoals besturingssystemen, databasesystemen, netwerksystemen en (polis)administratiesystemen, worden ondersteund door leveranciers; 42% van de instellingen heeft te maken met één of meer kritieke systemen die niet langer worden ondersteund. Deze zogenoemde End of life systemen ontvangen daardoor geen beveiligingsupdates meer waardoor eventuele kwetsbaarheden niet meer worden verholpen. Zo’n 15% heeft zelfs 3 of meer kritieke bedrijfssystemen in gebruik die niet worden ondersteund.
Patchen gaat te langzaam
Ook gaat patchen nog langzaam. “In vergelijking met onze onderzoeken over voorgaande jaren zien we een verbetering in de snelheid van patchen. Op basis van dit figuur is echter ook duidelijk dat 5% van de instellingen zegt gemiddeld meer dan 10 dagen nodig hebben om kritieke security patches door te voeren op de IT productiesystemen.”
De IB-monitor maakt duidelijk dat een kwart van de onderzochte instellingen geen volwassen proces heeft voor het detecteren van een mogelijke inbreuk op het netwerk.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee