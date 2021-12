Ruim een op de twintig verzekeraars en pensioenfondsen in Nederland heeft dit jaar te maken gehad met een geslaagde cyberaanval. En dat zorgt bij de financiële instellingen voor fikse schade, meldt De Nederlandsche Bank (DNB) op basis van een onderzoek onder honderden fondsen en verzekeraars.

De belangrijkste dreigingen zijn onder meer ransomware-aanvallen, waarbij gijzelsoftware wordt gebruikt om bijvoorbeeld beslag te leggen op bepaalde data. Die data willen hackers dan alleen weer vrijgeven als er losgeld wordt overgemaakt. Maar onder cyberaanvallen verstaan de onderzoekers ook ongeautoriseerde toegang tot een e-mailadres. Ook gaat het om ddos-aanvallen. Dan proberen criminelen bijvoorbeeld een website plat te leggen door de systemen te bestoken met verkeer, zodat ze overbelast raken en onbereikbaar worden. Zulke aanvallen zijn online vrij eenvoudig te bestellen en uit te voeren.

Ruim 15 procent van de ondervraagde instellingen heeft aangegeven te maken te hebben gehad met “aanzienlijke financiële schade” door beveiligingsincidenten en datalekken. Dit zijn er dus meer dan de ruim 5 procent bij wie criminelen een geslaagde cyberaanval uitvoerden. Dat komt omdat pensioenfondsen en verzekeraars soms ook al schade kunnen lijden als een cyberaanval niet helemaal lukt. Dan is er bijvoorbeeld al een beveiligingsmechanisme geforceerd en dat moet dan gerepareerd worden, waaraan kosten zijn verbonden.

Hoeveel de schade precies bedraagt, kan DNB niet zeggen. Bij de onderzochte instellingen zit namelijk verschil tussen hele grote en hele kleine instellingen. Voor kleine partijen kan 10.000 euro al een aanzienlijk schadebedrag zijn, terwijl een van de grote Nederlandse verzekeraars van zo’n schadepost waarschijnlijk niet heel erg wakker zal liggen.

Volgens de toezichthouder is het belangrijk dat de weerbaarheid tegen cyberaanvallen in de financiële sector wordt versterkt. Hiervoor zou dringend aandacht nodig zijn. Een kwart van de instellingen zou nu bijvoorbeeld nog geen “volwassen proces” hebben voor het detecteren van een mogelijke inbreuk op het netwerk. Daardoor kunnen aanvallers lang onopgemerkt blijven. Ook dringt DNB erop aan dat instellingen samenwerking opzoeken bij het tegengaan van cyberrisico’s en regelmatig testen uitvoeren om te kijken of hun cyberbeveiliging nog wel up-to-date is.