Inloggen
Open menu
Digitale weerbaarheid
Artikel

Informatiebeveiliging: Een prioriteit voor de pensioensector

Beeld: EY Nederland
16 september 2024

Cyberaanvallen kunnen de reputatie van pensioenorganisaties schaden en leiden tot hoge boetes. Met de aankomende grote pensioenhervorming is het risico op datalekken, zowel door cybercriminaliteit als onopzettelijk, reëel. Rudrani Djwalapersad van EY benadrukt het belang van ingebouwde beveiliging en privacy vanaf het begin van deze technologische transformatie, om zowel aan wetgeving te voldoen als informatie optimaal te beschermen.

Bestuurlijke verantwoordelijkheid

Bestuurders zijn de uiteindelijke verantwoordelijken voor de gehele keten van informatiebeveiliging en privacy, een verantwoordelijkheid die in de pensioensector nog niet altijd wordt erkend. Ondanks waarschuwingen van DNB, is de urgentie voor deze kwesties vaak onderbelicht door onderschatting van de risico’s. Pensioenorganisaties denken soms ten onrechte dat ze minder aantrekkelijk zijn voor cybercriminelen dan banken, of vertrouwen te veel op uitvoeringsorganisaties voor beveiliging. Echter, pensioenfondsen moeten zelf de beveiliging waarborgen en zijn aansprakelijk voor de hele uitbestedingsketen. Het is cruciaal dat bestuurders deze risico’s serieus nemen, duidelijke afspraken maken over beveiliging en privacy, en de nodige expertise inzetten om deze adequaat te managen.

Vitale data in de sector: persoonsgegevens

Wat voor sommigen triviaal lijkt, kan voor anderen waardevol zijn. De miljoenen persoonsgegevens in de pensioenketen zijn essentieel en gewild; op het darkweb worden complete persoonsgegevens verhandeld voor 15 tot 20 euro, wat de pensioensector een doelwit maakt voor cybercriminelen.

Onvoldoende beveiliging en onbekende systeemzwaktes creëren een omgeving vol risico’s. Systeemwijzigingen tijdens de pensioentransitie trekken kwaadwillenden aan die op zoek zijn naar nieuwe kwetsbaarheden. Deze periode van verandering brengt ook een hoger risico op datalekken met zich mee, zowel opgeslagen als gedeelde data moeten goed beveiligd zijn.

De pensioentransitie is te vergelijken met een verbouwing aan je huis, waarbij soms een deur open kan blijven staan of materialen uit de tuin gestolen kunnen worden. Dit toont aan dat er nieuwe risico’s ontstaan tijdens de transitie, waardoor de pensioensector de komende jaren extra kwetsbaar is.

Systeemherziening

Anticiperen is essentieel; laat ontdekte onveiligheden kunnen een lancering blokkeren en deadlines missen is kostbaar. Herstelwerkzaamheden aan de beveiliging verhogen de kosten en garanderen geen sterkere verdediging. Betrek daarom security officers en data protection officers vanaf het begin bij de systeemherziening, zowel in de voorbereiding als bij de implementatie.

Succesvolle transformaties vereisen dat informatiebeveiliging en privacy integraal onderdeel zijn van het proces, wat verder gaat dan techniek. Samenwerking binnen organisaties is cruciaal. De perceptie dat security en data protection officers belemmerend werken, moet veranderen. Dit vereist een inzet voor betere onderlinge relaties.

Vinkjes stonden verkeerd

Informatiebeveiliging is gebaseerd op vier pijlers: vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid van data. Vertrouwelijkheid beperkt toegang tot data tot alleen wie het nodig heeft, integriteit waarborgt de juistheid van data, authenticiteit geeft aan wie degene is en beschikbaarheid zorgt dat systemen operationeel blijven. Het in kaart brengen van risico’s rond deze elementen is cruciaal voor het treffen van beheersmaatregelen, vooral tijdens de pensioentransitie.

Vroegtijdig beginnen voorkomt haastwerk, zoals gezien bij de snelle implementatie van meerdere technologie implementaties, waarbij initiële configuratiefouten leidden tot een toename van cyberaanvallen. Dit benadrukt het belang van zorgvuldigheid tijdens de pensioentransitie.

Hackers staan te trappelen

Hoewel de pensioensector minder directe gevolgen ondervindt van hacks dan de banksector, kan een cyberaanval de reputatie ernstig schaden en leiden tot hoge boetes. Het risico op een aanval is reëel; hackers zijn altijd op zoek naar zwakke plekken in beveiligingssystemen.

Voorbereiding op de pensioentransitie is een test voor informatiebeveiliging en privacy. Het is essentieel om security officers en data protection officers te betrekken, een goed aanvalsprotocol te hebben en cybercriminelen geen kans te geven.

Lees meer, Rudrani Djwalapersad – Partner Technology Consulting, Cybersecurity, EY Nederland.

Over EY
Dit is een artikel van EY. U kunt meer lezen van deze partner op deze pagina.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Meer van EY

EY
9 manieren om Europa aantrekkelijker te maken voor buitenlandse investeerders
Data en AI | EY
Ontdek hoe AI publieke dienstverlening transformeert
EY
Rijkswaterstaat doet verkenning naar kansen AI voor de inkoop