Cyberrisico’s bij pensioenfondsen: Weet hoe je ervoor staat

Deze week organiseerden we drie ontbijtsessies over cyberrisico’s bij pensioenfondsen. In Apeldoorn, Loosdrecht en Rotterdam vertelden we aan de aanwezige pensioenfondsbestuurders hoe zij verantwoordelijk met de risico’s van cybercrime om kunnen gaan. De moraal van ons verhaal: wacht niet af, maar kom in actie.

Een beter moment voor een ontbijtsessie over cyberrisico’s hadden we niet kunnen kiezen. Afgelopen vrijdag infecteerde de WannaCry-ransomware computersystemen in tientallen landen. In Nederland werden onder meer de systemen van Q-Park geïnfecteerd. Direct nam de vraag naar cyberpolissen toe. Vraag naar verzekering tegen digitale gijzeling neemt na aanval versneld toe, schreef het FD afgelopen maandag.

Aantrekkelijk doelwit

Hoewel er in de Nederlandse pensioensector nog weinig gevallen bekend zijn van grote cyberaanvallen, is het oppassen geblazen. De fondsen beschikken immers over veel geld én over veel persoonsgegevens. Deze combinatie maakt pensioenfondsen een aantrekkelijk doelwit voor kwaadwillenden. Zeker in een branche waar het vertrouwen van mensen cruciaal is, kan een cyberaanval –waarbij gegevens op straat kunnen komen of waarbij de tijdige uitbetaling van pensioenen in gevaar komt – zorgen voor veel schade

Overigens was er zonder het WannaCry-incident ook aanleiding genoeg voor een ontbijtsessie over cyberrisico’s. Onder meer omdat de Wet bescherming persoonsgegevens (Wbp) in 2018 vervangen wordt door de Algemene verordening gegevensbescherming (AVG). Deze nieuwe regeling gaat gelden in de hele Europese Unie en vraagt meer verantwoordelijkheid van organisaties. Daarnaast merken we dat risico’s door pensioenfondsen worden onderschat en de kennis achterblijft.

Tijd dus voor een snelcursus cyberrisicobeheersing.

Voorkomen beter dan genezen

Risico bestaat uit de kans dat er iets gebeurt (1) en de mate van impact indien er iets gebeurt (2). Of een cyberaanval impact heeft en hoe groot die impact dan is, zou je kunnen bepalen door na te gaan of een aanval een bedreiging vormt voor de missie, visie, strategie of doelstellingen van een pensioenfonds (in volgorde van hoge impact naar minder hoge impact). Een rondgang door de zaal, waar de croissantjes gretig aftrek vinden, leert ons al snel dat pensioenfondsbestuurders zowel de kans als de impact inmiddels behoorlijk hoog inschatten.

Stilzitten en afwachten of er iets gebeurt is dus geen optie. Is verzekeren dé optie? Ja en nee. Een cyberverzekering kan schade deels afdekken. Denk hierbij aan de vergoeding van kosten voor juridische bijstand, een crisis manager, PR-diensten en IT-specialisten. Ook wel de Cyber pechhulpdekking genoemd. Focus echter niet alleen op het mogelijk afsluiten van een cyberverzekering. Het cyberrisico heeft eveneens impact op de ‘traditionele’ verzekeringen. Vergeet daarom niet de huidige verzekeringen (ook die van uw samenwerkingspartners!) te evalueren en zo nodig aan te passen of uit te breiden. De grootste schade zal in veel gevallen het vertrouwen in het pensioenfonds op het spel zetten en dat is moeilijk te verzekeren. Zeker in dit geval geldt daarom dat voorkomen beter is dan genezen. Preventie begint met een paar eenvoudige stappen.

  • Plaats cyberrisico binnen de context van alle risico’s die het pensioenfonds loopt. Pas dan kun je echt de prioriteit en de wenselijkheid van een eventuele investering vaststellen.
  • Maak bij het analyseren van cyberrisico in ieder geval onderscheid naar het risico op het pensioenbeheer, vermogensbeheer en bestuursondersteuning.
  • Focus vervolgens op drie aspecten: allereerst de mens (hebben we goed getrainde mensen die weten hoe te handelen?), de organisatie (ligt er een draaiboek klaar voor het geval dat? hoe goed zijn mijn huidige afspraken en overeenkomsten?) en tot slot de techniek (is de digitale beveiliging op het wenselijke niveau en up-to-date?).

Doe de deur dicht

Risico’s beheersen begint met het krijgen van inzicht. Weet hoe je ervoor staat. Laat bijvoorbeeld een ‘Scan in the box’ uitvoeren. Deze scan brengt bekende kwetsbaarheden in de IT-omgeving (zoals achterstallige updates of eenvoudig te raden wachtwoorden) in kaart en biedt vervolgens de best mogelijke oplossing. Hierbij wordt op ruim 90.000 bekende kwetsbaarheden getoetst.  Hierbij wordt op ruim 90.000 bekende kwetsbaarheden getoetst. Het is daarmee een middel om het zo noodzakelijke inzicht te krijgen en kan als startpunt dienen om de beveiliging van de IT-omgeving aantoonbaar onder controle te krijgen.

Net als in de echte wereld is het makkelijker om binnen te komen als de deur (wagenwijd) open staat. Probeer die deur dus zo goed mogelijk af te sluiten. Verdiep je in de materie (je hoeft geen slotenmaker te worden maar moet wel weten of en hoe goed de deur op slot zit), maak mensen verantwoordelijk en maak het risico inzichtelijk. Alles naar wens dichtgetimmerd? Dan kan altijd nog een cyberpolis in beeld komen. Helemaal veilig ben je immers nooit.

Heb je vragen over cyberrisico’s voor pensioenfondsen? Neem gerust contact met ons op. We helpen je graag op weg.

floris.van.rijn@willistowerswatson.com

kevin.vantwout@willistowerswatson.com


 

Floris van Rijn is senior consultant bij Willis Towers Watson en verantwoordelijk voor de dienstverlening rondom integraal risicomanagement bij pensioenfondsen. Vanuit een ruime ervaring bij ondernemings- en bedrijfstakpensioenfondsen is praktische toepasbaarheid een van zijn belangrijkste uitgangspunten in de aanpak om pensioenfondsen risico’s te laten managen.

Kevin van ‘t Wout is Senior Broker Financial Lines and M&A bij Willis Towers Watson en is sinds 2003 werkzaam in de verzekeringsindustrie. Hij is verantwoordelijk voor de inkoop en advisering van onder andere: Bestuurders-, en commissarissenaansprakelijkheidsverzekeringen, Beroepsaansprakelijkheidsverzekeringen, Fraudeverzekeringen en Cyberverzekeringen.

Categories: cyber, Nederlands, Pensioenen, Pensioenfondsen, Retirement, Risico's | Tags: , ,

Leave a Reply

Your email address will not be published. Required fields are marked *