- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: Cybermaintenance within the financial sector remains crucial in order to detect and prevent cyberthreats
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Cybermaintenance within the financial sector remains crucial in order to detect and prevent cyberthreats
Cyberhygiëne blijft cruciaal
Om cyberdreigingen het hoofd te kunnen bieden is hygiëne op het gebied van cybersecurity essentieel. Cyberhygi.ne omvat het definiëren, implementeren (toepassen) en onderhouden van cybersecurity standaarden (vereisten) en baselines (minimum vereisten). Deze standaarden en baselines hebben onder andere betrekking op maatregelen ten aanzien van het beperken van de impact van kwaadaardige software. De beheersingsmaatregelen #19.1 t/m #19.3 uit de Good Practice IB gaan in op cyberhygi.ne en zijn in de IB-onderzoeken nader onderzocht.
De impact van cyberdreigingen in de vorm van bijvoorbeeld kwaadaardige software zoals malware en gijzelsoftware op de bedrijfsvoering van instellingen kan groot zijn. Nog maar korte tijd geleden hebben instellingen de impact ervaren van een kwetsbaarheid in de Citrix-infrastructuur, waardoor veel instellingen genoodzaakt waren deze infrastructuur voor het op afstand werken tijdelijk buiten gebruik te stellen. De impact hiervan zou nog groter zijn geweest als dit was samengevallen met de recente COVID-19 crisis.
De volgende mogelijke verbeterstap voor de instellingen ligt in een verdieping van preventieve technische maatregelen. Instellingen hebben over het algemeende nodige voorzieningen (tools) in huis om malicious software af te weren (preventie) op te sporen (detectie) en onschadelijk te maken (correctie). Zie ook figuur 1 die is samengesteld uit de resultaten van de IB-onderzoeken uit 2019. DNB ziet dit als een goede stap vooruit. DNB constateert in haar onderzoek echter dat preventieve technische maatregelen als bijvoorbeeld netwerk segmentering en hardening6 van systemen nog relatief beperkt worden toegepast. Hier ziet DNB een volgende mogelijke verbeterstap voor de instellingen in.
DNB signaleert achterstanden bij het wegwerken van geconstateerde kwetsbaarheden binnen de IT-systemen van instellingen. Zie daartoe ook figuur 2 waar de doorlooptijd van het patchen van systemen bij de onderzochte instellingen
is weergegeven. We zien in ons onderzoek dat 28% van kritische patches niet binnen 2 dagen is ge.mplementeerd. DNB wijst instellingen op de risico’s die voortvloeien uit het niet tijdig opsporen en mitigeren van kwetsbaarheden.
Het gebruik van end-of-life systemen is nog te vaak gemeengoed en/of instellingen hebben simpelweg onvoldoende inzicht in de levenscyclus van de gebruikte applicaties. Met als gevolg dat applicaties worden gebruikt die niet meer zijn ondersteund door leveranciers. Daarmee zijn zij kwetsbaar voor cyber- en continu.teitsdreigingen. Dit heeft DNB in haar onderzoeken geconstateerd, zie figuur 3 over life cycle management. Naast het tijdig doorvoeren van patches om kwetsbaarheden te minimaliseren, is het uitfaseren van verouderde software en het doorvoeren van een goede scheiding in het netwerk (netwerk segmentatie) een goede maatregel om cyberrisico’s verder te mitigeren. Dit is zeker niet alleen van toepassing op software in de IT-infrastructuur, maar geldt ook voor (business) applicaties. Daarnaast zijn ontwerpprincipes als ‘security by design’ bij oudere applicaties vaak niet gehanteerd, wat deze applicaties inherent kwetsbaarder maakt dan applicaties die wel volgens deze principes zijn ontworpen.
DNB heeft verder het beeld dat instellingen tegenwoordig bij digitale aanvallen specifiek worden uitgezocht en zeer gericht op van te voren uitgezochte doelen binnen hun instelling worden aangevallen. DNB heeft het beeld dat het voorheen voldoende was om ‘algemene’ IB-maatregelen te nemen en daarmee in een analogie je huis met voldoende sloten beter beveiligd was dan dat van de buurman. Nu is het niet meer voldoende om betere sloten dan de buurman te hebben. Het is daarom belangrijk dat de instelling structureel en risico gebaseerd bepaalt wat de impact van de kwetsbaarheden is op de eigen specifieke IT-assets. In de Good Practice IB worden voorbeelden gegeven waarbij de instelling een eigen risk response bepaalt op basis van haar toleranties en de opvolging hiervan controleert. Het inschatten welke kwetsbaarheden het meest relevant zijn om op te reageren wordt door instellingen in praktijk nog als lastig ervaren. Samenwerking tussen instellingen en in de sector is hierbij evident en wordt nog te weinig gedaan.
Uit TIBER ziet DNB dat analyses van cybersecurity dreigingen ook bij Vulnerability management steeds relevanter zijn. Om te kunnen prioriteren op welke kwetsbaarheden gereageerd moet worden is het noodzakelijk om de volgende punten in kaart te brengen. In kaart kan worden gebracht welke dreigingen er zijn, over welke IT-assets de instelling beschikt die relevant zijn voor welk soort aanvallers en welke methoden worden gebruikt om die specifieke IT-assets te bereiken, te manipuleren en/of te beschadigen.