Niet alleen de pensioensector bereidt zich voor op een omvangrijke stelselherziening, ook cybercriminelen doen dat. Maar ook zonder kwade opzet kunnen vertrouwelijke gegevens verloren gaan. Zorg daarom voor ‘security en privacy by design’, adviseert Rudrani Djwalapersad van EY.
Als we inzoomen op de komende pensioentransitie, dan zien we dat sprake is van een bijzonder omvangrijke technologische transformatie. Daarbij worden meerdere systemen op een andere manier ingericht. Als het goed is, gebeurt dat niet alleen om te voldoen aan de geldende wet- en regelgeving, maar ook om te waarborgen dat er voldoende maatregelen zijn getroffen om informatiebeveiliging en privacy van meet af aan maximaal te waarborgen. Security en privacy by design, noemen we dat.
Bestuurders eindverantwoordelijk voor de hele keten
Dat principe wordt in de pensioensector nog niet overal voldoende onderkend. Hoewel DNB terecht blijft hameren op het belang van informatiebeveiliging en dataprivacy, heeft dat er nog niet toe geleid dat deze onderwerpen in de pensioensector top of mind zijn. De sense of urgency blijft soms achter omdat de impact wordt onderschat. In de financiële sector denkt men als het gaat om mogelijke doelwitten voor cybercriminelen in eerste instantie aan het bankwezen, vanwege de geldstromen in de vorm van dagelijks miljoenen transacties. Pensioenprofessionals die een mogelijke cyberaanval op hun organisatie niet uitsluiten, zijn over het algemeen niet erg benauwd dat een hack de dagelijkse operatie lam zal leggen. Het gaat immers niet om betalingen op dagbasis en er zijn toch back-ups? Daarnaast wijzen pensioenfondsen vaak naar de uitvoeringsorganisaties waar de pensioenadministratie is ondergebracht. Daar wordt alles geregeld en de beveiliging zal daar toch wel op orde zijn? De data waar het hier om gaat zijn echter van de pensioenfondsen. De bestuurders zijn eindverantwoordelijk en moeten zorgen dat de informatiebeveiliging en privacy geborgd zijn. Als dat niet het geval is, is het bestuur van het pensioenfonds aansprakelijk, ook voor wat er in de hele keten van uitbesteding gebeurt. Regelmatig komen wij tegen dat er geen duidelijke afspraken zijn over termijnen en meldingen en zelfs dat de gegevens van de data protection officer en andere verantwoordelijken van de uitvoerder niet bij de bestuursleden bekend waren. Het is dus zaak dat deze onderwerpen bovenaan de agenda van pensioenfondsbestuurders staan en zij voldoende kennis en kunde in huis hebben (of halen) om te kunnen beoordelen of deze risico’s voldoende worden gemitigeerd.
Kroonjuwelen van de sector: NAW gegevens
Wat de een als onbelangrijke data beschouwt, kan voor een ander heel waardevol zijn. De miljoenen persoonsgegevens die omgaan in de pensioenketen zijn de kroonjuwelen van de sector. Op het darkweb wordt een compleet setje NAW-gegevens verkocht voor bedragen van 15 tot 20 euro. Dat maakt de pensioensector voor cybercriminelen dus een buitengewoon aantrekkelijke vijver om in te vissen.
Als niet goed is nagedacht over de beveiliging van persoonsgegevens en de zwakheden in het systeem niet zijn geïdentificeerd, dan leidt dat tot een technologische omgeving waar gaten in zitten. Elke systeemverandering daagt kwaadwillenden uit om te analyseren welke kwetsbaarheden dat oplevert. Gedurende de pensioentransitie gaan datastromen veranderen. Dat is trouwens niet alleen interessant voor hackers, maar verhoogt ook het risico op datalekken. Zijn de datastromen voldoende beveiligd op het moment dat ze opgeslagen zijn? Is dat ook het geval als de data gedeeld worden?
Vergelijk de pensioentransitie met de verbouwing van een huis. Dan blijft er ook weleens onbedoeld een deur openstaan. En ook al zijn alle deuren stevig op slot, dan is er nog altijd het risico dat er bouwmaterialen uit de voortuin worden gestolen. Dit illustreert dat er tijdens de transitie dus ook nieuwe soorten risico’s ontstaan. Dat maakt partijen in de pensioenketen de komende jaren extra kwetsbaar.
Niet-coöperatieve politieagenten, compliance wordt gezien als belemmerend
Daar proactief op anticiperen, is wat er moet gebeuren. Want als 1 minuut voor 12 wordt geconstateerd dat een systeem niet veilig is, dan kan dat in het ergste geval een livegang verhinderen. En een deadline die niet wordt gehaald, kost geld. Het verrichten van herstelwerkzaamheden omdat er gaten in de beschermingsmuur zitten, werkt ook nog eens kostenverhogend. Bovendien wordt de muur daar niet per se sterker van. Zorg er daarom voor dat de security officers en data protection officers van meet af aan maximaal betrokken zijn bij de stelselherziening. Zowel bij de voorbereiding daarop als de daadwerkelijke implementatie van nieuwe functionaliteiten.
Transformaties kunnen alleen succesvol zijn als informatiebeveiliging en dataprivacy daar integraal deel van uitmaken. Dan gaat het overigens niet uitsluitend om techniek. Ook de onderlinge samenwerking in organisaties is een punt van aandacht. Een van de redenen waarom informatiebeveiliging en privacy niet altijd vanaf het begin een topprioriteit zijn bij de business of bij IT, is het vooroordeel dat security en data protection officers toch altijd een houding aannemen van: nee, dat kan niet. Men ziet ze als niet-coöperatieve politieagenten die zich vooral inspannen om blokkades op te werpen. Dat vraagt van alle betrokkenen de bereidheid om aan onderlinge relaties te bouwen.
Vinkjes stonden verkeerd
Informatiebeveiliging draait in de basis om drie elementen: vertrouwelijkheid, integriteit en beschikbaarheid van data. Bij het aspect vertrouwelijkheid gaat het om het beperken van de toegang tot de kring van noodzakelijke personen. Het aspect integriteit houdt verband met datakwaliteit. Als iemand expres of per ongeluk wijzigingen in de data doorvoert, kan dat verstrekkende gevolgen hebben. Het aspect beschikbaarheid heeft betrekking op de werking van systemen en het voorkomen van storingen. Als de risico’s rond de drie genoemde elementen scherp in beeld zijn, geeft dat zicht op het treffen van de nodige beheersmaatregelen. Dit betekent ten aanzien van de transitie dat deze risico’s in kaart gebracht moeten worden en onderdeel moeten uitmaken van de risico-assessments en daarin op te nemen beheersmaatregelen.
Het is van evident belang om de tijd die de komende jaren beschikbaar is maximaal te benutten. Niet afwachten, maar tijdig beginnen. Want haastige spoed is zelden goed. Aan het begin van de coronacrisis in 2020 zijn we massaal overgestapt op online vergaderen met behulp van MS Teams. In normale omstandigheden zou de uitrol van zo’n functionaliteit inclusief uitgebreide testtrajecten misschien wel acht of negen maanden in beslag nemen. Nu moest deze wereldwijd in drie weken operationeel zijn. Tijdens de uitrol waren bepaalde basisconfiguraties niet goed aangezet. Na enkele maanden kregen ook hackers in de gaten dat sommige vinkjes verkeerd stonden. Vervolgens zagen we het aantal cyberaanvallen fors toenemen. Dit is een voorbeeld van een risico dat zich, als we niet oppassen, ook kan voordoen in de pensioentransitie waarbij alle pensioenadministraties aangepast dienen te worden aan de WTP.
Hackers lopen zich warm
Voor spelers in de pensioensector heeft een geslaagde hack vooral impact op de reputatie. Anders dan bij banken heeft dat niet tot gevolg dat klanten in zo’n geval massaal (kunnen) weglopen, hoewel dat in de toekomst wellicht anders kan zijn. In ieder geval zal het vertrouwen van de samenleving in de door een hack getroffen organisatie een deuk oplopen. En nogmaals: er hoeft niet eens sprake te zijn van kwade opzet. Als een medewerker van een pensioenfonds per ongeluk een mailtje naar de verkeerde partij stuurt en er worden op die manier persoonsgegevens gelekt, kan dat ernstige gevolgen hebben. Bovendien kan het leiden tot forse boetes van de privacy-autoriteiten.
Er zijn geen directe signalen dat hackers zich op dit moment aan het warmlopen zijn om hun pijlen te gaan richten op de pensioentransitie, maar tien tegen een dat ze dat wel doen. Voor hackers is het namelijk core business om informatie te verzamelen over de beveiliging van geautomatiseerde systemen. Ze zijn nadrukkelijk op zoek naar de zwakke schakels. Voor alle spelers in de sector wordt de komende stelselherziening daarom een lakmoesproef op het gebied van informatiebeveiliging en dataprivacy. Doe daarom wat nodig is en geef cybercriminelen geen kans. Tot slot: zorg voor een goed protocol voor het geval er onverhoopt een aanval komt. Dit helpt om de risico’s en negatieve gevolgen zoveel mogelijk te beperken.