Financiële ondernemingen en accountantsorganisaties lopen sinds het uitbreken van de coronacrisis meer risico’s op het gebied van informatiebeveiliging. Dat concludeert de AFM uit een inventarisatie. De toezichthouder roept bedrijven daarom op om extra alert te zijn.
De inventarisatie betrof 15 grote en middelgrote financiële ondernemingen en accountantsorganisaties. De AFM keek in overleg met DNB naar het effect van de corona-uitbraak op de bedrijfsvoering en hoe bedrijven omgaan met de grotere ICT-beveiligingsrisico’s. Aanleiding waren volgens de toezichthouder ‘signalen’. Uit de inventarisatie haalde de AFM zes aandachtspunten.
Thuiswerken maakt ondernemingen kwetsbaarder voor het risico op het lekken van gevoelige informatie. ‘Bijvoorbeeld door het gebruik van onveilige apparatuur of communicatiekanalen.’ Bedrijven zouden erop moeten toezien dat medewerkers gebruik maken van beveiligde (VPN)-thuiswerkfaciliteiten, aldus de toezichthouder. Ook thuis printen is een beveiligingsrisico. Ook ziet de AFM bij ondernemingen een toenemende afhankelijkheid van (externe) dienstverleners, waaronder leveranciers van VPN-verbindingen. ‘Uit de gesprekken met de ondernemingen is niet gebleken dat er kritieke processen onder druk zijn komen te staan als gevolg van problemen bij service providers. Toch blijft de AFM vragen om waakzaamheid van ondernemingen omdat de afhankelijkheid van service providers is toegenomen.’
Het risico op DDoS-aanvallen is volgens de AFM een derde risico, al is er geen significante toename gemeld van dergelijke aanvallen. De uitval van (essentiële) medewerkers ligt ook op de loer. ‘De AFM raadt ondernemingen aan om periodiek een risicoanalyse uit te voeren om kritieke functies of personen in de organisatie te identificeren en maatregelen te treffen om de afhankelijkheid van deze functies of personen te verminderen.’ Toename in phishingactiviteiten en onveilige IT-systemen door het uitstel van de installatie van beveiligingspatches, zijn de andere grotere risico’s die de toezichthouder benoemt.
Aandachtspunten per risico in speciale bijlage
De AFM heeft inzichten over deze risico’s in een speciale bijlage gezet. ‘Daarin staan per risico aandachtspunten waar ondernemingen op moeten letten. Ook worden hierin concrete praktijkvoorbeelden gedeeld over manieren waarop de risico’s kunnen worden verkleind.’
Eerder publiceerde de AFM al haar Principes voor informatiebeveiliging. Daarin schetst de AFM haar verwachtingen over het gewenste gedrag van financiële ondernemingen en accountantsorganisaties op het gebied van informatiebeveiliging.
Geef een reactie