Inleiding. 1. Doelstelling en achtergrond van het DNB-onderzoek

Transcriptie

1 Secto r te rugkoppe ling resultate n Info rmatiebeveiliging / Cybe r onderzoek 2017 bij ve rzekeraa rs en pensioenfond sen DNB Nota (zonde r ad resse ring) Onderwerp: Sector terugkoppeling resultaten Informatiebeveiliging / Cyber onderzoek 2017 bij verzekeraars en pensioenfondsen Toezicht pensioenfondsen Expertisecentrum operationele en IT risico's Inleiding In 2017 heeft DNB onderzoek gedaan naar de beheersing van informatiebeveiliging (inclusief cyberrisico s) van verzekeraars en pensioenfondsen. Het onderzoek is uitgevoerd bij een selectie van middelgrote en grote verzekeraars en pensioenfondsen. In het onderzoek heeft DNB een door de instelling ingevulde self-assessment beoordeeld, en daarnaast andere informatie die door de instelling was opgestuurd, bekeken. Verder heeft DNB bij de instellingen nog verder onderzoek gedaan. In dit rapport gaat DNB in op: 1. Doelstelling en achtergrond van het DNB onderzoek naar informatiebeveiliging; 2. Belangrijkste conclusies uit het onderzoek in 2017; 3. Toelichting op conclusies en beeld van cybersecurity maatregelen in de sectoren verzekeraars en pensioenfondsen; 4. Waarnemingen op uitvoering van self-assessment door instellingen; 5. Vooruitblik toezicht 2018; De conclusies uit het onderzoek zijn aan alle betrokken instellingen verstrekt door middel van een individuele brief en in een benchmarkbrief met een vergelijking van de individuele resultaten met het sectorgemiddelde die eind december 2017 door DNB is verzonden. 1. Doelstelling en achtergrond van het DNB-onderzoek Informatiebeveiliging (IB) is een fundamenteel onderdeel van de beheerste en integere bedrijfsvoering door onder toezicht staande instellingen. DNB verwacht dat instellingen beschikken over adequate procedures en maatregelen ter beheersing van hun informatiebeveiligingsrisico s. Adequaat betekent in dit verband dat de procedures zijn gebaseerd op de aard van de financiële instelling en de complexiteit van de organisatiestructuur en dat maatregelen bij voorkeur zijn afgestemd op bedrijfstak-specifieke omstandigheden en risico s bij de desbetreffende financiële instelling. Voor het waarborgen en meten van de kwaliteit van informatiebeveiliging heeft DNB een toetsingskader 1 ontwikkeld dat DNB gebruikt in onderzoeken naar informatiebeveiliging in de financiële sector. Instellingen kunnen zelf ook gebruik maken van het DNB toetsingskader. 1 Het DNB toetsingskader informatiebeveiliging is gebaseerd op internationaal geaccepteerde standaards voor informatiebeveiliging ISO27000 en Cobit V4.1 en bestaat uit een selectie van 54 controls uit de Cobit standaard. Het DNB toetsingskader is gepubliceerd op de DNB website: 1 van 10

2 DNB voert elk jaar IB-onderzoeken uit bij een selectie van instellingen om vast te stellen in hoeverre informatiebeveiliging bij die instellingen op het vereiste niveau is. De beoordeling van de instelling vindt principle based plaats. Hierbij wordt de aard van de sector en bedrijfsvoering van de specifieke instelling meegewogen in het onderzoek. De selectie van instellingen bestaat uit vervolgmetingen en metingen bij instellingen die niet eerder voor een IB-onderzoek zijn geselecteerd (0-metingen). Om het niveau van informatiebeveiliging vast te kunnen stellen hanteert DNB het volwassenheidsmodel uit het DNB toetsingskader waarin het vereiste niveau is toegelicht. De overzichten en data in deze rapportage zijn gebaseerd op de door DNB verwerkte volwassenheidsniveaus bij instellingen in de periode Belangrijkste conclusies naar aanleiding van de IB-onderzoeken De volwassenheid van informatiebeveiliging neemt toe in de sectoren 2. Informatiebeveiliging is nog niet op het vereiste volwassenheidsniveau 3. De kwaliteit van (IT) riskmanagement moet verbeteren 4. Informatiebeveiliging in de gehele keten is nog onvoldoende 5. Het dreigingsbeeld (cyber) verandert; noodzaak voor meer samenwerking 6. De expliciete aandacht voor cyber-controls door instellingen wisselt sterk Deze paragraaf gaat in op algemene conclusies uit het onderzoek (punt 1 t/m 4). Paragraaf 3 gaat verdiepend in op de waarnemingen en conclusies op het gebied van cyber-risico s (punt 5-6) De volwassenheid van informatiebeveiliging neemt toe in de sectoren verzekeraars en pensioenen. In figuur 1 (verzekeraars) en figuur 2 (pensioenfondsen) treft u een overzicht aan van de ontwikkelingen in de sector gerangschikt naar het type meting (0-meting is de initiële meting). Hieruit is af te leiden dat de metingen en gerealiseerde verbeterplannen een positief effect hebben op het volwassenheidsniveau van informatiebeveiliging binnen de sector. Tegelijkertijd is hieruit ook op te maken dat instellingen (gemiddeld) ook na de 3-meting niet alle 54 controls (=100%) uit het DNB toetsingskader op het vereiste niveau hebben gebracht. De resultaten van het onderzoek in 2017 bij de betrokken instellingen zijn eveneens in figuur 1 (verzekeraars) en figuur 2 (pensioenfondsen) opgenomen. 2 van 10

3 Sector (verzekeraars): Gemiddeld: 0-meting: 62% 1-meting: 81% 2-meting: 94% 3-meting: 97% Figuur 1: gemiddelde percentage controls op voldoende niveau voor de sector verzekeraars (per meting) neemt toe Sector (pensioenfondsen): 0-meting: 69% 1-meting: 82% 2-meting: 85% 3-meting: 93% Figuur 2: gemiddelde percentage controls op voldoende niveau voor de sector pensioenfondsen (per meting) neemt toe 2.2. Informatiebeveiliging binnen de verzekerings- en pensioensector is nog niet op het vereiste volwassenheidsniveau. In het algemeen kennen instellingen één of meer controls die nog op het minimaal vereiste niveau moeten worden gebracht. Dit betekent dat niet alle essentiële maatregelen ter beheersing van informatiebeveiligingsrisico s zijn geïmplementeerd en aantoonbaar toereikend werken. Enerzijds wordt dit verklaard doordat (potentiële) dreigingen veranderen of toenemen, terwijl controls achterblijven bij de ontwikkelingen en daardoor niet meer effectief zijn. Anderzijds worden verbeterplannen van instellingen niet altijd snel genoeg uitgevoerd. DNB blijft inzetten op het verder versterken van informatiebeveiliging in de sector. Van instellingen wordt verwacht dat zij blijven investeren in maatregelen om continue veranderende informatiebeveiligingsrisico s te kunnen beheersen. 3 van 10

4 De beheersmaatregelen met de laagste volwassenheidsniveaus bij verzekeraars (2017): Assess and manage (IT) risks 2 (controls #4.1, #4.2 en #4.3) Storage and retention (control #12.1) Internal control of third parties (control #16.3) De control nummers verwijzen naar het DNB toetsingskader. De beheersmaatregelen met de laagste volwassenheidsniveaus bij pensioenfondsen (2017): Assess and manage (IT) risks 2 (controls #4.1, #4.2 en #4.3) Test environment & Testing of changes (controls #10.3 en #10.4) Internal control of third parties (control #16.3) De control nummers verwijzen naar het DNB toetsingskader De kwaliteit van (IT) riskmanagement moet worden verbeterd. De type controls met een lage score in volwassenheid verschilt per sector. Over de sectoren heen blijkt echter dat het volwassenheidsniveau van de drie controls behorende bij 4. Access & manage (IT) risks achterblijft bij de norm (niveau 4 ). Gelet op de noodzaak dat instellingen voortdurend hun (IT) risicoraamwerk evalueren en onderhouden om blijvend in te spelen op continue veranderende (cyber)dreigingen, verwacht DNB hier een volwassenheidsniveau 4. Dit vraagt structureel aandacht bij instellingen voor het uitvoeren van deze evaluatie Informatiebeveiliging in de gehele keten is nog onvoldoende. Financiële instellingen besteden steeds meer processen uit. Voor de beheersing van informatiebeveiligingsrisico s is inzicht in de (onder-) uitbesteding noodzakelijk. Daarnaast zijn processen veelal sterk afhankelijk van informatie van andere partijen die daarmee deel uitmaken van de procesketen. De mate waarin informatiebeveiliging in de procesketen is gewaarborgd is zo sterk als de zwakste schakel. Inzicht in de risico s binnen de gehele keten is derhalve van belang. DNB neemt waar dat instellingen veelal onvoldoende inzicht hebben in de gehele procesketen en dat risico s in die keten onvoldoende in kaart zijn gebracht. Hierdoor kan de instelling niet waarborgen dat alle risico s zijn beheerst. 2 Dit zijn de controls inzake riskmanagement waarvan DNB verwacht dat deze op niveau 4 zijn gebracht. 4 van 10

5 3. Toelichting op conclusies en beeld van cybersecurity maatregelen in de sector In 2017 is tijdens het onderzoek naar informatiebeveiliging specifiek aandacht besteed aan cybersecurity 3. Hiertoe hebben de onderzochte instellingen een inventarisatie gemaakt van cybersecurity risico s en de specifieke maatregelen die zij hierop hebben getroffen. De instellingen geven aan dat zij de volgende maatregelen essentieel achten ter beheersing van hun cybersecurity risico s: - Uitvoeren van risicoanalyses. Zie Training van personeel. Zie Beveiliging als essentieel onderdeel van systeemontwikkeling. Zie Patch management. Zie Monitoren van het externe dataverkeer. Zie Laten uitvoeren van ethical hack tests / penetratietests. Zie Identificeren en afhandelen van (security)incidenten. Zie Cybersecurity risicoanalyse Instellingen onderkennen het belang van op cybersecurity gerichte risicoanalyses en samenwerking in de sector. De expliciete aandacht die instellingen daarbij geven aan cyber-controls wisselt sterk. Risicoanalyses op het gebied van IB / cybersecurity maken steeds vaker deel uit van het integraal risicoraamwerk van de instelling. Naast de aandacht voor de aantoonbare werking van bestaande maatregelen, besteden instellingen aandacht aan de evaluatie van de effectiviteit van die maatregelen en een periodieke reflectie op het geheel van maatregelen in de context van nieuwe cyberdreigingen. Hierbij wordt in toenemende mate de samenwerking gezocht met partijen binnen de sector en gespecialiseerde derde partijen. DNB ziet de volgende ontwikkelingen in maatregelen binnen de instellingen, maar het beeld tussen instellingen wisselt sterk (controls #4.2 Risk Assessment en #4.3 Maintenance and monitoring of a risk action plan uit het DNB toetsingskader): - Cybersecurity risico s worden nadrukkelijker geadresseerd in risicoanalyses en periodieke herijking daarvan. - Bij deze risicoanalyses wordt vaak gebruik gemaakt van externe dreigingsbeelden die het Nationaal Cyber Security Centrum (NCSC) beschikbaar stelt. - Toenemend gebruik van externe partijen voor actuele en op maat gesneden cybersecurity-dreigingsanalyses. - Steeds vaker worden de analyses gericht op het identificeren van de interne kroonjuwelen (kritische interne applicaties of systemen) om vervolgens de risico s en de noodzakelijke maatregelen te bepalen. 3 Cybersecurity is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie. Bron: 5 van 10

6 - De analyses met betrekking tot cybersecurity risico s krijgen meer management aandacht, bijvoorbeeld in sessies met RvB, RvC en/of bestuursleden en RvT. 3.2 Training van personeel: kennis & kennisdeling Instellingen investeren in het risicobewustzijn van hun personeel, waarbij in toenemende mate kennis in de keten wordt gedeeld. Dit vertaalt zich generiek in security risk awareness campagnes voor het gehele personeel en specifiek in meer gerichte opleidingen voor IT beveiligingsexperts, IT Riskmanagers en IT auditors (intern). Extern wordt cybersecurity kennis in toenemende mate gedeeld met andere instellingen. DNB ziet de volgende ontwikkelingen in maatregelen (controls #9.1 Knowledge transfer to end users en #9.2 Knowledge transfer to operations and support staff uit het DNB toetsingskader): - Toenemend besef dat het voor de (kleinere) instelling lastig is om up-todate kennis op het gebied van cybersecurity op te bouwen, te behouden en 7*24 uur dienstverlening te kunnen bieden. - Instellingen besteden mede als gevolg van de wereldwijde cybersecurity aanvallen van ransomware Wannacry en NotPetya veel aandacht aan awareness sessies zoals het periodiek uitvoeren van anti-phishing campagnes met personeel inclusief directie. - Toenemende behoefte aan branche initiatieven om kennis en vaardigheden te bundelen en gemeenschappelijk cyberpotentieel te benutten. Instellingen ervaren geen onderlinge concurrentie op het gebied van security. Voorbeelden van genoemde branche initiatieven zijn: het verzekeringscert dat stand is gekomen via het Verbond van Verzekeraars en diverse aangesloten verzekeraars en het Z-CERT (een initiatief vanuit de zorginstellingen). - Diverse instellingen maken al deel uit van of participeren in samenwerkingsverbanden zoals het P-ISAC 4 en IN-ISAC 5. Deze samenwerkingsverbanden worden benut om actuele informatie uit te wisselen. 3.3 Beveiliging als essentieel onderdeel van systeemontwikkeling Instellingen onderkennen dat kwetsbaarheden in software veelal zijn terug te voeren op coderingsfouten. Tegelijkertijd neemt het aantal berichten toe dat misbruik wordt gemaakt van deze kwetsbaarheden om in te breken in systemen. Tegen deze achtergrond hechten instellingen een toenemend belang aan maatregelen om fouten vroegtijdig in het ontwikkelingsproces te ontdekken of te voorkomen. Ook op dit vlak zoeken instellingen in toenemende mate naar samenwerking met partijen die software voor hen ontwikkelen en/of de ontwikkelde software op security aspecten testen en analyseren. DNB ziet de volgende ontwikkelingen in maatregelen (control #1.2 IT Policies Management uit het DNB toetsingskader): - Meer aandacht voor secure coding. Hierbij wordt op een gestructureerde wijze software ontwikkeld, waarbij aandacht voor informatiebeveiliging centraal staat. 4 P-ISAC: Pension - Information Sharing and Analysis Centre 5 IN-ISAC: Insurance Information Sharing and Analysis Centre 6 van 10

7 - In aanvulling op de vanuit Logius verplichte penetratietesten (pentesten) op de DIGID-systeemomgevingen (de mijn omgevingen), besteden instellingen nadrukkelijk meer aandacht (frequentie / diepgang) aan pentesten op hun IT-landschap. 3.4 Patchmanagement Instellingen onderkennen dat bekende kwetsbaarheden in hun IT systemen snel aangepakt moeten worden maar het tempo waarin dit gebeurt ligt te laag. DNB heeft in 2017 in het bijzonder aandacht besteed aan het patchmanagement proces binnen de onderzochte instellingen. Hackers maken steeds vaker misbruik van kwetsbaarheden in software; informatie daaromtrent wordt snel via internet gedeeld. Bovendien zijn hackingtools beschikbaar waarmee de drempel om daadwerkelijk misbruik te maken van (bekende) kwetsbaarheden relatief laag is. De ransomware aanvallen zoals Wannacry en NotPetya in 2017 tonen aan dat dit geen denkbeeldige scenario s zijn. Op basis van de self-assessments van de onderzochte instellingen is in figuur 3 inzichtelijk gemaakt hoe snel de Nederlandse financiële sector kritische kwetsbaarheden in de IT systemen heeft gemitigeerd nadat de softwareleverancier een oplossing (patch/fix) beschikbaar heeft gesteld. In dit overzicht is af te leiden dat pas na 60 dagen 100% van de patches zijn geïnstalleerd. Dit betekent dat gedurende die tijd de instelling kwetsbaar is voor misbruik van haar IT systemen. Hoewel ten opzichte van 2010 verbetering heeft opgetreden na 60 dagen was toen slechts 81% van kritische patches geïnstalleerd ligt het tempo volgens DNB te laag. Het dreigingsbeeld is ten opzichte van 2010 immers verslechterd. Figuur 3: snelheid van het patchmanagement 7 van 10

8 3.5 Monitoren van het externe netwerkverkeer Instellingen bereiden zich proactief voor op cyberaanvallen en zoeken ter verhoging van hun weerbaarheid naar samenwerking met gespecialiseerde partners. DNB ziet de volgende ontwikkelingen in maatregelen (control #16.1 Security testing, surveillance and monitoring uit het DNB toetsingskader): - Toenemend gebruik van monitoring software (detectief) om bijvoorbeeld ongebruikelijke patronen en transacties te signaleren. - Toenemend gebruik van Security Operating Centers (SOC) door grotere instellingen, zowel intern ingericht of in combinatie met externe ondersteuning voor geavanceerde en 7*24 netwerkmonitoring. 3.6 Ethical hacks en penetratietests Instellingen maken in toenemende mate gebruik van externe partijen om een onafhankelijk oordeel te verkrijgen over hun weerbaarheid op het gebied van cybersecurity. DNB ziet de volgende ontwikkelingen in maatregelen (control #16.1 Security testing, surveillance and monitoring uit het DNB toetsingskader): - Door de sector wordt meer aandacht gegeven aan penetratietesten waarbij een derde partij wordt gevraagd om binnen gestelde randvoorwaarden op zoek te gaan naar kwetsbaarheden in de IT systemen. - Red teaming 6 staat in de sector nog aan het begin van een ontwikkeling. DNB heeft in 2017 in dit kader het TIBER (Threat Intelligence Based Ethical Red Teaming) framework gepubliceerd 7. Enkele instellingen hebben in 2017 aangegeven gebruik te willen maken van het TIBER framework. DNB ziet mogelijkheden bij instellingen om dit op grotere schaal uit te voeren en onderschrijft het belang van deze testaanpak om kwetsbaarheden te signaleren en getroffen maatregelen te versterken. 3.7 Identificeren en afhandelen van security incidenten Instellingen ontvangen een veelheid aan (interne en externe) signalen, indicatoren en incidentmeldingen over uiteenlopende onderwerpen. Het is daardoor complex om security incidenten in deze (soms omvangrijke) datastromen te herkennen. Instellingen zien dit proces van herkennen, classificeren, prioriteren en vervolgens effectief afhandelen van incidenten als belangrijk onderdeel van hun cyber-resilience. DNB ziet de volgende ontwikkelingen in maatregelen (control #15.2 Incident escalation uit het DNB toetsingskader): - Classificatie van incidenten en het toekennen van prioriteiten wordt in toenemende mate ondersteund door tooling die met grote hoeveelheden signalen kan omgaan. - Management heeft meer behoefte aan inzicht in incidenten, impact op dienstverlening en een loss-database waarin directe en indirecte kosten 6 Bij red teaming worden hackers ingehuurd door instellingen (het red team ) die proberen gedurende een langere periode in te breken bij de instelling, waar een kleine groep mensen van de aanval af weet (het white team ). Van de staande organisatie die niet van de test op de hoogte is wordt verwacht dat zij de aanval mitigeren (het blue team ). De test is erop gericht om vast te stellen in hoeverre het blue team aan die verwachting voldoet. 7 Zie: 8 van 10

9 worden bijgehouden. Dit inzicht draagt in toenemende mate bij aan risicoanalyses en IT-investeringsvraagstukken. - De malware aanvallen WannaCry en NotPetya zijn in 2017 veelal effectief afgehandeld door de instellingen. Tegelijkertijd ziet DNB dat instellingen wel degelijk slachtoffer zijn geweest van andere vormen van malware met als gevolg dat backups zijn teruggezet, mutaties opnieuw verwerkt moesten worden en productieve uren verloren zijn gegaan. - Voorts ziet DNB een toename in meldingen van toezichtsincidenten als gevolg van cyberaanvallen. Voorbeelden hiervan zijn DDOS aanvallen. 4. Waarnemingen op de uitvoering van self-assessment door instellingen DNB heeft een aantal waarnemingen op de uitvoering van de self-assessment. Het op een consistente en achteraf aantoonbare wijze uitvoeren van de assessment draagt bij aan een reëel beeld binnen de instelling. Daarnaast hebben wij op basis van de self-assessments een beeld gekregen ten aanzien van eventuele hogere ambitieniveaus bij de instellingen zelf. Dit is uitgewerkt in de onderdelen 4.1 t/m De criteria voor volwassenheidsniveaus 3 en 4 worden binnen de sector nog onvoldoende consistent gehanteerd. In 2017 heeft DNB net als in de voorgaande jaren in een aantal gevallen de door de instellingen gescoorde volwassenheidsniveaus neerwaarts bijgesteld naar aanleiding van de uitgevoerde deelwaarnemingen. Dit betrof veelal een bijstelling van niveau 4 naar 3. In het DNB toetsingskader 8 zijn de criteria voor volwassenheidsniveaus 3 en 4 als volgt beschreven: - Niveau 3 (Defined): Control is documented, executed in a structured and formalized way. Execution of the control can be proved. - Niveau 4 (Managed and measurable): The effectiveness of the control is periodically assessed and improved when necessary. This assessment is documented. Dit betekent dat niveau 3 op basis van het normenkader wordt toegekend in het geval dat zowel de opzet, het bestaan en de werking van een control kan worden aangetoond. Een control kwalificeert zich voor niveau 4 wanneer de instelling daarnaast kan aantonen dat een periodieke evaluatie van de effectiviteit van de desbetreffende control heeft plaatsgevonden en dat, naar aanleiding van die reflectie, eventueel door de instelling zelf noodzakelijke verbeteringen in gang zijn gezet. DNB stelt vast dat die aantoonbare reflectie op de effectiviteit van maatregelen vaak ontbreekt. DNB hecht hier belang aan tegen de achtergrond dat maatregelen snel verouderen als gevolg van snelle veranderingen in het dreigingsbeeld van cybersecurity risico s in het bijzonder. Een robuust risicoraamwerk is noodzakelijk om voortdurend in te kunnen spelen op snelle veranderingen Gedegen assessments door onafhankelijke assurance. In 2017 hebben de instellingen hun scores onderbouwd met onafhankelijke assurance veelal van de interne auditor of externe auditor. Deze onderbouwing heeft een positief effect gehad op de kwaliteit van de assessments en heeft 8 Zie: Points to consider, guidance for the scoring of controls, uit het DNB toetsingskader. 9 van 10

10 daardoor minder dan in voorgaande jaren geleid tot een bijstelling van uitkomsten door DNB Bij verzekeraars en pensioenfondsen bestaat de ambitie om informatiebeveiliging op een hoger niveau te brengen. DNB heeft de instellingen gevraagd in kaart te brengen welke controls zij zelf op grond van een risicoanalyse op volwassenheidsniveau 4 willen brengen. Hieruit volgt een wisselend beeld. Enerzijds zijn er instellingen die op dit punt nog geen duidelijke ambities tonen: zij houden vast aan het minimaal door DNB vereiste niveau. Anderzijds zijn er instellingen die concreet benoemen op welke controls zij een hoger volwassenheidsniveau ambiëren dan de vereiste norm. Over het algemeen betreft dit de volgende aandachtsgebieden en controls uit het DNB toetsingskader waarbij een hoger ambitieniveau wordt gewenst: Controls rondom leveranciersmanagement - #14.2 Supplier risk management - #14.7 Monitoring and reporting of SLA s - #16.3 Internal control of third parties Controls specifiek gericht beheersing cyberrisico s - #15.1 Security incident definition - #15.2 Incident escalation - #18.5 Exchange of sensitive data - #19.1 Malicious software prevention, detection and correction Op basis van de self-assessments stelt DNB vast dat deze instellingen veelal nog niet dit hogere ambitieniveau hebben bereikt, maar wel plannen hebben om de ambities binnen 1 tot 2 jaar te realiseren. 5. Vooruitblik toezicht 2018 Ook in 2018 besteedt DNB aandacht aan het onderwerp informatiebeveiliging (zie Toezicht Vooruitblik 2018) 9. Dit betreft de reguliere Informatiebeveiligingsonderzoeken bij een aantal instellingen, maar ook cyber verdiepende onderzoeken. Deze cyber verdiepende onderzoeken gaan specifiek en meer diepgaand in op de door de instellingen getroffen beheersmaatregelen rondom cyberrisico s. De onderzoeken worden uitgevoerd bij instellingen die in het algemeen een hoger volwassenheidsniveau kennen van beheersmaatregelen op het gebied van informatiebeveiliging. Deze instellingen hebben veelal specialistische functies ingericht waar DNB meer toegesneden onderzoeken kan doen, bijvoorbeeld naar de effectiviteit van een Security Operations Centre (SOC) en de inzet van red teaming methoden (gebaseerd op TIBER). Ook gaat DNB dit jaar specifieke onderzoeken uitvoeren bij de instellingen om de weerbaarheid van cyberaanvallen te toetsen en om vast te stellen op welke wijze zij na een geslaagde aanval weer naar een business as usual situatie kunnen terugkeren (cyber resilience). 9 Zie: 10 van 10