Pensioen en cyber security: in beweging blijven

‘Alles van waarde is weerloos’ zegt CoBra-dichter Lucebert in zijn gedicht met de titel de zeer oude zingt. Opgeschreven in 1974, toen het internet nog klein en overzichtelijk was, en cyber crime als begrip nog niet bestond. Nu lijkt de bekende frase van Lucebert direct van toepassing op onze moderne hyper-connected wereld waar het lijkt alsof al wat ons dierbaar is ten prooi kan vallen aan criminelen. Is ons pensioenkapitaal ook zo weerloos?

Pensioenfondsen en pensioenuitvoeringsorganisaties beheren belangrijke waarden: het vertrouwen van miljoenen deelnemers dat ze na het stoppen met werken hun leven verder kunnen leiden op het niveau dat bij hen past. Voor deze deelnemers int de pensioensector maandelijks premies, worden deze zinvol belegd en aan pensioengerechtigden uitgekeerd.

Daarbij wordt gewerkt met digitale kroonjuwelen: de belegde vermogens, de gegevens van de individuele deelnemers en hun aanspraken, afspraken over beleggingen en transacties. Daarvan staat in deze tijd nog maar weinig op papier, pensioenuitvoeringsorganisaties vertrouwen zwaar op betrouwbare systemen en netwerken. Het werk vindt bovendien steeds meer plaats op het wereldwijd verbonden netwerk van mensen, organisaties en systemen - een interessante omgeving voor criminelen.

De financiële sector was altijd al doelwit van cyber criminelen, waarbij bankrekeningen het voornaamste doelwit waren. De fraude bij internetbankieren steeg jaar na jaar, maar in 2016 werd een ommekeer bereikt en sindsdien is deze fraude sterk afgenomen.

De banken hebben in hun systemen, processen en organisaties antwoorden gevonden op cyber crime. Tegelijkertijd nam cyber crime door CEO-fraude, waarbij door overtuigend communiceren bedragen worden afgetroggeld, en het afpersen met ransomware toe. Het is een steeds verschuivend beeld, actie en reactie volgen elkaar op.

De pensioensector is niet naïef. Hoewel de wijze waarop kapitaal beheerd wordt fundamenteel anders is dan in de bankensector, gaat het om forse bedragen en ben je van nature een doelwit. De pensioenuitvoeringsorganisaties zitten dan ook niet stil en ontwikkelen zich snel op het gebied van cyber security. Natuurlijk ook aangemoedigd door toezichthouders en de lessen die van het bankwezen zijn geleerd.

Daarnaast geeft ook Europa impulsen. De EU richt zich op een open digitale markt, waar wetgeving uit voort vloeit over privacy, uitwisseling van financiële gegevens tussen partijen en het verlagen van drempels om burgers individueel toegang te verlenen tot hun gegevens. Dat stelt nieuwe eisen aan de IT-systemen van de pensioenuitvoeringsorganisaties.

Belangrijk is hierbij alert te blijven op de snelle ontwikkelingen op het gebied van cyber crime, terwijl de zaken intern verbouwd worden. Een aantal pensioenuitvoeringsorganisaties voert hierover regelmatig onderling overleg in de Pensioen-ISAC. Ook wordt zoveel mogelijk samengewerkt met de overheid, zoals het Nationaal Cyber Security Centrum, de politie en cyber security bedrijven.

Omdat cyber security-incidenten niet voor de volle honderd procent te voorkomen zijn en steeds vaker over een keten van organisaties moeten worden bestreden, heeft PGGM een CERT-team ingericht. Dat kan zeer snel actief worden en de aanpak van incidenten ondersteunen. We staan open voor iedereen die een kwetsbaarheid ontdekt via ons responsible disclosure beleid.

Cyber security is bij PGGM niet iets dat we eenmalig inrichten, maar continu aanpassen zodat we veilig kunnen werken en Lucebert’s beroemde strofe niet op ons van toepassing wordt.