“Ik nodig verzekeraars uit om vaker cyberinformatie te delen met het i-CERT.” Dat is de boodschap van cyberspecialist Enriko Groen. Hij is lid van het team dat gemelde cyberincidenten analyseert en waarschuwingen verstuurt aan verzekeraars die zich op dit sectorinitiatief hebben aangesloten. Naast het melden van acute incidenten, kan de waarde van het i-CERT volgens hem vergroot worden als verzekeraars het meldpunt ook gebruiken voor vragen en het delen van trends.
In een serie interviews over de cyberveiligheid van verzekeraars gaat het Verbond van Verzekeraars in gesprek met experts uit de sector. Welke vormen van cybercriminaliteit vormen de grootste risico’s en hoe wapenen verzekeraars zich tegen cyberaanvallen? In deel twee is het woord aan Enriko Groen, IT Security Specialist bij Achmea. Hij is één van de specialisten die uitvoering geeft aan het Computer Emergency Response Team voor de verzekeringssector (i-CERT). Dit team staat onder coördinatie van het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond.
De leden van het team werken in wisseldiensten. Wat doe je als je dienst hebt?
“Als ik dienst heb, houd ik gedurende twee weken de i-CERT-inbox bij. Op andere momenten hebben security specialisten van a.s.r., Nationale-Nederlanden, Aegon, VIVAT en sinds kort ook van zorgverzekeraar CZ dienst. Meldt een verzekeraar een cyberincident tijdens mijn dienst? Dan pak ik deze melding op, vraag waar nodig om extra uitleg en deel een geanonimiseerde waarschuwing met alle verzekeraars die aangesloten zijn op de informatievoorziening van het i-CERT. Dat zijn er nu zo’n 75. Deze verzekeraars kunnen de informatie vervolgens gebruiken om te voorkomen dat zij zelf ook getroffen worden.”
Enriko Groen, Achmea
Wat voor cyberincidenten melden verzekeraars?
“Nog niet zo lang geleden meldde een verzekeraar een DDoS-aanval. Dat staat voor Distributed Denial of Service en is een aanval waarbij criminelen servers en netwerken bestoken met ‘onzinverkeer’. Hierdoor worden websites en applicaties voor bepaalde tijd platgelegd. Daarbij eisen criminelen soms losgeld om zo’n platgelegd netwerk te voorkomen of op te heffen. Als dat gebeurt in een periode waarin verzekeraars een marketingcampagne voeren, schaadt zo’n aanval niet alleen de online dienstverlening, maar ook de reputatie. Denk bijvoorbeeld aan de zorgverzekeraars en de bekendmaking van de nieuwe zorgpremie en overstapperiode van november tot en met januari.”
“Een ander voorbeeld is de kwetsbaarheid bij Citrix, de veelgebruikte digital workspace technologie. Deze melding kregen wij niet van een verzekeraar, maar van het Nationaal Cyber Security Centrum (NCSC) dat opereert vanuit de overheid. Zij delen belangrijke meldingen met andere sectoren. Deze cyberdreiging is toen direct vanuit het i-CERT met de aangesloten verzekeraars gedeeld.”
Hoeveel meldingen krijgt het i-CERT binnen?
“In een dienst van twee weken worden er enkele meldingen door verzekeraars gedaan. We praten op dit moment dus nog niet over hele hoge aantallen per jaar. Daarnaast ontvangen we ook informatie van andere partijen waarmee het i-CERT samenwerkt.”
Jaarcijfers 2019 - Vorig jaar heeft het i-CERT:
46 sectorwaarschuwingen en adviezen uitgegeven op basis van door verzekeraars gemelde informatie over incidenten, kwetsbaarheden of dreigingen;
72 adviezen, onderzoeksrapporten, technische factsheets en andere kennisproducten van gezaghebbende cyber security organisaties ter beschikking gesteld aan verzekeraars. Het gaat veelal om informatie die uitsluitend via i-CERT kan worden verkregen;
8 keer toegang gegeven tot conferenties, workshops en andere (besloten) bijeenkomsten van stakeholders over cyber security;
2 keer een verdiepingssessie georganiseerd voor de aangesloten verzekeraars.
Is dat veel?
“Het aantal meldingen per dienst valt tot nu toe mee. De i-CERT-diensten zijn dan ook goed te doen naast mijn gewone werk. En ik vind het leuk, want ik leer veel over wat er bij andere verzekeraars speelt. Ik ben blij dat ze het i-CERT in de afgelopen vijf jaar steeds beter weten te vinden, maar er mag van mij nog wel meer met elkaar gedeeld worden.”
Maar als er geen cyberincidenten zijn, is er toch niets te melden?
“Als je het zo bekijkt wel, maar de ontwikkelingen op het gebied van cybercriminaliteit gaan snel en ik geloof niet dat verzekeraars zelf alles bij kunnen benen. 10 jaar geleden opereerden cybercriminelen vaak alleen. Tegenwoordig werken ze in georganiseerde groepen die steeds zoeken naar nieuwe manieren om bedrijven binnen te dringen. Dus net als zij, hebben ook bedrijven zoals verzekeraars baat bij onderlinge samenwerking en informatie-uitwisseling.”
Dus als ik het goed begrijp kunnen verzekeraars het i-CERT ook benaderen als er geen acute cyberdreiging is?
“Het i-CERT is primair voor het melden van cyberincidenten, kwetsbaarheden en dreigingen. Maar ik denk dat onze meerwaarde nog groter wordt als verzekeraars ook eens contact met ons opnemen als ze een vraag hebben of iets signaleren wat mogelijk ook relevant is voor de hele sector.”
Zoals?
“Bijvoorbeeld als je een nieuwe ontwikkeling ziet in phishing mails. Of zoiets als de trend op LinkedIn waarbij criminelen nepprofielen aanmaken en linken met ‘collega’s’ om stap voor stap meer bedrijfsinformatie te bemachtigen. Door meer informatie met elkaar uit te wisselen, kunnen meer verzekeraars profiteren van alle kennis en kunde die we samen in huis hebben. Daarnaast denk ik dat verzekeraars zich daardoor nog beter aan elkaar kunnen spiegelen en bepalen hoe ver zij zijn ten opzichte van sectorgenoten.”
Tot slot, wat is jouw boodschap aan verzekeraars?
“Het i-CERT is sinds de start al erg gegroeid, maar heeft nog veel groeipotentieel. Dat is wel afhankelijk van de inzet van de aangesloten verzekeraars. Daarom nodig ik verzekeraars die nog niet aangesloten zijn van harte uit om deel te nemen. En de al aangesloten verzekeraars nodig ik uit om vaker informatie met ons te delen die ook voor de rest van de sector relevant kan zijn. Zo profiteren we met z’n allen nog meer van het i-CERT.”
Sluit aan bij het i-CERT
Neem contact op met Anne Sonnenschein, beleidsadviseur CBV, voor meer informatie over het i-CERT en deelname.
Was dit nuttig?