Cybersecurity (Bank)Beleggingsondernemingen Printversie minivragenlijst (19-10-2015)
Inhoudsopgave Hoofdstuk 1: Inleidende vragen ............................................................................................................. 2 Hoofdstuk 2: Uw veiligheidsbeleid, interne toetsing en incidenten .................................................... 3 Hoofdstuk 3: Wijzigen van tegenrekeningen en risico mitigerende maatregelen ............................... 7 Hoofdstuk 4: Communicatie naar uw klanten ..................................................................................... 13 Hoofdstuk 5: Afsluiting ......................................................................................................................... 15
1
Hoofdstuk 1: Inleidende vragen De AFM verzoekt u dit jaar om vragen te beantwoorden over cybersecurity. Deze vragenlijst is een voorbeeld van de eerder genoemde aparte vragenlijst over een specifiek thema die wordt voorgelegd aan een deelpopulatie. Aanleiding voor het uitzetten van de vragenlijst is het toenemende risico van cybercrime op de continuïteit van de dienstverlening van banken en beleggingsondernemingen. Op Europees niveau is er momenteel in het bijzonder aandacht voor de informatiebeveiliging rondom tegenrekeningen omdat cybercriminelen proberen via het wijzigen van tegenrekeningen tegoeden van cliënten onrechtmatig weg te sluizen. De vragenlijst cybersecurity bevat drie onderwerpen. Wij vragen u naar uw beleid rondom security awareness en naar de wijze waarop u uw klanten over informatiebeveiliging informeert. Ook vragen wij u naar de technische en organisatorische beveiliging in relatie tot het wijzigen van tegenrekeningen. Indien u binnen uw dienstverlening gebruik maakt van één of meerdere depotbanken, hoeft u een aantal vragen over het wijzigen van tegenrekeningen niet in te vullen.
Vraag 1 De volgende stellingen inventariseren de mogelijkheden die u uw klanten biedt binnen de online omgeving waar uw klanten inloggen. Vink alle stellingen aan die op uw onderneming van toepassing zijn. Meerdere antwoorden mogelijk Klanten kunnen hun rekeninggegevens inzien Klanten kunnen hun rekeninggegevens muteren Klanten kunnen hun transactiegegevens inzien Klanten kunnen aan- en verkooptransacties doorgeven (indien nee, hoofdstuk 3 niet) Klanten kunnen liquide middelen overboeken (indien nee, hoofdstuk 3 niet) Nee, klanten kunnen geen enkele persoonlijke gegevens inzien ( hoofdstuk 3 en 4 niet) Toelichting: Rekeninggegevens: Alle data die kwalificeren als persoonsgegevens zoals beschreven in de Wet bescherming Persoonsgegevens, zoals naam, adres en woonplaats, telefoonnummers, kentekens en postcodes met huisnummers. In het geval van rechtspersonen naam, adres, woonplaats, kvk nummers, belastingnummers, namen en persoonlijke gegevens van beleidsbepalers. Uitgangspunt is dat het hier om klanten van de onderneming gaat, niet om leveranciers of data van samenwerkende ondernemingen. Daarnaast alle aan de rekening verbonden gegevens van betaal-, spaar-, beleggings- en leenproducten, autorisatie en blokkade informatie verbonden aan de rekening. Transactiegegevens: saldi, posities en historische transactiedata op een beleggingsrekening
2
Hoofdstuk 2: Uw veiligheidsbeleid, interne toetsing en incidenten In dit hoofdstuk vragen wij u op generiek niveau naar uw informatiebeveiligingsbeleid. Ook vragen wij u naar de wijze waarop u uw informatiebeveiligingsbeleid en geïmplementeerde maatregelen toetst. Ten slotte vragen wij of er beveiligingsincidenten hebben plaatsgevonden.
Vraag 2 Hebt u een beveiligingsbeleid geformuleerd waarin u ook aandacht besteedt aan de beveiliging van uw online omgeving? Ja (naar vraag 3) Nee (naar vraag 6)
Vraag 3 In vraag 2 heeft u aangegeven een beveiligingsbeleid te hebben geformuleerd. Waarop zijn de eisen in uw beveiligingsbeleid in relatie tot de online omgeving, waarbinnen uw klanten kunnen inloggen, gebaseerd? Meerdere antwoorden mogelijk Een door onszelf uitgevoerde risico analyse, EDP audit en/of compliance audit Een door een externe partij uitgevoerde risico analyse, EDP audit en/of compliance audit Op basis van internationale standaarden COBIT, ISO 2700X, COSO en/of SOX Op basis van nationale wetgeving (Wet bescherming Persoonsgegevens) Op basis van eigen inzichten Geen van de bovenstaande antwoorden
3
Vraag 4 Zijn het geformuleerde beveiligingsbeleid en de daarbij behorende procedures en maatregelen geïmplementeerd? Eén antwoord mogelijk Ja, volledig Nee, maar voor 1 januari 2016 wel volledig Nee, en voor 1 januari 2016 naar verwachting nog niet volledig
Alleen stellen indien antwoord vraag 3 = 1,2
Vraag 5 U heeft bij vraag 4 aangegeven dat u een risicoanalyse, EDP audit en/of compliance audit heeft uitgevoerd in relatie tot de online omgeving waarbinnen uw klanten kunnen inloggen. Heeft een dergelijk onderzoek in 2014 en/of 2015 plaatsgevonden? Meerdere antwoorden mogelijk
Ja, namelijk een interne risicoanalyse Ja, namelijk een interne EDP audit Ja, namelijk een interne compliance audit Ja, namelijk een risicoanalyse door een externe partij Ja, namelijk een EDP audit door een externe partij Ja, namelijk een compliance audit door een externe partij Nee
4
Vraag 6 Op welke wijze en met welke periodiciteit worden de beveiligingsmaatregelen getest(*) met betrekking tot online omgeving waarbinnen uw klanten kunnen inloggen? Meerdere antwoorden mogelijk De online omgeving wordt afzonderlijk (d.m.v. vulnerability testen), minimaal 1 keer per jaar, getest De online omgeving wordt afzonderlijk (d.m.v. vulnerability testen), maar met een lagere frequentie getest De online omgeving wordt als onderdeel van thematische beveiligingsonderzoeken, minimaal 1 keer per jaar, getest De online omgeving wordt als onderdeel van thematische beveiligingsonderzoeken, maar met een lagere frequentie getest De online omgeving wordt op een andere wijze getest De online omgeving wordt niet getest Toelichting: (*) testen die een oordeel vormen over de kwetsbaarheden van de dienst, zoals penetratie of hacking testen.
5
Vraag 7 Wat zijn de belangrijkste oorzaken van beveiligingsincidenten en wat zijn de hierbij behorende aantallen incidenten in 2014 en 2015 en heeft het incident geleid tot aanpassingen in de IT omgeving, authenticatie, beleid, procedures en/of maatregelen? Meerdere antwoorden mogelijk Oorzaken beveiligingsincidenten
Virussen en/of aanvallen vanuit het internet Aanvallen vanuit het eigen netwerk Storingen in het identificatie/authenticatie mechanisme - Technische storingen in de eigen infrastructuur Menselijke fouten/procedure fouten in de eigen organisatie Anders Geen incidenten
Aantal incidenten in 2014 en 2015
Geleid tot aanpassing in IT omgeving, authenticatie, beleid, procedures en/of maatregelen
Vraag 8 De volgende vragen gaan over de wijze waarop u organisatorisch de informatiebeveiliging borgt. Vink de stellingen aan die op uw onderneming van toepassing zijn Uw onderneming heeft een medewerker aangewezen die informatiebeveiliging in zijn/haar portefeuille heeft Uw onderneming heeft een security awareness programma voor medewerkers Uw onderneming heeft de veiligheidsaspecten van uw systemen in de laatste twaalf maanden geëvalueerd (Een deel van) uw medewerkers hebben een Verklaring Omtrent Gedrag overlegd en/of zijn door een externe partij gescreend. Personele mutaties (in- en uit dienst) leiden direct tot aanpassing van toegangsrechten Uw onderneming voert actief beleid ten aanzien van externe gegevensdragers, zoals USBsticks
6
Hoofdstuk 3: Wijzigen van tegenrekeningen en risico mitigerende maatregelen De AFM is onlangs door De Nederlandsche Bank geïnformeerd dat op Europees niveau de trend is gesignaleerd dat internetcriminelen trachten om tegenrekeningen van cliënten te wijzigen. Over het algemeen is de computer van de cliënt in deze gevallen besmet met een trojan dat tot doel heeft paspoortkopieën en klantgegevens te ontvreemden. Vervolgens wordt met deze klantgegevens een formulier voor het wijzigen van een tegenrekening ingevuld en samen met de paspoortkopie aan de financiële instelling verstuurd. De financiële instelling wijzigt volgens het gebruikelijke proces de tegenrekening, waarna een opdracht tot overboeking van gelden aan de betreffende financiële onderneming wordt verstuurd. Op deze manier worden gelden van cliënten onrechtmatig weggesluisd. In dit hoofdstuk vragen wij u naar de wijze waarop het authenticatieproces binnen de online klantenomgeving verloopt en naar mogelijke mitigerende maatregelen om de risico’s van cybercrime te beperken. Indien u samenwerkt met depotbanken, hoeft u slechts enkele vragen te beantwoorden. DNB houdt toezicht op banken, verzekeraars en pensioenfondsen en deelt de data uit onderzoeken naar informatiebeveiliging met de AFM.
Vraag 9 Werkt u samen met één of meer depotbanken? Meerdere antwoorden mogelijk Ja Nee (naar vraag 12)
7
Vraag 10 Specificeer hieronder met welke depotbanken u samenwerkt, hoeveel rekeningen de depotbank voor u beheert op 31/12/2014 en hoe hoog de totale beheerde vermogen door de depotbank per 31/12/2014 was. Meerdere antwoorden mogelijk Naam depotbank
Aantal rekeningen 31/12/2014
Totaal beheerd vermogen 31/12/2014 € € € € €
Vraag 11 Is het voor (een deel van) uw medewerkers mogelijk zelf de persoonlijke gegevens, zoals NAW gegevens, emailadres en/of tegenrekening van de depotrekening te wijzigen? Meerdere antwoorden mogelijk Ja (naar Nee (naar vraag 12)
8
Alleen indien vraag 9 = 2
Vraag 12 In deze vraag vragen wij u naar de wijze waarop u uw dienstverlening binnen de online omgeving hebt ingericht. Vink de stellingen aan die op uw onderneming van toepassing zijn. Meerdere antwoorden mogelijk De uitvoering van transacties is volledig geautomatiseerd (straight through processing) De mutatie van klantgegevens is volledig geautomatiseerd (straight through processing) Klanten ontvangen automatisch een bevestiging van transacties per email Klanten ontvangen automatisch de wijziging van klantgegevens per email Het emailadres kan door klanten binnen de online omgeving worden gewijzigd en klanten moeten de wijziging bevestigen via het oude emailadres
Alleen indien vraag 9 = 2
Vraag 13 Op welke wijze kan een klant zich bij het inloggen op de online omgeving authenticeren? Geef daarnaast tevens aan of u voor verschillende klanten verschillende vormen van authenticatie hanteert. Meerdere antwoorden mogelijk Een wachtwoord dat meerdere keren te gebruiken is (bijv. PIN-code) Een wachtwoord dat meerdere keren te gebruiken is en waarvan telkens random een deel van de tekens wordt gevraagd Een tijdsonafhankelijk wachtwoord dat slechts één keer te gebruiken is (bijv. TAN-lijst) Een tijdsafhankelijk wachtwoord dat slechts één keer te gebruiken is (bijvoorbeeld calculator) Een wachtwoord dat wordt gegenereerd met een door de instelling verstrekte code (challenge/response, bijvoorbeeld token) Een vooraf gespecificeerd IP-adres Geen authenticatie Anders, namelijk (open tekstveld) De authenticatie verschilt voor verschillende klanten
9
Alleen indien vraag 9 = 2
Vraag 14 Wat is de default instelling voor de wijze waarop een klant zich bij het inloggen op de online omgeving authenticeert? (meerdere antwoorden mogelijk) Meerdere antwoorden mogelijk Een wachtwoord dat meerdere keren te gebruiken is (bijv. PIN-code) Een wachtwoord dat meerdere keren te gebruiken is en waarvan telkens random een deel van de tekens wordt gevraagd Een tijdsonafhankelijk wachtwoord dat slechts één keer te gebruiken is (bijv. TAN-lijst) Een tijdsafhankelijk wachtwoord dat slechts één keer te gebruiken is (bijvoorbeeld calculator) Een wachtwoord dat wordt gegenereerd met een door de instelling verstrekte code (challenge/response, bijvoorbeeld token) Een vooraf gespecificeerd IP-adres Geen authenticatie Anders, namelijk (open tekstveld)
Alleen indien vraag 9 = 2, alleen numerieke waarden
Vraag 15 Welk percentage klanten logt in op de online omgeving met de default instelling? Een schatting volstaat, rond af op gehele procenten. Vul hier een percentage in
10
Alleen indien vraag 9 = 2, alleen indien vraag 1 = 2,4
Vraag 16 Is er een zogenaamd gesloten circuit geïmplementeerd (vanaf de betaalrekening die gekoppeld is aan internetbeleggen kunnen alleen gelden naar een vaste tegenrekening worden overgeboekt)? Eén antwoord mogelijk Ja, via een vaste tegenrekening zonder de restrictie dat de tenaamstelling identiek is Ja, via een vaste tegenrekening met de restrictie dat de tenaamstelling identiek is Nee
Alleen indien vraag 9 = 2, alleen indien vraag 1 = 4,5
Vraag 17 Kunnen klanten de vaste tegenrekening wijzigen? Meerdere antwoorden mogelijk
Ja, via de internetapplicatie Ja, via een schriftelijke verzoek Ja, via een telefonisch verzoek Anders, namelijk (open tekstveld)
Alleen indien vraag 9 = 2, alleen indien vraag 1 = 4,5
Vraag 18 Welke van de volgende situaties is van toepassing bij het wijzigen van tegenrekeningen Meerdere antwoorden mogelijk Klanten worden per brief op de hoogte gesteld van het wijzigen van een tegenrekening De wijziging van een tegenrekening vindt vertraagd plaats zodat klanten de wijziging vooraf per brief of per email bevestigd krijgen De tenaamstelling van de tegenrekening wordt gecontroleerd met een identificatiestorting Het aantal inlogpogingen wordt bij een wijziging van de tegenrekening gemonitord Er vindt monitoring plaats op het aantal dezelfde tegenrekeningen, gekoppeld aan verschillende beleggingsrekeningen Het wijzigen van tegenrekeningen wordt telefonisch bevestigd Anders, namelijk (open tekstveld) 11
Alleen indien vraag 9 = 2, alleen indien vraag 1 = 4
Vraag 19 U geeft aan dat uw klanten via een online omgeving aan- en verkooptransacties kunnen doorgeven. De volgende stellingen gaan over de wijze waarop monitoring plaatsvindt op ongebruikelijke transacties. Vink de stellingen aan die voor uw onderneming van toepassing zijn. Meerdere antwoorden mogelijk Er vindt monitoring plaats op voor klanten ongebruikelijke transacties, bijvoorbeeld op beurzen waar niet gebruikelijk op wordt gehandeld en/of op transacties met hoge volumes in stukken waarin lage volumes omgaan en/of op transacties met hoge volumes in pennystocks Er vindt monitoring plaats op transacties in dezelfde stukken binnen verschillende rekeningen Er vindt geen monitoring plaats Anders namelijk (open tekstveld)
12
Hoofdstuk 4: Communicatie naar uw klanten In dit hoofdstuk zijn vragen opgenomen over de wijze waarop u over verschillende aspecten van informatiebeveiliging met uw klanten communiceert en de wijze waarop u omgaat met schade uit cybercrime. Vraag 20 Krijgt de klant de instructie om vast te stellen of het inloggen in de online omgeving gebeurt met een beveiligde verbinding* Eén antwoord mogelijk Ja Nee Toelichting: (*)betreft een beveiligingscertificaat. Indien bijvoorbeeld onderaan de webpagina een icoontje verschijnt met een afbeelding van slotje of doorverwezen wordt naar de https-site, dan heeft de klant waarschijnlijk te maken met een beveiligde verbinding.
Vraag 21 Wordt de klant geattendeerd op de onderstaande beveiligingsaspecten? Meerdere antwoorden mogelijk Gebruik te maken van de nieuwste versies van internet browsers. Reden hiertoe is dat browsers vaak aangepast worden met meer en betere beveiligingstechnieken. Verificatie dat gecodeerde pagina’s niet op de harde schijf worden opgeslagen. Gecodeerde pagina’s worden standaard niet op de harde schijf opgeslagen. Dit om te voorkomen dat andere gebruikers op dezelfde PC deze achteraf kunnen raadplegen. Beschermen van identificatie-/authenticatiegegevens en het niet prijs geven van deze gegevens aan derden (inclusief medewerkers van de instelling) Het niet onbewaakt achterlaten van de computer Het op een juiste juiste wijze afsluiten van de internetsite (uitloggen) Het installeren van recente updates van anti-virus programma’s en/of firewalls Andere beveiligingsaspecten
13
Vraag 22 Wordt de klant geattendeerd op de risico’s van cybercrime, zoals het fenomeen “phishing”? Eén antwoord mogelijk Ja Nee
Vraag 23 Lopen uw klanten aansprakelijkheidsrisico’s indien zij slachtoffer zijn van cybercrime? Meerdere antwoorden mogelijk Nee, onze onderneming neemt alle schade uit hoofde van cybercrime voor eigen rekening Ja, bij ernstige nalatigheid van de klant vergoeden wij schade uit cybercrime niet Ja, er zijn situaties denkbaar waarin onze onderneming de schade uit cybercrime niet vergoedt, al zijn deze nog niet voorgekomen Ja, in het verleden zijn er situaties voorgekomen, waarin onze onderneming de schade uit cybercrime niet vergoed heeft Anders, namelijk (open tekstveld)
Alleen indien vraag 23 = 2, 3, 4 (ja)
Vraag 24 U heeft bij vraag 21 aangegeven dat u niet alle schade uit hoofde van cybercrime voor eigen rekening neemt of zou nemen. Op welke wijze heeft u uw klanten hierover geïnformeerd? Open tekstveld
14
Hoofdstuk 5: Afsluiting Vraag 25 Indien u opmerkingen heeft over de vragenlijst, kunt u deze hieronder noteren.
Verklaring De beleidsbepaler(s) van uw onderneming is/zijn verantwoordelijk voor het volledig, juist en naar waarheid invullen van de uitvraag Cybersecurity (Bank)Beleggingsondernemingen 2015. Met het hieronder invullen van de gegevens van één van de beleidsbepalers van uw onderneming en het verzenden van de ingevulde uitvraag Cybersecurity (Bank)Beleggingsondernemingen 2015 geeft/geven de beleidsbepaler(s) van uw onderneming aan dat de uitvraag Cybersecurity (Bank)Beleggingsondernemingen 2015 naar waarheid is ingevuld. Beleidsbepaler Voorletters: Tussenvoegsel: Achternaam: Geboortedatum (dd/mm/jjjj):
/
/
Door het aanvinken van dit vakje verklaart bovenstaande beleidsbepaler dat de Uitvraag Cybersecurity (Bank)Beleggingsondernemingen 2015 naar waarheid is ingevuld
15