Nieuws 23 april 2013

NOREA: IT-auditors moeten zich ook richten op ketenrisico’s betalingsverkeer

NOREA pleit ervoor dat IT-auditors zich, naast het onderzoeken van de organisatie specifieke risico's binnen het betalingsverkeer, ook in sterke mate richten op het onderzoeken van de beheersing van de ketenrisico's. Dat stelt de beroepsorganisatie van IT-auditors naar aanleiding van de recente DDoS-aanvallen.

Persbericht NOREA:

Ketenproblematiek betalingsverkeer

De problemen die zich de afgelopen weken hebben voorgedaan in het betalingsverkeer en de publiciteit en ongerustheid die dat met zich meebrengt zijn ernstig. NOREA, de beroepsorganisatie van IT-auditors, benadrukt dat de Nederlandse economie zeer afhankelijk is (geworden) van het betalingsverkeer, dat in hoge mate steunt op betrouwbare informatietechnologie. Vooralsnog zijn er weinig tot geen gelijkwaardige alternatieven voor de afwikkeling van het digitale betalingsverkeer voorhanden, in het geval dat zich in de keten ernstige verstoringen voordoen. Het betalingsverkeer heeft, gezien de maatschappelijke impact bij verstoringen, het karakter van een vitale infrastructuur en nutsvoorziening.

Het betalingsverkeer is in toenemende mate kwetsbaar voor verstoringen vanwege de complexiteit in de keten waarin veel verschillende partijen een rol spelen en technologische ontwikkelingen zeer snel gaan. Regulering heeft de toetredingsdrempels voor nieuwe spelers naast de gevestigde financiële partijen verlaagd, waardoor alternatieven minder voor de hand liggen. Technologische innovaties stellen voortdurend nieuwe uitdagingen aan de beheersing van risico's in de keten. Het betalingsverkeer is in sterke mate een doelwit voor bedreigingen zoals cybercriminaliteit en de verwachting is dat dit zo zal blijven. De DDoS-aanvallen zoals recent plaatsvonden zijn een 'fact of life' en zullen waarschijnlijk niet afnemen.

NOREA benadrukt dat, om de kwetsbaarheid te verminderen, de partijen in het betalingsverkeer niet alleen genoodzaakt zijn de robuustheid en betrouwbaarheid van hun eigen informatietechnologie op orde te hebben, maar zich ook rekenschap moeten geven van de afhankelijkheid van andere partijen in de keten. Een intensieve interactie tussen partijen in de keten is essentieel en de coördinatie over de keten heen (bijvoorbeeld in het geval van majeure verstoringen) is van cruciaal maatschappelijk belang. Het risicomanagement zal ketenbreed en continu moeten plaatsvinden om adequaat voorbereid te zijn op de toenemende dreiging van verstoringen en om de continuïteit van het betalingsverkeer te kunnen waarborgen.

NOREA pleit ervoor dat IT-auditors zich, naast het onderzoeken van de organisatiespecifieke risico's binnen het betalingsverkeer, ook in sterke mate richten op het onderzoeken van de beheersing van de ketenrisico's en organisaties wijzen op de toereikendheid van het risicomanagement. Ook adviseert NOREA haar leden om naast het onderzoeken van de traditionele technologische en organisatorische continuïteitsmaatregelen, ook te kijken naar de interactie en 'fall back'-mogelijkheden binnen de betalingsverkeerketen. NOREA tracht samen met haar leden een vaktechnische brug te slaan door het stimuleren van kennisdeling en het ontwikkelen van normenkaders die recht doen aan het belang van de betalingsverkeerketen als geheel en het terugdringen van de bedreigingen die zich daarbij manifesteren ten aanzien van deze vitale infrastructuur.