Cyberveiligheid

De website van Nobel vermogensbeheer is zo lek als een mandje

Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land, maar heeft een website die lek is. Beeld Idris van Heffen

Vermogensbeheerder Nobel schermt zijn website slecht af. Terwijl online de risico’s groeien, loopt deze sector achter.

De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.

De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.

Dataverlies

Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik. Volgens de online disclaimer heeft Nobel de website “met de grootst mogelijke zorg en aandacht gemaakt”.

Die zorgvuldigheid blijkt niet in de praktijk. Zo zijn in allerlei mappen computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.

Potentieel schadelijk

De Nederlandsche Bank (DNB) heeft de eisen voor informatieveiligheid dit jaar aangescherpt. “Een update was nodig vanwege de toename van potentieel zeer schadelijke cyberdreigingen”, schreef DNB in mei. Cybercriminelen zijn uit op geld en op informatie. “Bijvoorbeeld over personen of bedrijven die klant zijn van een bank. In de financiële sector is enorm veel te halen”, zei cyberexpert Rogier Besemer van DNB.

Financiële instellingen moeten kwetsbaarheden in de IT-infrastructuur actief monitoren en oplossen. Ze moeten computerprogramma’s tijdig onderhouden en vernieuwen. Verder moeten ze hun werknemers bewust maken van cyberrisico’s. Voortaan worden ook vermogensbeheerders hierop beoordeeld door DNB.

De algemeen directeur van Nobel, Bart Tishauser, is bestuurslid van de Vereniging van Vermogensbeheerders en Adviseurs. Is cyberveiligheid een thema binnen deze branchevereniging? De cyberrisico’s voor vermogensbeheerders zijn beperkt, zegt voorzitter Theo Andringa van VV&A, omdat de financiële transacties en het beheer van de effectenrekening worden verzorgd door partners zoals Binck Bank of de private bank InsingerGilissen. “Vermogensbeheerders moeten er wel op toezien dat dit veilig gebeurt. Ook moeten ze hun eigen klantgegevens goed afschermen.” Maar de uitgaven aan cyberveiligheid door Nederlandse vermogensbeheerders zijn volgens Andringa bescheiden. 

Databeveiliging

Dat past in het beeld van een internationaal onderzoek van PwC. Vermogensbeheerders schatten cyberrisico’s minder urgent in dan collega’s in andere financiële sectoren. Toch zullen ook zij zich moeten wapenen, schrijft PwC.

Consumenten kunnen vergelijkingssites raadplegen die de 140 Nederlandse vermogensbeheerders beoordelen. Maar deze kijken niet naar de cyberveiligheid of databeveiliging. Dat bevestigen zowel Finner.nl als Vermogensbeheer.nl. Beide platforms geven Nobel vijf sterren.

Lees ook:

Vermogensbeheerders hebben te weinig oog voor de gevaren online en moeten hackers vrezen

De online veiligheid moet hoger op de agenda komen van vermogensbeheerders, blijkt uit PwC-onderzoek.

Privacy is een ondergeschoven kindje, maar de Nederlander haalt zijn schouders op

Binnen de gemeente Amsterdam was al langer bekend dat de politie onterecht toegang had tot gemeentecamera’s bij de milieuzone. Privacyregels werden opzij geschoven. Waarom dergelijke schendingen zo vaak belanden in de hoek van ‘wat is daar nou erg aan?’

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden