Phishing en cybersecurity bij pensioenfondsen

Een pensioenfonds beheert miljarden en kent honderdduizenden deelnemers. Voor een aanvaller is dat een aantrekkelijke combinatie: veel data, regelmatige betaalstromen en een keten van uitvoerders waar mailverkeer dagelijks tussen schiet. APG, MN en PGGM-achtige organisaties zijn niet vaker doelwit dan banken, maar de impact van een geslaagde phishing-aanval ligt hoger door de gevoeligheid van deelnemergegevens.

Wat aanvallers zoeken bij pensioenuitvoerders

Twee dingen: deelnemerdata en uitkeringsstromen. Deelnemerdata bevat BSN, geboortedatum, werkgeverhistorie en bankrekening. Genoeg voor identiteitsfraude richting DigiD of voor gerichte vervolgaanvallen. De tweede route is de uitkeringsstroom zelf. Een gefakete mailwissel met een werkgever over premie-afdracht of een nagebootste deelnemer die zijn bankrekening "wijzigt", levert direct geld op.

DORA en de keten

Sinds januari 2025 valt de financiele sector onder DORA. Pensioenuitvoeringsorganisaties horen daarbij, ook al staat de discussie over reikwijdte voor kleinere fondsen nog open. DORA verplicht onder andere incidentmelding, leveranciersregister en testen van weerbaarheid. Phishing-simulatie hoort bij dat laatste. Niet als afvinkoefening, maar als manier om vast te stellen of medewerkers van de uitvoerder en de externe vermogensbeheerders een zorgvuldig opgezette CEO-fraude doorzien.

Mailbeveiliging op orde

De technische basis ligt bij DMARC op p=reject, SPF strikt en DKIM op alle uitgaande domeinen. Veel uitvoerders draaien Microsoft 365 met Defender for Office 365 in plan 2. Dat dekt veel, maar niet alles. Pensioencommunicatie loopt vaak via aparte verzenddomeinen voor UPO en jaaroverzichten, en juist daar zien we DMARC-records die op p=none blijven hangen. Een aanvaller die uw uitkeringsdomein spooft, schrijft geloofwaardige berichten richting deelnemers.

SOC en monitoring

Een SOC met 24x7-dekking is bij grotere uitvoerders standaard. Belangrijker dan de bezetting is wat er gemonitord wordt. Logins op deelnemerportalen vanuit afwijkende landen, mailregels die binnenkomende post automatisch doorsturen, OAuth-toestemmingen voor externe apps in Entra ID: dit zijn de signalen die wijzen op een gecompromitteerde mailbox. SOC II Type 2 vereist hier ook bewijslast over, niet alleen een tooling-implementatie.

Trainen op de juiste scenario's

Generieke phishing-simulaties met een nep-pakketbezorger leveren weinig op voor mensen die dagelijks pensioenadministratie doen. Werk met scenario's die hun werk raken: een nagebootste mail van een aangesloten werkgever over premie-afdracht, een gefakete vraag van DNB om documentatie, een "deelnemer" die zijn IBAN wijzigt vlak voor de uitkeringsrun. PhishWise en KnowBe4 ondersteunen dit type maatwerk.

Verwant: Cybersecurity specialist, Freelance finance consultant.