Cybersecurity en boekhoudsoftware: Hoe houden we jouw data veilig?
Onze online data? Die beveiligen we vaak onbewust minder goed dan onze fysieke eigendommen, en bij datadiefstal weten we niet altijd de juiste stappen te ondernemen. Zonde, want die goudmijn aan financiële data hoort niet op straat, maar veilig binnen het boekhoudplatform.
Wij gingen in gesprek met Jacob Kiers, Security Engineer bij Yuki. Hij vertelt ons meer over de veiligheidseisen die Yuki stelt aan haar software én we kijken wat jij zelf kunt doen om je data nóg beter te beveiligen.
Jouw data is onze grootste prioriteit
Cyberdreigingen evolueren voortdurend, waarbij hackers steeds geavanceerdere methoden ontwikkelen om toegang te krijgen tot gevoelige data. Accountantskantoren hebben te maken met enorm veel data, van persoonlijke informatie van klanten tot belangrijke financiële gegevens.
Volgens Jacob is het essentieel om te zorgen dat de beveiliging op orde is. “Als gegevens gestolen worden, of we worden aangevallen door Ransomware, kan dat zomaar een groot probleem opleveren voor alle 150.000 bedrijven die van ons afhankelijk zijn”. Jacobs werk bestaat vooral uit risicoanalyse en risicobeheersing, en hij vertelt graag hoe Yuki van de beveiliging van jouw data haar grootste prioriteit maakt. Lees je mee?
De kracht van Visma
uki is onderdeel van Visma, en plukt daar op gebied van cybersecurity de vruchten van. Visma is een van de grootste Europese softwarebedrijven en moet voldoen aan zeer strenge reguleringen, vanzelfsprekend moeten ook alle bedrijven die onder Visma hangen hieraan voldoen.
“Visma heeft een uitgebreid veiligheidsprogramma op verschillende niveaus, zoals bedrijfsniveau, HR, applicaties en databeveiliging, waar Yuki volop gebruik van maakt,” legt Jacob uit: “Zonder het beveiligingsprogramma van Visma zouden we constant afwegingen moeten maken tussen risico en beheersing.”
Visma biedt meerdere externe ‘reviews’ per jaar, gedaan door andere Visma-bedrijven, om elkaar scherp te houden. Daarnaast is Visma continu bezig met het uitbreiden van hun beveiligingseisen. Het Security Operations Center houdt zich bezig met de laatste ontwikkelingen en past zonodig de vragenlijsten voor de reviews aan. “Dit jaar is daar bijvoorbeeld informatie over het gebruik van LLM’s (Large Language Models) en ChatGPT bijgekomen”, zegt Jacob.
De cyberbeveiliging van Visma? Die zit volgens Jacob heel goed in elkaar. “Bedenk het en Visma heeft er wel over nagedacht”.
Aanpak van beveiligingslekken
Om een goede beveiliging te waarborgen is allereerst de certificering van Yuki meer dan in orde. “We hebben een ISAE 3402 type 2 certificering gericht op cyberveiligheid. Dat betekent dat we daadwerkelijk moeten rapporteren over of we écht voldoen aan onze eigen procedures.” Zo’n certificering alleen lost niet automatisch alle uitdagingen op, maar verplicht Yuki scherp te blijven.
Mocht er iets voorkomen, dan is er een helder beleid. Jacob legt graag uit wat er gebeurt bij een uitdaging zoals ‘het stelen van credentials’. Jacob vertelt: “Mocht zoiets voorkomen, dan krijgen wij een melding van de Cyber Threat Intelligence afdeling van de Visma Group. Zij vinden gegevens op het dark web en wij kijken vervolgens of dit van een bestaande klant is, wat de relevantie is en welke risico’s daarbij horen.”
“In 99% van de gevallen is het geen lek bij Yuki, maar een stukje virus of malware op de computer van die persoon,” legt Jacob uit: “We zorgen dan dat Customer Support of de desbetreffende Accountmanager contact op neemt met de klant, om te melden dat daar een datalek is gevonden.”
Statische analyse en pentesten
De code van de Yuki software wordt continu gescand op beveiligingslekken, dat heet statische analyse. Als daar iets uitkomt, dan wordt dat opgelost. “Bij voorkeur halen we dit soort gaten eruit voordat het meegaat met de tweewekelijkse release van product updates”, geeft Jacob aan. Bij zo’n release gaan ook de verbeteringen in beveiliging altijd mee.
Ook vertelt Jacob over jaarlijkse pentesten: “Elk jaar geven we een hacker een week lang de tijd om, in een beschermde omgeving, in te breken op Yuki. Daar komt een rapport uit. Wanneer er fouten zijn, maken we een prioriteitenlijst én lossen we ze uiteraard op.”
Beveiligde én versleutelde back-ups
Mocht er dan toch iets gebeuren met een van de servers van Yuki? “We maken dagelijks een back-up van elk domein en bewaren die 30 dagen, plus elke 10 minuten een back-up op serverniveau,” legt Jacob uit. “Deze back-ups worden beveiligd én versleuteld opgeslagen in onze cloud”.
Zorgen of je data bij Yuki goed beveiligd is? Die hoef je niet te hebben. Yuki én Visma laten qua beveiliging geen steken vallen.
Goede wachtwoorden en Multi-Factor Authenticatie
Je data zo goed mogelijk beschermen? Dat heb je natuurlijk ook zelf in de hand. Het boekhoudplatform van Yuki biedt verschillende stappen die je zélf kunt nemen om die goudmijn veilig te stellen.
Jacob raadt aan om waar mogelijk MFA (Multi-Factor Authentication) te gebruiken. Deze manier van inloggen wordt volgens Jacob veel te weinig benut. Hij benadrukt: “Multi-Factor Authenticatie vermindert de kans op succesvolle phishing-aanvallen met meer dan 90%. Ook lange en ingewikkelde wachtwoorden van minimaal 14 karakters, raad ik aan.”
Gebruiksgemak als beveiligingsfunctie
Voorheen werd aangeraden om wachtwoorden elke paar maanden te veranderen. De cybersecurity industrie is hierop teruggekomen, omdat het te ingewikkeld is voor gebruikers. Verander je wachtwoord alleen als je aanwijzingen hebt dat het gelekt of gebroken is.
Yuki gaat in het komende jaar overstappen op Visma’s authenticatie, waardoor klanten single sign-on kunnen gebruiken voor alle Visma-software. Bij Yuki zelf zal ook Multi-Factor Authenticatie verplicht worden gesteld.
Single sign-on maakt het mogelijk met één wachtwoord in te loggen bij alle Visma-software die je gebruikt. Dát past helemaal bij ‘gebruiksgemak als beveiligingsfunctie’, omdat je zo minder wachtwoorden hoeft te onthouden.
Zelf beveiligingsmaatregelen nemen
Jacob vindt het essentieel dat bedrijven zelf nadenken over hun cyberveiligheidsbeleid, daarom vroegen we hem om een aantal tips, zodat jij zelf de risico’s kunt verkleinen.