Help, ik word gehacked!

Door Vera Bik MSc.

Eigenlijk gaat data integriteit over niets meer of minder dan de betrouwbaarheid van gegevens. Kijk, daar kan een accountant nog eens wat mee! We snappen allemaal het belang van betrouwbare gegevens. Zonder betrouwbare gegevens zijn wij nergens. Nu is dit wel een heel breed begrip om in slechts één blog te beschrijven. Daarom ligt de focus op het risico dat de (digitale) data integriteit door externen wordt aangetast. Hacken dus, want bij een hack weet je nooit wat er met de data gebeurt (of gebeurd is). Dit is een actueel risico getuige de vele onderzoeken over cybercriminaliteit die – bijvoorbeeld door de Big 4 adviseurs – worden gepubliceerd.

Dat gebeurt ons toch niet?!
Tijdens mijn werk in de openbare praktijk heb ik voornamelijk controles uitgevoerd bij middelgrote bedrijven en bij stichtingen. Ik denk dat een grote onderneming zoals Shell of Unilever ervan doordrongen zal zijn dat zij mogelijk het slachtoffer kunnen worden van hackers. Er zal bij deze bedrijven dan ook veel aandacht zijn voor de beveiliging van gegevens. Maar in het MKB is de urgentie veelal helaas nog niet zo hoog. Niet omdat er nooit aanvallen zijn, maar omdat de directie denkt dat het allemaal wel mee zal vallen. De houding is er één van; “waarom zou ik gehackt worden? Er valt toch niks te halen!”.

Ik had ooit een klant met zo’n houding. Elke keer als wij vragen stelden over ICT werd dit toch vooral gezien als lastig. Stiekem hoopte ik dat er iets zou gebeuren bij deze klant, een wake-up call, iets waardoor ze ICT beveiliging serieus zouden nemen. En ja hoor, er gebeurde iets. Een medewerker klikte op een link en alle computers werden voorzien van ransomware. Als bedrijf heb je dan twee opties: (1) de back-up van de dag ervoor terug zetten en een dag aan werk verliezen; of (2) betalen. De klant koos voor de eerste optie. Door ransomware weet je niet wat er met je gegevens gebeurd is, misschien zijn er kopieën van de data gemaakt achter de schermen. Als dit persoonsgegevens betreft, wordt het gezien als een datalek en een datalek moet, sinds de wet bescherming persoonsgegevens is aangepast in 2015, gemeld worden bij de Autoriteit Persoonsgegevens. Al met al een hele hoop gedoe, omdat één medewerker even niet oplette. Helaas is de IT beveiliging er na dit voorval ook niet beter op geworden. Sommige mensen leren het ook nooit.

[avg-advertorial slug=”kom-naar-een-volgend-event-voor-finance-professionals”]

Andere gelukkig wel. Zo was er een hotel in Oostenrijk dat voor de vierde keer getroffen werd door ransomware. Het gevolg van deze actie was dat gasten niet meer konden inchecken. Naast de nodige frustraties levert het ook veel slechte publiciteit op. De eigenaar van het hotel was het zo zat, dat het hotel nu weer terug is gegaan op ouderwetse sleutels. Die zijn gelukkig niet te hacken. Was dit hotel dan zo slecht beveiligd? Ik denk het niet, ze hadden gewoon pech. Hackers worden steeds slimmer. De tijd van slecht door google vertaalde zinnen is voorbij. De e-mails van de hacker zijn soms amper van het origineel te onderscheiden. Ook “wij accountants” kunnen erin trappen. 

Want ja, ook accountantskantoren zijn niet immuun voor hackers. Wij weten het altijd beter voor onze klanten, maar toch zijn er ook kantoren die gehackt zijn. Het enige wat er hoeft te gebeuren is één klik op een link in een verkeerd mailtje. Je denkt dat je een rekening van een telefonieprovider opent, maar je haalt een virus binnen. Gelukkig hebben de meeste accountantskantoren wel een goed back-up systeem. Maar toch kun je zo een dag aan werk verliezen. Daarnaast is er het risico van reputatieschade doordat klanten op de hoogte moeten worden gesteld van het mogelijke datalek. Dit is het geval als er “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.” Hieronder valt ook mogelijke identiteitsfraude wat voorkomt als bijvoorbeeld legitimatiebewijzen zijn ontvreemd. 

Maar er is nog hoop
Maar wat kunnen we hier nu tegen doen? Moeten we weer allemaal terug naar pen en papier, alles uitprinten, niets meer via internet doen, ouderwets faxen en post verzenden? Tja, dat is niet erg efficiënt. En ook hier zijn risico’s aan verbonden, want er raakt nog wel eens post kwijt. Bovendien is een back-up maken van een stapel papier, heel wat ingewikkelder dan van een harde schijf. Dus beveiliging tegen brand is een heel stuk makkelijker als alles digitaal is.

Terug naar analoog is dus niet de oplossing, maar wat dan wel. Enkele oplossingen waar je als compliance officer mee aan de slag kunt: 

● Beoordeel of de ICT afdeling zich ervan bewust is dat een goede firewall nodig is, zodat virussen er zoveel mogelijk bij de poort worden uitgefilterd. Dit is één van de aspecten van de onderscheiden aspecten van de compliance rol: monitoren, evalueren en adviseren.

● Beoordeel of er voldoende training is geweest voor het personeel. Investeer in trainingen zodat medewerkers kritischer kijken naar e-mails die zij ontvangen en niet zomaar op een link drukken. 

● Als iemand aangeeft dat hij of zij toch per ongeluk geklikt heeft op een verkeerde link, reageer dan niet met beschuldigingen. Natuurlijk is het vervelend, het gaat geld en tijd kosten. Maar het laatste wat je wilt is dat mensen niet meer durven te melden dat ze op een verkeerde link hebben geklikt, waardoor de gevolgen alleen maar erger worden (laagdrempelige meldcultuur).

● Ga na of de back-up goed geregeld is, want als accountant wil je natuurlijk niet “Elke dag een Bitcointje minder” bezitten en afdragen aan criminelen. Bovendien is het dan nog steeds niet zeker dat de gegevens daadwerkelijk worden vrijgegeven en weer volledig beschikbaar zijn.

● Wanneer er zich een datalek heeft voorgedaan, wees je dan bewust van de verplichtingen tot melden. Overigens kan dit ook een meldingsplicht inhouden bij de AFM in relatie tot de incidentenmeldplichting.

Tot slot
Geef als accountant het goede voorbeeld. Leg aan de hand van voorbeeld praktijksituaties uit aan zowel medewerkers als cliënten wat er mis kan gaan en dat zij zeker wel een aantrekkelijk slachtoffer zijn. Vaak gaat het namelijk niet om miljoenen aan losgeld, maar om relatief kleine bedragen. Bij het hotel in Oostenrijk ging het om € 1.500. En bedenk ook dat door te betalen het systeem in stand wordt gehouden. Zolang criminelen er geld mee kunnen verdienen, gaan ze ermee door. 

De reacties tijdens de eerder aangehaalde compliance community waren wisselend wanneer het ging over ‘hoever’ kantoren reeds zijn met het implementeren van adequate beheersmaatregelen ten aanzien van data integriteit, waaronder de digitale informatie.  Dus mocht je nog op zoek zijn naar een goed voornemen voor 2018, overweeg dan de beveiliging van de ICT eens goed door te nemen, zodat jij niet het volgende slachtoffer bent.

Vera Bik MSc. Is medewerker opleidingen bij V&A