IT Security: ‘AVG heeft geleid tot bewustwording, maar er moet nog veel gebeuren’

De thema’s privacy en cyberveiligheid staan maatschappelijk volop in de aandacht. De accountant zal hier als vertrouwenspersoon voor het maatschappelijk verkeer mee aan de slag moeten. Hoe pakt hij/zij dat aan?  

De toekomst van de accountancy staat of valt bij een veilige IT-omgeving en de beveiliging van data. Tijdens het werkoverleg IT Security op Accountancy Expo 2018, bespreekt IT-security expert Jos Kaan de actuele stand van zaken op het gebied van security in combinatie met de Algemene Verordening Gegevensbescherming (AVG of GDPR). ICT Concept faciliteert de sessie. Het ICT-adviesbureau heeft veel ervaring met IT-security projecten bij accountants en administratiekantoren. Zij zullen tijdens de sessie hun ervaringen en praktijkinzichten delen. 

Jos Kaan, die in het dagelijks leven klanten helpt met online security oplossingen bij ESET Nederland constateert dat grote cybercrime incidenten, zoals bij containerrederij Maersk vorig jaar, leiden tot een grotere bewustwording over cybercrime. Zeer vervelend voor de getroffen bedrijven, want de geschatte schade bij Maersk bedraagt 300 miljoen dollar. Maar de positieve kant is dat men nu onderkent dat dit probleem vraagt om actie. Er valt namelijk nog een hoop te winnen. Zeker in het midden- en kleinbedrijf. 

“Waar ondernemingen vaak wel wat over weten zijn de grote incidenten die in het nieuws zijn geweest, zoals Maersk”, zegt Kaan. “Maar zaken die echt betrekking op hen kunnen hebben, daar hebben ze beperkte kennis over. Neem het klikken op gevaarlijke links in mails, daar worden mkb-bedrijven regelmatig het slachtoffer van. Voorlichting over deze vorm van cybercrime ontbreekt echter bij veel bedrijven.”

Hetzelfde geldt voor de AVG: deze verordening heeft onmiskenbaar geleid tot meer bewustwording. “Het dwingt bedrijven na te denken over welke data ze hebben en hoe ze hier mee omgaan. Ik vind het een goede zaak. Niet om de wet, maar om de intrinsieke motivatie. Je hebt data van een ander en daar dien je zorgvuldig mee om te gaan. Net zoals je dat doet met de spullen van een ander. Is er mogelijk interesse in onze data bij cybercriminelen en hoe is de beveiliging nu geregeld? Voor ieder bedrijf is het goed hierover na te denken en gepaste risicomanagement maatregelen te nemen.”

4 veelvoorkomende security issues 
Kaan onderscheidt tenminste vier beveiligingsissues waar (mkb-)bedrijven mee te maken (kunnen) krijgen: 

1. Geautomatiseerde aanvallen – Criminelen scannen het internet af naar kwetsbare computers en servers. Als mkb-er ben je dan niet echt doelwit, maar toch slachtoffer. Daarom is het ook zo van belang dat je de laatste updates van je diverse soorten software hebt geinstalleerd, die deze kwetsbaarheden verhelpen.

2. Ransomware – Hierbij wordt je data versleuteld en moet je betalen om het weer vrij te geven. Ook in het mkb komt dit veel voor en gebeurt het vaak dat de eigenaren betalen. Het venijnige van deze vorm van cybercrime is: iedereen kan online ransomware kopen voor een klein bedrag en dit op bedrijven afsturen. Je hoeft hier helemaal geen programmeerkennis voor te hebben.

3. Phishing – Dit gaat om criminelen die vissen naar je wachtwoorden; dus mails versturen – zogenaamd namens een bank, postorder- of softwarebedrijf of via een geïnfecteerd Word-document – en proberen wachtwoorden te ontfutselen. Dit komt heel veel voor. Je wordt dan bijvoorbeeld geloodst naar een nepomgeving van je bank om een betaling te doen. 

4. Insider Threat zoals CEO-fraude – Een secretaresse krijgt een nagemaakte mail van de CEO: ‘Maak even 10.000 euro over, ik leg het straks uit.’ Eerder dit jaar waren er berichten over een controller die hier was ingetrapt. Onder druk geven medewerkers vaak toe aan deze ‘spoedverzoeken’ en dat weten criminelen ook.

Maatregelen
Het eerste wat IT-security expert Kaan bedrijven adviseert is het nastreven van een open cultuur. “Stel een medewerker stuurt een Excel-lijst naar de verkeerde persoon. Wanneer hij dan meteen genadeloos op zijn kop krijgt, kijkt hij de volgende keer wel uit om melding te maken. Het is beter om open en transparant te zijn over dit onderwerp.”

Het opleiden van personeel is een maatregel die ieder bedrijf kan – en zelfs moet – nemen. “Hoe herken je ongebruikelijke verzoeken?”, vraagt de consultant. “Dit kan er heel geraffineerd aan toe gaan. En juist daarom is het belangrijk de dialoog met elkaar aan te gaan over cybercrime. Daarnaast: gebruik langere wachtwoorden, of wachtzinnen zoals wij ze noemen. Bijvoorbeeld: ‘Ik houd echt van coca cola!’ Dan zit je al snel op 20 karakters. Dat is veel lastiger te kraken dan ‘welkom123’ of je geboortedatum.” En dat in combinatie met een wachtwoordenkluis. Ook het installeren van anti-malware, zoals ESET Nederland met haar partner ICT Concept die levert, en het up-to-date houden van je software behoren tot de standaard maatregelen tegen cybermisdaad. “Dat is echt een hygiënefactor”, zegt Kaan. 

Daarnaast is het encrypten van laptops eigenlijk een must, omdat het zo’n laagdrempelige oplossing is, zeker bij apparaten die het pand regelmatig verlaten. ICT Concept en ESET Nederland leveren oplossingen op dit gebied. Bij diefstal of verlies kunnen hun klanten de toegang tot alle data blokkeren. “Hiermee beveilig je niet alleen je data zelf, maar ook de toegang tot je gevoelige klantdata”, stelt Kaan. “Wanneer een medewerker nu een laptop verliest, is dat een veel minder groot probleem. De materiële schade blijft, maar je hoeft geen datalek te melden –  je hoeft alleen een incident intern te registreren – en je hoeft ook niet allerlei maatregelen te treffen. Als je vervolgens toch een datalek hebt, kun je in ieder geval aantonen dat je er serieus mee omgaat. Wanneer je alle updates hebt gedraaid, je encryptie hebt toegepast en toegangsbeveiliging goed hebt ingericht, dan heb je aantoonbaar je best gedaan om een lek te voorkomen en dat werkt in zo’n geval in je voordeel.”

Ondanks dat je veel maatregelen neemt kan het toch misgaan, erkent de security expert. Wanneer je hier al over nagedacht hebt, is het makkelijker om ermee om te gaan. Kortom: bedrijven hebben een noodplan nodig. “Net als voor een brand”, besluit Kaan. “Wie neemt de leiding als je gehackt wordt? Wat ga je communiceren met de buitenwereld? Als je een plan hebt en je hebt er al over nagedacht, dan scheelt dat paniek, boetes wegens nalatigheid en mogelijk imagoschade.”

Meediscussiëren over dit boeiende onderwerp? Bezoek een van de werkoverleggen (11:45-12:15 | 13:45-14:15 | 15:15-15:45) tijdens Accountancy Expo 2018. Bekijk hier het volledige programma en meld je hier gratis aan met code ACC2018.