Klantdata beveiligen? Let op deze 4 risico’s

Als accountant werkt u met klanten op basis van een vertrouwensrelatie. Wanneer gevoelige financiële gegevens van de klant op straat komen te liggen, kunt u als MKB-accountant wel opdoeken. Een claim van een klant en reputatieschade liggen om de hoek.

Nog niet te spreken over het aanscherpte toezicht en de kans op flinke boetes voor datalekken vanuit de Meldplicht Datalekken, die sinds 1 januari 2016 van kracht is. De vraag is maar of kleinere MKB-accountants zulke boetes overleven.

Bangmakerij?

Je zou het bangmakerij kunnen noemen. Maar automatisering in accountancy is een feit. Hoe meer processen uw accountantskantoor automatiseert, hoe groter de kans op een lek. Een sterke IT-beveiliging is bij veel kantoren nog absoluut geen vanzelfsprekendheid.

Dat merken Ralf Bardoel en Erik Spaans van ControlSolutions, die met de analysetool voor IT-beveiliging SecInspect staan op de Accountancy Expo op 20 juni. Hoe kunnen kantoren hun IT-beveiliging dan verbeteren?

Lees hier alles over de sprekers en het programma van de Accountancy Expo

Hier gaat het mis

Dat begint allemaal met bewustwording van de risico’s die een gebrekkige IT-security met zich mee kan brengen. Niet alleen bewustwording van het management, maar vooral ook van het personeel, dat dagelijks met allerlei systemen en gevoelige documenten werkt. Bij MKB-kantoren gaat het meestal mis op de volgende zaken, weten Spaans en Bardoel uit ervaring.

1. ‘Infectie’ door malware

Via het openen van een link in een e-mail wordt er schadelijke software gedownload, waardoor de aanvaller toegang krijgt tot systemen en data van een kantoor. Ook de wereldwijde ransomware ‘WannaCry’, die de laatste weken veel ophef veroorzaakte, zit in deze categorie.

Wanneer een aanvaller in staat is een computer te infecteren, worden bestanden versleuteld en  belooft hij de gegevens vrij te geven nadat de organisatie een bepaald bedrag heeft betaald (‘ransom’ betalen.) Of hij dat ook daadwerkelijk doet, is natuurlijk maar de vraag.

2. Slechte upgrades van software

Security patches zijn de upgrades voor software, die bijvoorbeeld kwetsbaarheden in besturingssystemen oplossen. Bijvoorbeeld van het Windows-besturingssysteem. Dit is  grootste uitdaging voor MKB-kantoren, stellen Spaans en Bardoel.

Spaans: ‘Veel MKB’ers hebben grote moeite om bij te blijven op dit gebied. Het testen en uitrollen van patches kost nou eenmaal tijd. Daarnaast vereist het ook een volwassenheidsniveau van de IT-organisatie die de meeste MKB'ers nog niet hebben.’

3. Grote groep beheerders

Dit betreft de toegangsbeveiliging van systemen en regelt feitelijk welke personen toegang hebben tot bepaalde systemen, documenten en diensten. Zo zijn oud-werknemers die na uitdiensttreding nog steeds toegang hebben in veel bedrijven een al snel een risico, wanneer deze toegang niet direct wordt ontzegd.

Ook operationele incidenten kunnen voorkomen doordat medewerkers met te hoge rechten per ongeluk  – of opzettelijk – zaken wijzigen. Zo kan een medewerker frauduleuze handelingen uitvoeren zonder dat iemand dit heeft opgemerkt. Denk aan het manipuleren van de database, of het wijzigen van financiële parameters.

Een reden waarom werkgevers dit vaak niet aanpakken – en de beheerdersgroep klein houden – is dat een klein aantal beheerders bureaucratie in de hand kan werken. Voor elke aanvraag of actie die buiten iemands rechten ligt, moet hij naar een collega of leidinggevende die deze rechten wel heeft. In de praktijk zie je daarom dat veel mensen toegang hebben op beheerdersniveau om sneller zelf dingen te kunnen regelen. Maar dat maakt de beveiliging dus zwakker en de beheersbaarheid moeilijker. 

4. Veel gebruikersaccounts op één device

Hardening is het proces waarin het IT-systeem veilig geconfigureerd wordt. Oftewel: het aantal toegangspoorten tot een systeem (bijvoorbeeld gebruikersaccounts) dat wordt beheerd. Je kunt hardening vergelijken met een hotelkamer: als je drie kamers hebt, moet je drie deuren beveiligen. Wanneer je een deur sluit, hoef je er nog maar twee te beveiligen. Hoe minder deuren er open kunnen, hoe beter je het systeem kunt beveiligen is.

Bardoel: ‘Dit heeft van nature een lagere prioriteit bij kleinere bedrijven. Daarom hebben zij inherent sneller te maken met beveiligingsincidenten veroorzaakt door generieke virussen beveiligingsproblemen.’

Een quickwin voor veel organisaties is een simpele aanpassing in het openingsscherm van Bardoel: ‘Op het startscherm staan vaak twee accounts: die van jou en een ‘guest’-account. Je kunt ervoor kiezen om die laatste te verwijderen. Ook al heeft een persoon geen toegang tot jouw account, hij kan via het ‘guest’-account vaak wel inloggen wat een kwaadwillend persoon meer mogelijkheden geeft om zijn rechten te verhogen.’  

TIP! Meer weten? SecInspect is een van de exposanten op de Accountancy Expo op 20 juni. Meld u nu aan!