Oproep tot betere cyberscurity bij accountants

In feite is cyberveiligheid een continue wapenwedloop, met de beveiligers en criminelen als strijdende partijen. Waarbij de criminelen altijd op voorsprong staan. Zij kunnen snel handelen, zonder te worden gehinderd worden allerlei wetten, regels en gedragscodes. En ongestoord werken aan nieuwe, nog krachtiger methoden om data te kapen, te beschadigen, te kopiëren of op andere manieren te misbruiken. Een bedrijf dat zoiets overkomt, loopt gevaar dat het productieproces moet worden stilgelegd, het kan reputatieschade oplopen en uiteindelijk langdurige financiële schade lijden door de tijd die het kost om eerder geleden schade te herstellen. En dan zijn er nog de boetes die de overheid kan opleggen als blijkt dat de cybersecurity tekort is geschoten. Ook als criminelen nog geen misbruik hebben gemaakt van de situatie.

"Denk alleen al aan de recente voorbeelden van de kaasleverancier die opeens niet meer kon leveren aan Albert Heijn, of aan het datalek bij New York Pizza", zegt Reindert Doorn, Adviseur IT & verandermanagement bij DOCCO, een bureau dat accountantskantoren adviseert bij IT-vraagstukken. "Door de toenemende – en door de coronacrisis versnelde – digitalisering neem de dreiging op datalekken en op cybercriminaliteit toe."

Bewustzijn bevorderen

Zeker in de accountancy geldt dat het gevaar dat er iets mis gaat groot is, en dat de schade die er dan optreedt aanzienlijk zal zijn. Accountants verwerken en verrijken immers grote hoeveelheden data. Maar vaak hebben tientallen mensen toegang tot de vele applicaties waarmee wordt gewerkt, en die applicaties zijn lang niet altijd even veilig. "Maar het bewustzijn van alle gevaren is beperkt. Er gaat geen week voorbij of ik kom wel een gevaarlijke situatie tegen", zegt Doorn. "Nota bene: ook als het kantoor in kwestie voldoet aan de AVG. Die schrijft alleen voor dat je 'passende beveiliging' moet hem. Die richtlijn is rijkelijk vaag. Bovendien schrijdt de techniek voort. Je moet je beveiliging steeds aanpassen."

Diverse organisaties die zich op accountants richten vinden het tijd om met acties komen die accountantskantoren om weg kunnen helpen naar een betere beveiliging. Het gaat om DOCCO, het Ministerie van EZK/DTC, SRA, FullFinance, NOAB, RB, NOVAK en Fiscount. Hun eerste actie is een oproep aan kantoren via diverse kanalen, waaronder deze site, om het bewustzijn van het belang van een goede beveiliging te vergroten – zie onder. 

Letterlijke tekst

De letterlijke tekst van de oproep luidt: 

"Accountants, belastingadviseurs, en administratieve dienstverleners… Wees zuinig op gegevens van uzelf en uw klanten!

U helpt ondernemers op weg naar een solide bedrijfsvoering en verwerkt en verrijkt in opdracht van hen grote hoeveelheden kostbare data. Klanten mogen op hun beurt verwachten dat op zorgvuldige wijze met deze data wordt omgegaan. Het is van cruciaal belang dat u – ook in dit opzicht- uw vertrouwenspositie waarmaakt. Maar… Doet u dat ook? Heeft u uw huishouding rond informatiebeveiliging op orde? Een goed slot op uw (digitale) deur?

We bewegen steeds meer toe naar een datasamenleving. Steeds meer systemen zijn online verbonden. Een waardevolle ontwikkeling en een kans voor onze sector. Tegelijkertijd nemen cyberrisico’s in rap tempo toe. Daar hebben we niet altijd voldoende oog voor. In de waan van de dag of vanuit onwetendheid vergeet u wellicht te handelen. Totdat u zelf te maken krijgt met een incident. Het kan vervelende gevolgen hebben voor u en uw kantoor. U bent immers in steeds grotere mate afhankelijk van IT. Cyberrisico’s en informatiebeveiliging hebben daarom een directe relatie met continuïteitsaspecten.

Wacht niet tot het te laat is en neem informatiebeveiliging serieus. We merken op dat dit nog veel beter kan én moet. Als branchepartijen doen we een gezamenlijk appèl op u en geven u drie dringende adviezen mee:

1) Prioriteit. Neem informatiebeveiliging serieus op het allerhoogste niveau binnen uw organisatie en agendeer het periodiek op bestuursniveau. Betrek alle partners én licht uw personeel voor.

2) Inzicht. Start direct met een inventarisatie, een nulmeting. Hiermee brengt u in beeld welke stappen u nog dient te zetten om tot een passend niveau van beveiliging te komen. Herhaal dit periodiek.

3) Budget. Besteed passende middelen aan beveiliging in termen van tijd die het mag kosten en uitgaven in relatie tot de omzet. Maak uw kantoor niet tot een villa zonder driepuntssluiting. Maak bijvoorbeeld gebruik van de hulpmiddelen die het Digital Trust Center (Ministerie van EZK) u biedt (www.digitaltrustcenter.nl) en vraag om hulp aan uw brancheorganisatie, beroepsvereniging en/of kennis- en adviesbureau."