Top 5 security-kwetsbaarheden bij accountantskantoren (en wat je eraan kunt doen)

De meeste accountancykantoren stellen helemaal geen of onvoldoende eisen aan IT-leveranciers in selectietrajecten. Leveranciers geven op hun beurt te kennen ‘geen maatregelen te nemen, omdat kantoren er niet om vragen’. De IT-beveiliging van accountancykantoren laat hierdoor te wensen over. Vijf zwakke plekken.

Door Reindert Doorn, adviseur DOCCO

Vorige week was het de ‘Dag van de Privacy’. Dat hebben we geweten. Naast alle promotieberichten in de trant van ‘kijk eens wat wij doen’, was er in dezelfde week een opzienbarende situatie bij de GGD’s. Door gebrekkige maatregelen en het ontbreken van controle daarop kwamen gevoelige persoonsgegevens in verkeerde handen. Demissionair minister De Jonge hield de kamer desondanks voor, dat het op orde is. Naïviteit, onwetendheid, onkunde of puur politiek. Wat het ook is, het is typerend en lijkt wel op hoe wij in de sector omgaan met informatiebeveiliging. Wat bij de GGD kan, kan bij een accountantskantoor ook.

Jaarlijks wordt door de NCTV en het NCSC het Cybersecuritybeeld Nederland opgesteld. Wie dat bijhoudt, blijft niet vrolijk gestemd. Er zijn toenemende dreigingen en reële risico’s. Het is de keerzijde van een (digitale) datasamenleving. Accountantskantoren die al eens een ernstige situatie hebben meegemaakt weten beter: beveiliging en privacy moeten niet onderschat worden.

Grote (gevoelige) dataverzamelingen

Een gemiddeld accountantskantoor heeft 16 verschillende softwareapplicaties in gebruik. Binnen deze applicaties worden grote hoeveelheden data verwerkt, die doorgaans gevoelig van aard zijn. Gegevens over financiën, bankrekeningen, salarissen, fiscale gegevens voor de aangifte inkomstenbelasting en natuurlijk BSN/RSIN-nummers. Steeds vaker worden die dataverzamelingen voor analyse- en adviesdoeleinden in separate databases bijgehouden. In veel gevallen wordt het geheel aan gegevens en controle over de systemen waarin deze zijn opgenomen niet voorzien van voldoende waarborgen. Ondanks de wettelijke vereisten.

Dat zou ik van mijn leverancier mogen verwachten

Het hebben van waarborgen wordt daarentegen, ook in de zakelijke dienstverlening steeds belangrijker. Een besef dat ‘het ook mij kan overkomen’ lijkt -mondjesmaat – toe te nemen, maar is nog altijd onvoldoende ingedaald. Waar de grootste accountantskantoren zorg en aandacht besteden aan security compliancy en standaarden als ISO27001, ook voor het eigen kantoor, is het voor kleine en middelgrote kantoren abracadabra.

Juist hier schuilt het gevaar. Gebruikersgemak en (snelheid van) innovatie worden op grotere waarde geschat dan veiligheid. En door Covid worden nieuwe systemen en processen te snel omarmt. Eerst videobellen en daarna pas de aanpalende risico’s beperken met mitigerende maatregelen. Hierbij wordt er door kantoren te vaak geleund op leveranciers onder het mom van “Ik mag toch verwachten dat zij dit goed geregeld hebben”. Nou nee dus, dat moet je checken! Er zijn legio praktijkvoorbeelden in onze adviespraktijk die duidelijk maken, dat dit een onjuist vertrekpunt is. Evenals er jurisprudentie is over zaken waarin soms ten onrechte wordt uitgegaan van de betrouwbaarheid van de leverancier.

Geen of onvoldoende eisen gesteld

Accountantskantoren dienen goed na te denken over beveiligingsnormen die ze in hun inkoopproces willen hanteren en anderzijds beter betrokken te zijn bij de operationele implementatie. De meeste kantoren stellen helemaal geen of onvoldoende eisen aan leveranciers in selectietrajecten, zo blijkt uit de adviespraktijk van DOCCO en die eerder onderzoek deed. Leveranciers geven op hun beurt te kennen ‘geen maatregelen te nemen, omdat kantoren er niet om vragen’. Deze werkelijkheid is onhoudbaar en wacht tot een situatie zich aandient vergelijkbaar met de GGD-zaak. Om hierop vooruit te lopen alvast een overzicht van vijf zwakke plekken in de beveiliging bij accountantskantoren.

Vijf zwakke plekken bij accountantskantoren

1. Het nationaal identificatienummer wordt op grote schaal verwerkt. Niet alleen binnen de software, maar ook tussen de verschillende software. Het BSN/RSIN is de voorname primary key, die binnen de branche software gehanteerd wordt. Daarmee maakt het onderdeel uit van (te) veel dataverzamelingen en datasynchronisaties over -soms onveilige- protocollen. Onwenselijk. Naast deze geautomatiseerde verwerking houden accountantskantoren ook identificatiegegevens bij van klanten in hun (CRM) systeem, zoals inloggegevens voor de belastingdienst en in enkele gevallen zelfs DigiD en eID -middelen.

2. E-mail en datasharing tools worden in grote mate gebruikt voor klantinteracties. Uitzonderingen daargelaten, maar deze middelen zijn regelmatig niet goed ingericht om de uitwisseling van gevoelige informatie te faciliteren. Bijvoorbeeld voor het delen van IB-aangiften. E-mailsecuritystandaarden zijn onvoldoende geïmplementeerd, encryptie niet toegepast of ontvangers niet goed geïdentificeerd.

3. Door de groeiende adoptie van mobiel en op afstand werken, versneld door Covid, hebben kantoren steeds minder grip op hun ‘assets’. Het gaat hierbij dan om alle apparaten enerzijds (laptops, smartphones) en om data anderzijds. Met de komst van de webgebaseerde werkplek, in plaats van binnen de ‘bunker’ van het eigen datacenter, ontstaat de noodzaak om maatregelen te nemen. Lang niet alle kantoren hebben dit onder controle en passen mobile device & application management toe. Ook Teams en SharePoint zijn vaak niet voorzien van de nodige veiligheidsinstellingen.

4. De inzet van leveranciers in de keten die geen waarborgen bieden, noch blijk geven prioriteit toe te kennen aan informatiebeveiliging. Als vervolgens bij de implementatie van diezelfde software door beide onvoldoende aandacht wordt gegeven aan beveiligingsinstellingen zijn gegevens vaak onvoldoende beschermd. Zo zijn er systemen waar grote hoeveelheden gevoelige gegevens in staan, maar multi-factor-authenticatie niet geactiveerd wordt. Er zijn natuurlijk ook positieve uitzonderingen.

5. Het delen van inloggegevens gebeurt met enige regelmaat. Daarbij komt in de praktijk nog altijd de bekende ‘Welkom01’ voorbij, bijvoorbeeld als IT-afdelingen nieuwe wachtwoorden uitgeven. Belangrijkste redenen waarom kantoren inloggegevens delen onder collega’s heeft vaak te maken met gedeelde (niet persoonsgebonden) accounts om kosten te besparen op gebruikerslicenties bij leveranciers. Ook bij eHerkenningsmiddelen komt het voor. Deze zwervende accounts vormen een groot risico die niet opwegen tegen de daarmee gerealiseerde kostenbesparing.

In actie komen

Maak als eerste opstap gebruik van de onlangs gelanceerde Risicoklasse-check ‘Digitale Veiligheid’. Deze tool van het Digital Trust Center geeft inzicht in de risicoklassen en voorbeelden van bijbehorende maatregelen. Controleer deze en zet ontbrekende maatregelen op je actielijst.

Wijs intern een coördinator aan, die verantwoordelijk is voor de implementatie van de maatregelen en het up-to-date houden ervan. Benoem geen uitvoerende IT-collega voor deze rol, maar een collega in een managementpositie. Beveiliging is immers geen ‘IT-feestje, maar chefsache. Bevorder de kennis bij de coördinerende collega.

Stel als kantoor een informatiebeveiligings- en privacybeleid op. Maak vervolgens een lijst van noodzakelijke maatregelen, implementeer deze en controleer periodiek de werking ervan. Bespreek de bijzonderheden elk kwartaal op directieniveau en voer minimaal eenmaal per jaar een voorlichtingssessie voor alle medewerkers uit. Om bovenstaande stappen volledig en aan de hand van een bestaand raamwerk op te zetten, is het van waarde om te kijken naar de inzet van een ISMS (information security management system) op basis van ISO27001.

De belangrijkste succesfactor is de tijd, aandacht en middelen die beschikbaar worden gesteld voor de uitvoering. Dit staat (net als bij kwaliteit) natuurlijk op gespannen voet met de productie. Maar als administratie- of accountantskantoor kun je geen concessies doen aan de implementatie van informatiebeveiliging. Je dient het te organiseren om risico’s in te perken. Het MKB steunt op onze sector en dat mogen we niet beschamen! 

Note:

Deze bijdrage is niet bedoeld als klaagzang, noch bedoeld om de verkoop van beveiligingsdienstverlening te stuwen, maar als pleidooi voor meer aandacht voor security & privacy-compliance in de branche.

Gerelateerde artikelen