Ondernemen zonder ICT is niet meer denkbaar. De vaak complexe ICT-infrastructuur leidt ertoe dat ondernemingen bloot staan aan bijzondere risico’s. Nog niet lang geleden werden grote financiële instellingen getroffen door zogenoemde DDos-aanvallen, die problemen veroorzaakten in het betalingsverkeer. Vrij recent werd Nederland nog geconfronteerd met een pin-storing. Nu vrijwel iedereen in Nederland betaalt met een bankpasje en nauwelijks nog contact geld op zak heeft, kunnen er grote betalingsproblemen ontstaan.
Een veel voorkomend probleem ten aanzien van de ICT-infrastructuur is fraude. De omvang van de ICT-gerelateerde fraude binnen financiële instellingen schat de ACFE1 op gemiddeld $ 258.000 per instelling. Eén van de problemen is hacking van het ICT-systeem. Zodra buitenstaanders het systeem binnendringen, kunnen bedrijfsgegevens worden ontvreemd, data worden gemanipuleerd of – in het ergste geval – kan het gehele systeem onklaar worden gemaakt. Het tijdschrift voor Financial Executives van april 20152 noemt zeven te nemen stappen zodra sprake is van hacking. Maar is hacking wel te voorkomen? Hacking is een continu probleem. De hackers gaan door totdat ze het gat in de beveiliging hebben gevonden en naar binnen gaan. Je kunt het ene gat in de beveiliging wel dichten, waarna het volgende gat gevonden wordt. Eenmaal binnen maken we het hackers soms ook wel erg gemakkelijk. Passwords van medewerkers zijn vaak eenvoudig te vinden. Is een password eenmaal gevonden, dan blijkt de betreffende medewerker voor vrijwel alle applicaties hetzelfde password te gebruiken, wat toegang voor onbevoegden wel erg gemakkelijk maakt.
Een onderzoek van Perry Mertens en Dirk Brouwer3 in het kader van de afronding van het executive program ‘Financieel Forensisch Deskundige’ aan de Erasmus Universiteit Rotterdam laat zien dat hackers steeds ingenieuzer worden. Hacksporen worden uitgewist en logdata gemanipuleerd, opdat onderzoekers van de hack geen spoor naar de hackers meer kunnen vinden. Ook tonen de auteurs aan dat ondernemingen kennelijk laks zijn met het installeren van goede logsoftware, waardoor geen ‘audit trail’ wordt opgebouwd van activiteiten die op opeenvolgende momenten door de hackers zijn ondernomen. Dit frustreert het forensisch onderzoek en leidt ertoe dat de getroffen onderneming onvoldoende bewijs kan leveren voor eventuele vervolging en veroordeling van de hackers.
In geval van hacking moet aangifte worden gedaan bij de politie, aldus het voornoemde artikel in het tijdschrift voor Financial Executives. Mertens en Brouwer tonen aan dat aangifte doen uiteindelijk tot niets leidt wanneer de onderneming zelf onvoldoende loggegevens opslaat of nauwelijks logsoftware installeert. De ondernemer moet de beveiliging van zijn ICT-systeem zó inrichten dat elk gebruik van het systeem door eigen medewerkers of door onbevoegde buitenstaanders nauwgezet wordt gelogd. De logapplicatie moet zo worden geïnstalleerd dat manipulatie van de logdata onmogelijk is, waardoor sporen te allen tijde zichtbaar blijven. Pas dan zou aangifte tot een gewenst resultaat kunnen leiden. Met andere woorden: wacht niet met het zetten van de zeven stappen totdat u wordt geconfronteerd met een hack, maar zet de eerste stap al (ruim) voor die tijd.
- A CFE – zie: http://www.banktech.com/internal-fraud-still-a-danger-asbanks-adjust-strategy/d/d-id/1291705.
- Tijdschrift voor Financial Executives, MCA, april 2015, pag. 4.
- Een artikel van Mertens en Brouwer wordt op korte termijn gepubliceerd in het KPMG-magazine Compact.
Prof. Dr. Peter Diekman RA Partner BDO Accountants. Academisch directeur voor het executive program ‘Financieel Forensisch Deskundige’ binnen de Erasmus School of Accounting & Assurance.
Geef een reactie