Niet alleen grote organisaties worden door cybercriminelen gegijzeld of financieel pijn gedaan. Ook MKB-ondernemers kunnen doelwit zijn. Maar cyberweerbaarheid is voor accountants ook een zakelijke kans. Cybersecurityspecialist Ramon van Ingen en ondernemer Dick Vos, die voor Fiscount een cybersecuritydienstenpakket hebben ontwikkeld, geven hun meest praktische tips aan administratie- en accountantskantoren.
Door Wilbert Geijtenbeek, hoofdredacteur van Accountancy Vanmorgen
[Foto: links Ramon van Ingen, rechts Dick Vos]
De datalekken en hacks waarover de media berichten, gaan over grote bedrijven en instellingen. Hoe relevant is cybersecurity voor MKB-ondernemers?
Van Ingen: ‘Ook kleinere organisaties en midden- en kleinbedrijven hebben baat bij goed advies. Die zijn doordrongen van het feit dat er risico’s zijn. En daarover moet je bewuste keuzes maken. Grote bedrijven hebben budget beschikbaar. Kleinere bedrijven hebben dat minder. Die moeten slim omgaan met hun beperkte middelen.’ Vos: ‘Vooral middelgrote en kleine accountantskantoren zijn interessante doelwitten voor hackers. Accountantskantoren beschikken namelijk over veel waardevolle data. Met Fiscount hebben wij voor leden van die organisatie een beveiligd totaalconcept voor dataverwerking ontwikkeld.’
Welke risico’s lopen MKB-accountantskantoren?
Vos: ‘Neem de sms-berichten die hackers aan massa’s mobieltjes sturen, over een belastingaanslag, een nieuwe bankpas of een betalingsherinnering van een incassobureau.
Die berichten zijn nep, maar door er een heleboel te sturen, hopen hackers te verdienen aan een paar slachtoffers. Als je een accountantskantoor runt met drie medewerkers, dan zal een hacker je niet gericht hacken. Wel zal hij met een schot hagel op je schieten. Heb je pech en klik je op de verkeerde link, dan heb je een probleem.’ Van Ingen: ‘Niet alle cybercriminelen gaan gericht op hun prooi af. Veel hackers schieten juist met hagel. Voor die hackers is elke zwakte in je netwerk een mogelijke toegangspoort. Ik ken een eigenaar van een accountantskantoor die werd gehackt door hackers die via een dataopslagmedium in zijn thuisnetwerk binnendrongen. Op die schijf had hij zowel zakelijke als persoonlijke gegevens opgeslagen. Accountants met een klein kantoor, bij wie zakelijk en privé digitaal door elkaar lopen, lopen risico slachtoffer te worden van zo’n hacker. Maar denk niet dat de omvang van je onderneming de enige factor is. Ook als je een klein kantoor hebt, zijn je klantdata interessant voor concurrenten. Zorg dus dat je je klantenbestand beschermt.’
Wat willen hackers bereiken?
Van Ingen: ‘De meeste hackers zijn uit op financieel gewin, bijvoorbeeld door te mikken op het gijzelen of stelen van klantdata of het intellectueel eigendom. Maar het is ook mogelijk dat hackers, in opdracht, jou als concurrent buitenspel willen zetten. En vergeet ook niet de ontstemde medewerker of ex-collega – wraak is ook een veelvoorkomend motief van hackers. Ze maken ook steeds vaker gebruik van sociaal-psychologische technieken.’ Vos: ‘Om dat doel te bereiken zijn hackers steeds geduldiger – eenmaal binnen kan het een tijd duren voor ze toeslaan. Dat we in tijden van corona massaal thuiswerken, maakt dat we kwetsbaarder zijn voor hacks. Op kantoor zou ik bij ontvangst van een verdacht e-mailtje bij collega’s nagaan of zij ook zo’n mailtje hebben ontvangen. Voor thuiswerkers is dat een drempel.’
Biedt cybersecurity ook kansen voor accountantskantoren?
Vos: ‘Jazeker. Als ik zaken doe, wil ik weten hoe mijn zakenpartner met zijn en mijn informatie omspringt. Als kantoor heb je een zorgplicht voor je klanten. Ik zou daar een belangrijk onderwerp van maken in mijn verkoopstrategie. Ik denk dat je je daarmee kunt onderscheiden in de markt.’ Van Ingen: ‘Controleer daarom altijd waar je data zijn opgeslagen. Veel kantoren hebben hun bedrijfsgegevens en software naar de cloud gemigreerd, met de hulp van een IT-leverancier die zijn zaken op orde heeft. Maar het is jouw verantwoordelijkheid om je IT-dienstverlener kritische vragen te stellen: hoe is de opslag ingericht? Wat is het back-upplan?
Hoe gaat men om met lekken? Waar liggen de risico’s voor klanten? Vertrouw ook niet blindelings op je hoofd ICT-zaken. Want een hoofd ICT-zaken zal vaak zeggen dat de zaken op orde zijn. Als directeur ben je nu eenmaal de eindverantwoordelijke. Je moet dus altijd doorvragen, of eens een test laten uitvoeren door een buitenstaander.’
Is migratie van je data naar de cloud onverstandig?
Van Ingen: ‘Nee, een eigen netwerk of harde schijf kan net zo kwetsbaar zijn als de cloud en andersom. Zelfs als je je onderneming ogenschijnlijk digitaal helemaal dichttimmert, kun je slachtoffer worden. Beter is het scenario’s te ontwikkelen: wat doen we als we worden gehackt? Zorg voor een doordachte respons. Want de paniekvoetbal die kan ontstaan bij een hack, is het prijzigst. De uurtarieven die gespecialiseerde partijen in rekening brengen om een hack op te lossen, bedragen al gauw 350 euro. Sluit daarom een cyberverzekering af.’ Vos: ‘Bij een relatie van ons bedroeg de totale schade van een hack, waarbij alle data waren gegijzeld, 3 miljoen euro. Het losgeld was 1,7 miljoen euro – de rest van de kosten zat in het productieverlies. In de eerste periode probeerde een gespecialiseerd IT-bedrijf de data te herstellen. Na een aantal dagen kwam die partij tot de conclusie dat de onderneming moest gaan betalen. De ondernemer concludeerde, dat het bedrijf de hack alleen heeft overleefd dankzij de cyberverzekering. Een kleine onderneming heeft voor 400 à 500 euro per jaar al een prima cyberverzekering. Zelf vind ik dat als je met gevoelige data werkt, een cyberverzekering net zo vanzelfsprekend is als een aansprakelijkheidsverzekering.’
Een veilige bedrijfsvoering is niet alleen een kwestie van de juiste (anti-virus) software, maar ook …
- Een betrouwbare clouddienstverlener met kennis van cyberrisico’s.
- Goede netwerkbeveiliging, zoals een virtual private network (VPN) en gescheiden netwerken.
- Tweefactorauthenticatie voor het inloggen en goedkeuren van transacties, door middel van biometrie of een authenticator-app.
… en van het juiste gedrag
- Maak geregeld back-ups.
- Werk software tijdig bij.
- Log nooit in via een openbaar wifinetwerk.
- Houd je medewerkers scherp met tests en trainingen op het gebied van bewustzijn.
Hoe werkt zo’n cyberweerbaarheidstest door een buitenstaander?
Vos: ‘Omdat het gedrag van je mensen leidend is voor je beveiligingsniveau, werken wij tegenwoordig met bewustwordingstrainingen. Ieder jaar krijgen onze mensen phishing traps – nepmailtjes die lijken op echte mails. De eerste keer dat we dat deden, trapten er van de 70 medewerkers liefst 60 in. Nu, vier testmails verder, klikten er nog twee of drie op de verdachte link.’ Van Ingen: ‘Je kunt ook kiezen voor penetratietests of het zogenoemde red teaming, waarbij je zogenoemde white hat hackers, ofwel ethische hackers, uitnodigt op zoek te gaan naar zwakke plekken in je netwerk of je bedrijfsproces. Overigens benaderen sommige ethische hackers bedrijven met ongevraagd advies over zwakten in hun systeem. Daarom adviseer ik ondernemers daarop beleid te ontwikkelen, het zogeheten responsible-disclosurebeleid. Dat je openstaat voor welwillende hackers om zwaktes aan je te melden. Laat ook weten op welke beloning ze mogen rekenen – bijvoorbeeld een t-shirt of een cadeaubon.’
En stel dat je bestanden zijn geblokkeerd door gijzelsoftware. Moet je dan betalen of niet?
Van Ingen: ‘Tegenwoordig hebben de aanvallers gelikte businessmodellen. Ze laten zich goed informeren over wat een prooi kan betalen. En hun dienstverleningsniveau ligt hoog – de drempel om te betalen is laag. Je wordt begeleid in het betalingsproces, dat via bitcoin verloopt. De recent gehackte Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) weigerde te betalen. Er wordt vaak gezegd dat je niet moet betalen, maar de praktijk als ondernemer is anders: komt je bedrijfsvoering in de problemen, en dreigt je continuïteit in gevaar te komen, dan betaal je. Dan kun je je het niet veroorloven principieel te zijn.’ Vos: ‘En zodra je hebt betaald, helpen ze je doorgaans alles tot in de puntjes weer terug te zetten. Tegelijk gaat het nog altijd om afpersing. Dat je zelf niet bij je geblokkeerde bestanden kunt, is maar één afweging. Wat meespeelt is dat hackers vaak dreigen de bestanden openbaar te maken. Dat maakt de schade groter. Ook dat speelt mee in de overweging.’
Cyberadvies
Het Cyber-adviesconcept van Fiscount bestaat uit een risicoscan van de organisatie waarin een aantal aspecten goed worden geïnventariseerd. Daarbij staat de techniek centraal, samen met de organisatie-inrichting. De cyberspecialisten bespreken de uitkomsten van de risicoscan met de ondernemer, zodat deze een plan van aanpak kan maken voor betere cyberweerbaarheid. Daarnaast gaat het cyberadviesconcept in op de mens binnen je organisatie en de wetgeving waaraan je als organisatie moet voldoen, specifiek de Algemene verordening gegevensbescherming (AVG). Accountants en administrateurs vangen hiermee dus twee vliegen in één klap: je ziet of je bent geborgd tegen datalekken en een inbreuk op de vertrouwelijkheid van data vanuit het menselijke en waarschijnlijk onbewuste handelen door je personeel en daarnaast wordt gecheckt of je beleid en procedures voldoende AVG-proof zijn. Daarvoor wordt teruggevallen op de kennis van Melanie Hermes, directeur Fiscount Juristen B.V. en adviseur arbeids- en privacyrecht.
Dit artikel verscheen in het gratis online magazine ICT & Kantoor van Accountancy Vanmorgen.
Geef een reactie