Vrijwel geen van de veertig Twentse maakbedrijven heeft de cybersecurity op orde. Dat blijkt uit een vrijwillig onderzoek naar de beveiliging tegen hackers. Toch vinden cyberexperts het een slecht idee om accountants jaarlijks de cybersecurity te laten controleren.
Weinig interesse
Er zit nog ruim een ton subsidie in de pot voor Twentse bedrijven die hun cyberbeveiliging willen laten controleren. Volgens Liesbeth Holterman, verantwoordelijk voor de cybersecurityhub van het aan de Universiteit Twente gelieerde Novel-T, illustreert dit dat ‘de gemiddelde mkb’er denkt dat cybersecurity niet over hem of haar gaat’. Veertig ondernemers deden mee aan een vrijwillige scan van hun cybersecurity. Geen van alle bleek het digitale hang- en sluitwerk echt goed op orde te hebben.
Gijzelsoftware
Holterman zegt in dagblad Tubantia ‘enkele tientallen’ regionale bedrijven te kennen die in de achterliggende twee jaren te maken hadden met een cyberincident. Maar wat er in de publiciteit komt is het topje van de ijsberg. Holterman: ‘Veel ondernemers schamen zich als ze gehackt zijn, voelen zich een sukkel. Als we die schaamtecultuur eens kwijt zouden zijn en het meer bespreekbaar wordt, dan zijn we al een stuk verder.’ Vrij recent haalden het installeren van gijzelsoftware bij de Mandemakers Groep (keukens, meubels en badkamers), transporteur Bakker (die onder andere voor Albert Heijn rijdt), de Universiteit Maastricht en de gemeente Hof van Twente uitgebreid het nieuws en wat langer geleden de multinational Raab Karcher. Vorige week was de Hogeschool Arnhem Nijmegen (HAN) slachtoffer van een hacker. Die zei persoonsgegevens buit te hebben gemaakt waarvoor betaald moest worden. Volgens het Nederlandse beveiligingsbedrijf Fox-IT betaalt slechts circa 10 procent van de slachtoffers de afpersers. Het Amerikaanse onderzoeksbureau Coveware berekende dat bedrijven gemiddeld 200.000 dollar betaalden om van de hackers verlost te zijn.
Norea
Banken en investeerders worden nerveus van financiële schade die klanten kunnen lijden door cybercriminaliteit. Norea, de beroepsvereniging van IT-auditoren, stelt daarom een verklaring op waarmee bedrijven en instellingen kunnen aantonen dat ze voldoende maatregelen namen tegen cyberaanvallen. Accountants kunnen, waarschijnlijk vanaf 2023, jaarlijks een cybersecuritycheck uitvoeren en voorzien van een goedkeurende verklaring. Maar professionele cybersecurity-adviseurs stelden onlangs in Het Financieele Dagblad dit een slecht idee te vinden. De specialisten vinden dat die taak hen toekomt, dat IT-auditors de noodzakelijke kennis missen en dat het plan vooral de kas van accountants zal spekken. Roel van Rijsewijk, directeur cyberbeveiliging van defensiebedrijf Thales, schreef op LinkedIn: ‘Dit is geen jaarrekening. Dan trek je toch echt een veel te grote broek aan. Naast een nieuw businessmodel voor accountantskantoren zal een dergelijke verklaring vooral leiden tot een hoop bureaucratie, wat zal afleiden van het daadwerkelijk verdedigen tegen cyberaanvallen.’
Contracten bekijken
Het initiatief komt bovendien ‘veel te vroeg’, stelde cybersecurityexpert Jelmer Schreuder van NLdigital, een organisatie van honderden digitale dienstverleners in Nederland. Liever wacht hij op een Europese standaard voor dit soort IT-checks. Die is voorlopig nog in de maak: ‘Zoiets duurt lang, want het is nu eenmaal complex.’ Wel zei Schreuder in het FD zich te kunnen voorstellen dat accountants de contracten tussen klant en IT-leverancier kritisch bekijken. ‘Bijvoorbeeld of er afspraken zijn over tijdige updates van de software als er een beveiligingslek moet worden gedicht.’
Bron: Tubantia, FD
Geef een reactie