Gastblog van Willemijn van de Lagemaat (Skopos.AI)
Dit artikel is onderdeel van een drieluik over cybersecurity en accountancy. In het eerste artikel werden de cybersecurityrisico’s voor 2022 geschetst. In dit artikel bespreken we de rol van het accountantskantoor in cybersecurity en de kansen.
Een veilig kantoor
Cybersecurity is onderdeel geworden van het dagelijks werk van de accountant. Help de ander, help jezelf is nergens zo waar als in de cybersecurity. Een accountant moet kennis hebben van meerdere cybersecurity onderwerpen, zoals veilige softwareontwikkeling, bestuursstructuren, identiteitstoegang, beheerkwesties en gegevens privacy. Daarmee ondersteunt de accountant zijn klanten bij het identificeren van de security awareness behoeften van de organisatie, terwijl hij tegelijkertijd zijn eigen praktijk beschermt.
Om veiligheid in de eigen praktijk te garanderen wanneer de accountant gevoelige gegevens verwerkt is security awareness training essentieel. Gezond wachtwoordgebruik en gebruik maken van veilige verbindingen zijn dan kernonderdelen van de training.
INAA Conferentie
In mei was Skopos.AI een continu cyber audit platform voor het MKB, aanwezig bij de INAA conferentie In Boedapest. Daar deelde Gert de Fluiter, partner van Schuiteman accountancy een case study over hoe Schuiteman haar dienstverlening uitbreidt met het Skopos platform. Dit platform biedt accountants een sterk middel om haar dienstverlening naar klanten uit te breiden op vlak van informatiebeveiliging. Vraag hier de case study van Schuiteman Accountants & adviseurs aan.
De overheid maakt zich zorgen en grijpt in
Er is onderscheid tussen twee soorten cyberaanvallen: directe en indirecte. Indirecte cyberaanvallen zijn gericht op de overheid, nutsbedrijven, banksystemen en andere vormen van infrastructuur. Je kan weinig doen om je tegen deze aanvallen te beschermen. Het is de rol van de overheid en de private sector om gezamenlijk actie te ondernemen.
Directe cyberaanvallen zijn de aanvallen waar een organisatie of individu directe schade van ondervindt. Op Europees niveau wordt hiertegen actie ondernomen[1]. De nieuwe Europese cybersecuritywetgeving NIS 2 gaat dit jaar nog 160.000 essentiële Europese bedrijven en overheidsinstellingen verplichten te voldoen aan hoge securitystandaarden: goed wachtwoordbeheer, back-ups draaien, 2FA toepassen en cyberincidenten melden.
[1] https://www.ftm.nl/artikelen/europarlementarier-cybercrimevechter-bart-groothuis-europa-kan-cyberdomein-verliezen
Boetes dreigen tot 2% van de jaaromzet. Bart Groothuis, Europarlementariër namens de VVD in het Europees Parlement zet zich in voor deze wet. Groothuis: ‘We maken cybersecurity voor het eerst ‘chefsache’, ofwel cybersecurity is niet meer een zaak die je overlaat aan je IT-beheerder, maar waar je zelf als bestuurder verantwoordelijk voor bent.‘[1] De keuze aan de ondernemer is om te investeren in cyberveiligheid, of het risico lopen om slachtoffer te worden. De prijs is hetzelfde. [1] https://www.kvk.nl/
In december 2021 werd de gemeente Hof van Twente slachtoffer van een cyberaanval. Hackers drongen het systeem van de gemeente binnen en maakten de gegevens op alle servers ontoegankelijk.
De aanval bij de Hof van Twente laat zien hoe kwetsbaar kleine bedrijven en organisaties zijn. Het overzicht houden over systemen, audits en leveranciers en de communicatie tussen de systeembeheerder en de externe beheerder maakt cybersecurity tot een complex vraagstuk.
Wat ging er mis bij de Hof van Twente?
Uit onderzoek blijkt dat bij de gemeente ernstige fouten zijn gemaakt. De eigen systeembeheerder van de gemeente veranderde medio oktober 2020 het wachtwoord van een beheerdersaccount in het makkelijk te raden ‘Welkom2020’. Een jaar eerder had hij de firewall foutief aangepast waardoor de poort naar buiten open kwam te staan.
De ftp-server voor bestandsuitwisseling was voor iedereen toegankelijk. Hackers deden dagelijks 50.000 tot 100.000 inlogpogingen. Na enkele dagen hadden ze beet. Omdat het ontbrak aan meerlaagse beveiliging betekende het raden van het wachtwoord ook daadwerkelijke toegang.
Het ontbrak ook aan afscherming met een vpn, waardoor iedereen naar het gemeentelijke netwerk kon gaan. Tot overmaat van ramp bleek het mogelijk de back-ups te vernietigen. De gebrekkige inrichting van de infrastructuur maakte de verdere aanval mogelijk waarbij zowat de hele gemeente platging.
De rol van audits
Door de verscheidenheid aan aanvallen en de snelheid waarmee cybercriminelen hun methoden aanpassen, is het belangrijk dat de accountant verschillende verdedigingsmethoden implementeert. Bedrijven en organisaties kunnen aandringen op assurances, en deze assurances laten verifiëren door onafhankelijke auditors[1]. Omdat kundig personeel vaak ontbreekt, en op kans op fouten te minimaliseren, [1] https://hbr.org
Een voorbeeld: Clouddiensten
Een minimale kennisbasis voor accountants en bestuurders is essentieel in het voorkomen van cyberaanvallen. Hieronder enkele specifieke vragen die accountants moeten stellen voor risico’s vanwege de toename van clouddiensten.
- Heeft u bij het ontwerpen van uw cloudomgeving rekening gehouden met het falen van deze infrastructuur (design for failure)?
- Welke activiteiten voert uw organisatie uit in de cloudomgeving en hoe gevoelig zijn deze processen voor onderbreking?
- Hoe wordt de data die in de cloudomgeving wordt verwerkt opgeslagen? Is er voor complexe of gevoelige dataverwerkingsprocessen nagedacht over replicatie op meerdere data center locaties of ‘availability zones’? N.B. Door replicatie kan ervoor gezorgd worden dat belangrijke data ook bij verstoring op één locatie niet verloren raakt, maar op een andere locatie beschikbaar blijft.
- Weet u voor uw organisatie op basis waarvan een keuze is gemaakt voor een publieke, private of hybride cloudomgeving? Is hierbij meegenomen welke complexe dataverwerkingen en gevoelige of unieke data in uw organisatieprocessen een rol spelen?
Bron: CSBN (2021) Cybersecuritybeeld Nederland
moet dit proces grotendeels geautomatiseerd worden. Dit geeft een zo compleet mogelijk beeld tegen minimale kosten.
Om een onafhankelijk en objectief rapport te kunnen schrijven, moeten accountants IT-beleid en de procedures voor rapportage van breaches kunnen begrijpen. Daarnaast moeten accountants op de hoogte blijven van nieuwe IT-systemen en trends. Samen vormen deze kenmerken een basis van detectie die externe accountants nuttige waarde laat toevoegen voor hun klanten. Door het ontwikkelen van een diepere kennis van het cyberbeveiligingslandschap kunnen zij hun klanten nog beter ondersteunen.
Minimale kennisbasis
Naast de experts op het gebied van cybersecurity risicomanagement moet ook de rest van de organisatie en de accountant een minimale kennisbasis hebben om goed met elkaar in gesprek te kunnen gaan over belangrijke risico’s voor de organisatie en hoe hiermee om te gaan. Het is essentieel dat bestuurders nauw betrokken zijn bij risicomanagement. De accountants moeten kunnen beoordelen of software up to date is, of effectieve antivirus en malware detectie aanwezig is, of er regelmatig en op de juiste manier een back up wordt gemaakt en moeten zij kwetsbaarheden kunnen opsporen en het niveau van cyber awareness van medewerkers kunnen testen. Ook moet het risico van organisatie-specifieke scenario’s ingeschat kunnen worden. Industriële schaal van de aanvallen vraagt om een respons – daarom moeten we automatiseren. Meer over het aanbieden van cyber assurance leest u in het volgende (en laatste) artikel van dit drieluik.