Als Chief Information Security Officer bij Visma Benelux zorgt Cindy Wubben voor een sterke beveiligingscultuur binnen de Visma-bedrijven in Nederland, België en Luxemburg en ondersteunt ze hen om de productbeveiliging op een hoog niveau te houden. Het valt haar op dat er in de accountancywereld nog te weinig aandacht is voor informatiebeveiliging, ondanks dat zowel grote als kleine kantoren steeds vaker een target zijn voor cyberaanvallen. We spreken met Cindy over de gevaren van een cyberaanval en hoe je je als accountant kan voorbereiden.
Hoe zorgen we ervoor dat jullie rustig kunnen gaan slapen? - Cindy Wubben (Visma Benelux)
Cindy heeft een achtergrond in IT, maar werkt intussen al ruim 15 jaar in informatiebeveiliging. Een enorm boeiend onderwerp, waar iedereen - bewust of onbewust - mee te maken krijgt en dat steeds in verandering is. Ook in de accountingsector verandert er door digitalisering steeds meer, legt ze uit. Die digitalisering heeft een invloed op de manier van werken en advies geven, maar ook op de manier waarop we met informatiebeveiliging omgaan. Gegevens die zich in een digitale omgeving bevinden, zijn immers aantrekkelijker en makkelijker te bereiken.
Ook kleine kantoren zijn vaak een doelwit
Cindy benadrukt dat niet alleen grote kantoren zich zorgen moeten maken over informatiebeveiliging. De meeste aanvallen zijn geautomatiseerd, dus of je nu 3 of 100 medewerkers hebt: van zodra je verbonden bent met het internet, kan jouw organisatie het slachtoffer zijn. Sommige hackers targetten zelfs specifiek op kleinere organisaties, omdat ook daar heel veel data aanwezig zijn en het soms makkelijker is om bij een iets kleiner kantoor een hack te plegen, dan bij een groot kantoor waar er meer aandacht is voor cyberveiligheid.
De gevaren van een cyberaanval
Zit er een kwetsbaarheid in je systeem? Dan kunnen hackersorganisaties die gebruiken om er malware op te zetten, legt Cindy uit. Vaak installeren ze een encryptiesleutel die al jouw data vergrendelt en vragen ze in ruil daarvoor enkele bitcoins. Natuurlijk weet je nooit of je de data daadwerkelijk terugkrijgt en wat er in tussentijd al met de data gebeurd is. Als er al data is afgenomen, kunnen ze je later alsnog afpersen en dreigen om de data online te zetten. Met de gestolen data - denk maar aan wachtwoorden of creditcardgegevens van je klanten - kunnen ze allerlei criminele dingen doen: verkopen op het dark web, nieuwe aanvallen plegen, identiteitsdiefstal plegen… En naast het ‘particuliere’ criminele circuit zijn er ook hackersorganisaties die data gebruiken voor bijvoorbeeld spionage.
Verregaande gevolgen
Zo’n hack kan verregaande gevolgen hebben voor je bedrijf. Als er iets gebeurt met de gegevens van je klanten - identiteitsfraude bijvoorbeeld - kan je daar zware boetes voor krijgen. Natuurlijk levert het je ook reputatieschade op. En wanneer je business een hele tijd stilligt door een cyberaanval heeft dat niet alleen op korte, maar ook op lange termijn gevolgen. Je klanten moeten in tussentijd bij een andere partij aankloppen om hun diensten voort te zetten en dan bestaat de kans dat ze daar blijven. Sommige bedrijven gaan daar echt aan ten onder, vertelt Cindy.
Hoe kunnen accountingbedrijven zich voorbereiden?
Laat je goed informeren
Zeker voor kleine kantoren is het moeilijk om een uitgebreide kennis te hebben van cybersecurity: een accountingkantoor start je op vanuit een bepaalde expertise en dit soort dingen komen er ongewild bij. Het is dus belangrijk om je goed te laten informeren over de mogelijkheden en een goede partner te zoeken die je daarin kan bijstaan. In Nederland is er bijvoorbeeld een studentennetwerk dat bedrijven helpt bij kleine dingen zoals het encrypten van een harddisk of security-instellingen, maar er zijn ook heel wat gespecialiseerde IT- en securitybedrijven waarop je een beroep kan doen.
Voorzie een plan voor mogelijke scenario’s
Denk van tevoren na over wat je doet bij een mogelijke aanval. Hoe kan je aanvallen voorkomen en welke maatregelen kan je nemen om de impact van een aanval te beperken? En stel dat je niet meer bij bepaalde data kan, hoe ga je dan verder? Met een goede back-up van je systeem kan je bijvoorbeeld vrij snel weer aan de slag. Ook daar kan een expert bij helpen.
Kies voor goed beveiligde boekhoudsoftware
De softwareleveranciers waar je mee samenwerkt spelen een belangrijke rol in je informatiebeveiliging. Let bij het uitkiezen van een software goed op de graad van beveiliging. Denk ook na welke data voor jou het belangrijkst zijn en hoe de software die beveiligt. Niet alles hoeft op hetzelfde niveau beveiligd te zijn, maar jouw belangrijkste data moeten wél zeer goed beschermd zijn.
Zorg voor een goede basishygiëne
- Voer de security-updates uit
Is er een security-update beschikbaar in je software? Dan betekent dat meestal dat er een kwetsbaarheid in het programma zit. Het is dus belangrijk dat je die updates direct implementeert. Het is een kleine moeite waarmee je het risico op aanvallen sterk verkleint. Doe je die updates niet, dan ben je een kwetsbaar target voor hackers.
Hacks beginnen heel vaak vanuit iets wachtwoord-gerelateerd: het wachtwoord is niet sterk, het is ergens publiekelijk ingevuld, je wachtwoorden werden gestolen... Zorg dus voor goede wachtwoorden. Momenteel bestaat een sterk wachtwoord uit minstens 12 karakters. Een wachtwoord van 7 karakters is zo gekraakt, dus daar heb je weinig aan. Zorg er ook voor dat je geen wachtwoorden hergebruikt of iets gebruikt dat er sterk op lijkt, door bijvoorbeeld wat cijfertjes te veranderen.
- Gebruik een password-manager
De beste oplossing voor veilige wachtwoorden is een password-manager: daar kan je makkelijk sterke wachtwoorden genereren en opslaan in een beveiligde omgeving. Zo hoef je nog maar enkele wachtwoorden te onthouden: die van je password-manager, dat van de bank en eventueel nog enkele belangrijke dingen. Normaal gezien hoef je nooit meer dan 5 wachtwoorden te onthouden.
- Zet multi-factor authenticatie aan
Stel multi-factor authenticatie in voor belangrijke software. Zonder die extra beveiliging kunnen hackers gekraakte wachtwoorden zo gebruiken. Bij multi-factor authenticatie moet je telkens met een ander toestel bevestigen dat jij zelf het wachtwoord ingeeft. Het kost je dagelijks wat extra tijd, maar het maakt je systemen wel heel wat veiliger. Hier lees je hoe je multi-factor authenticatie aan zet in jouw AdminPulse.
- Wees waakzaam voor signalen
Een veelvoorkomende manier om hacks te plegen zijn mails met links. Die mails worden alsmaar beter, waardoor zelf veiligheidsspecialisten zich kunnen vergissen. Vermijd het dus om op links in mails te klikken en surf het liefst naar de website op de manier waarop je het normaal gesproken doet. Een ander signaal is dat dingen heel snel moeten gaan. Iets wat nu meteen moet gebeuren, is vaak verdacht.
Het belang van cybersecurity zal alleen toenemen
Volgens Cindy zal het aantal cyberaanvallen in de toekomst alleen maar stijgen: digitalisering zorgt ervoor dat wij beter worden, maar ook de criminelen zelf worden beter en het criminele circuit breidt uit. Denk daar ook nog de invloed van artificial intelligence bij: het is nu mogelijk om te telefoneren met de stem van iemand anders. De bedreigingen die er zijn worden zo alsmaar moeilijker te doorzien. Het belang van een goede informatiebeveiliging zal dus alleen maar toenemen.