Blog: IT is geweldig, maar ben je je bewust van de risico’s?

IT maakt onze wereld en ons werk zoveel makkelijker. Maar er is ook een keerzijde: wat zijn de risico’s van IT? Hoe voorkom je dat je gehackt wordt? Hoe beveilig je je gegevens? Ik neem je mee in de wereld van de IT.

Ik zal me even kort voorstellen: ik ben Niek Visser en werk sinds 2018 als registeraccountant bij Stolwijk Kelderman. Behalve mijn interesse in cijfers en processen, heeft IT mij altijd gefascineerd. Ik wilde daar meer over weten: welke mogelijkheden, kansen én bedreigingen brengt IT met zich mee? Het was daarom een logische stap dat ik startte met de opleiding Executive Master of IT-auditing aan de TIAS School for Business and Society in Tilburg, waar ik vorige week mijn scriptie met succes verdedigd heb en hiermee de opleiding afgerond heb.

Accountancy & IT: onlosmakelijk met elkaar verbonden

Accountancy en IT zijn onlosmakelijk met elkaar verbonden. Instanties als de Belastingdienst en de Kamer van Koophandel eisen al digitale aanlevering van jaarstukken (waar mijn collega Bart onlangs een artikel over geschreven heeft) evenals banken. Als ondernemer kun je niet meer zonder IT en daarbij hoort een goed IT-beleid, waarin je je bewust bent van kansen en bedreigingen. Aangezien je niet alle bedreigingen kan voorkomen is het goed om een risico-inschatting te maken: welk niveau van risico kan je accepteren gezien je eigen organisatie. Dit zal per organisatie anders zijn. Het beheren en onderhouden van je IT  is bovendien een continu proces. Met één keer per jaar een update blijf je de risico’s namelijk niet de baas.

Access control: wie kan bij welke gegevens

Onderdeel van de controle van een jaarrekening is de interne beheersingsmaatregelen die een klant heeft ingevoerd. Een voorbeeld van deze maatregelen is dat het management bepaalt wie bevoegd is om bestellingen te plaatsen en wie tekenbevoegd is. Dit is een onderdeel van de ‘access controls’: beveiligingsmaatregelen die zijn genomen om de juiste personen toegang te geven tot de juiste gegevens op het juiste tijd op basis van de juiste uitgangspunten. Dat deden we vroeger al, toen alles nog op papier vastgelegd werd en dat doen we nu nog steeds. Nu alles steeds meer gedigitaliseerd is vergt dit wel een iets andere aanpak.

In de basis bestaat access control uit drie stappen: identificatie, authenticatie en autorisatie. Identificatie is gericht op de persoon die toegang wil hebben, deze moet zich aanmelden en kenbaar maken. Authenticatie is de vraag of de persoon die toegang wil hebben wel gerechtigd is om toegang te krijgen. Tot slot is autorisatie het vooraf bepalen welke rechten deze persoon krijgt als hij ingelogd is. Deze stappen dien je in ieder geval goed ingericht te hebben om aanvallers minder kans te geven.

Leveranciers van IT-diensten zijn uiteraard enthousiast over hun diensten of programma’s en garanderen je dat het goed werkt. Maar kan je hier zomaar blind vanuit gaan? Ik geef je een voorbeeld: je hebt je IT-beheer uitbesteed en de leverancier logt hiervoor in met een service-account. Dit service-account heeft hoge rechten, hij moet tenslotte overal bij kunnen om te ondersteunen bij problemen. Als deze leverancier een te simpel wachtwoord gebruikt en het service-account wordt op deze manier gehackt, dan hebben hackers toegang tot alle bedrijfs- en persoonsgegevens. In ruil daarvoor eisen zij flink geld.

Risico’s binnen je organisatie

Risico’s liggen niet alleen buiten je organisatie, maar kunnen ook bij eigen personeel liggen. Stel je hebt een medewerker met flinke financiële problemen en hij wordt benaderd om informatie te verstrekken waar hij  geld voor krijgt. Hackers kunnen deze informatie gebruiken om zonder problemen in te breken in je systemen.

Het is dus belangrijk dat er een open cultuur is binnen je bedrijf. Mogen medewerkers fouten maken en kan hier open over gesproken worden óf worden collega’s bij het maken van een fout meteen aan de schandpaal genageld? Heeft een collega, al dan niet onbewust, op een ‘foute’ link geklikt? Dan zal hij dit in het eerste geval direct melden,  zodat er snel actie ondernomen kan worden. Hierdoor blijft de schade beperkt. In situatie twee zal hij het niet melden en kom je er pas achter als het meestal al te laat is.

Het verdienmodel van hacken

Waarom en waarvoor worden bedrijven gehackt? In de basis is dit financieel gewin, maar de wijze waarop ze dit verdienen verschilt. Twee voorbeelden:

1. Hackers worden betaald om kostbare informatie (zoals bijvoorbeeld patenten) te stelen of ze worden betaald door een concurrent om jouw organisatie uit te schakelen óf
2. Ze eisen zelf geld (meestal crypto). Je systemen worden platgelegd of data gestolen. Er wordt geld geëist om je systeem weer in de lucht te krijgen of om te voorkomen dat je gegevens openbaar worden gemaakt.

Eigenlijk is het een soort branche en hoe bizar is het om te beseffen dat er dus een heel verdienmodel achter zit? Je ontvangt een bericht dat je gehackt bent, met daarin de eisen en eveneens contactgegevens. Het is als een helpdesk, maar niet te herleiden of traceren, die bedrijven helpt met het betalen. Zeker als je niet bekend bent met crypto valuta is dit handig. Zodra je betaald hebt, krijg je weer toegang tot je systeem of worden de bestanden weer vrijgegeven.

Krijg je, na het betalen, je bestanden terug? Ja, in vrijwel alle gevallen wel. Als er namelijk bekend wordt dat hackers na betaling niet aan hun afspraken voldoen, dan is hun verdienmodel weg. Organisaties gaan immers hackers niet meer betalen als gevraagd, een hogere prijs betalen heeft geen nut. Dit betekent niet dat je als organisatie altijd moet betalen. Dit zal afhankelijk zijn van de situatie en of de genomen maatregelen voldoende zijn om weer up en running te komen zonder te betalen. Dit zal per situatie bekeken moeten worden en zal altijd een groot dilemma zijn.

Hacking-, malware- en phishing-incidenten stijgen

In 2020 zijn er bij de Autoriteit Persoonsgegevens (AP) 23.976 datalekmeldingen binnengekomen. Een daling van 11% ten opzichte van 2019. Echter is het aantal meldingen naar aanleiding van hacking, malware of phishing-incidenten gestegen met 30%!

Opvallend feit is dat er in de vakanties meer cyberaanvallen plaatsvinden dan buiten vakanties. De reden? Zogeheten script kiddies, bijvoorbeeld studenten die het hacken wel interessant vinden, nemen dan de tijd om dit uit te proberen. Deze cyberaanvallen kunnen soms meer schade aanrichten, omdat ze eigenlijk niet weten wat ze doen.

Eisen en verplichtingen voor bedrijven

Zoals je ziet brengt ons digitale tijdperk niet alleen kansen, maar ook flink wat risico’s met zich mee. Hoe zit het met de verplichtingen voor bedrijven om hun digitale omgeving (en dus gegevens) te beschermen?

Een aantal jaar geleden is bijvoorbeeld in de hele EU dezelfde privacywetgeving in werking getreden: in Nederland bekend als de Algemene verordening gegevensbescherming (AVG). 

Wat we bovendien steeds vaker zien, is dat een leverancier of klant met wie je zaken doet (of wil gaan doen) eisen stelt aan jouw informatiebeveiliging. Dit is bijvoorbeeld het geval als je vertrouwelijke informatie of persoonsgegevens met elkaar gaat delen. Denk bijvoorbeeld aan een loonverwerker of als je werkt met ontwikkelingen van een klant waar patenten op (komen te) rusten.

Aangezien organisaties altijd zelf verantwoordelijk blijven voor de interne beheersing van de processen (ook als zij die uitbesteden, zoals bijvoorbeeld de loonverwerking!) dient de partij waar dit aan is uitbesteed dit te verklaren. Met een ISAE 3402-verklaring heeft een externe auditor gecontroleerd of je al dan niet kan steunen op de interne beheersing van de betreffende organisatie.

Op het gebied van informatiebeveiliging wordt er steeds vaker gevraagd om een ISO27001/2 certificering.

Bewustwording

Waarom ik dit artikel met je deel? Omdat het belangrijk is dat je je als ondernemer bewust bent van de kansen en de risico’s van IT: kijk naar je processen, breng de risico’s in kaart en zorg voor een goede beveiliging. Zie IT niet langer als een kostenpost, maar kijk wat er verdiend kan worden door de toepassing van IT.

En nogmaals een waarschuwing: is je beveiliging niet op orde, kijk je er niet (of nauwelijks) naar om, dan schat ik de kans op een hack in de komende vijf jaar op 100%. Zeker als je denkt dat er bij jouw organisatie niets te halen is!! Hackers ontwikkelen snel: sla geen updates van je software over en zorg dat je een goede back-up recovery procedure hebt. Dat laatste klinkt logisch, maar je zult zeker niet de eerste zijn waarbij het terugzetten van een back-up niet lukt, bijvoorbeeld omdat de versie/instellingen van het opnieuw opgebouwde systeem niet aansluiten bij de versie van je back-up.

Hoe waardevol is je informatie? Hoe goed is je beveiliging? Je kunt een hack niet helemaal voorkomen, maar met een goede beveiliging wordt de kans wel een stuk kleiner: maak het ze niet te makkelijk!

Groeten,

Niek Visser
Registeraccountant bij Stolwijk Kelderman