‘Accountant, zorg dat u uw klantenbestand beschermt’

In samenwerking met Fiscount – een belangenvereniging voor accountants, fiscalisten, juristen en aanverwante specialistische zakelijke dienstverleners – heeft Veldhuis Advies een initiatief gestart om bewustzijn over cyberveiligheid, cyberweerbaarheid en cyberverzekeringen te bevorderen. Accountancy van morgen, hét platform voor nieuws en ontwikkelingen in de accountancywereld, interviewde Dick Vos van Veldhuis Advies en Ramon van Ingen van MiCRe over het onderwerp cyber en hoe belangrijk het is zorgvuldig met uw data om te gaan. 

De datalekken en hacks waarover de media berichten, gaan over grote bedrijven en instellingen. Hoe relevant is cybersecurity voor MKB-ondernemers?

Van Ingen: ‘Ook kleinere organisaties en midden- en kleinbedrijven hebben baat bij goed advies. Die zijn doordrongen van het feit dat er risico’s zijn. En daarover moet u bewuste keuzes maken. Grote bedrijven hebben budget beschikbaar. Kleinere bedrijven hebben dat minder. Die moeten slim omgaan met hun beperkte middelen.’

Vos: ‘Vooral middelgrote en kleine accountantskantoren zijn interessante doelwitten voor hackers. Accountantskantoren beschikken namelijk over veel waardevolle data. Met Fiscount hebben wij voor leden van die organisatie een beveiligd totaalconcept voor dataverwerking ontwikkeld.’

Welke risico’s lopen MKB-accountantskantoren?

Vos: ‘Neem de sms-berichten die hackers aan massa’s mobieltjes sturen, over een belastingaanslag, een nieuwe bankpas of een betalingsherinnering van een incassobureau. Die berichten zijn nep, maar door er een heleboel te sturen, hopen hackers te verdienen aan een paar slachtoffers. Als u een accountantskantoor runt met drie medewerkers, dan zal een hacker u niet gericht hacken. Wel zal hij met een schot hagel op u schieten. Heeft u pech en klikt u op de verkeerde link, dan heeft u een probleem.’

Van Ingen: ‘Niet alle cybercriminelen gaan gericht op hun prooi af. Veel hackers schieten juist met hagel. Voor die hackers is elke zwakte in uw netwerk een mogelijke toegangspoort. Ik ken een eigenaar van een accountantskantoor dat werd gehackt door hackers die via een dataopslagmedium in zijn thuisnetwerk binnendrongen. Op die schijf had hij zowel zakelijke als persoonlijke gegevens opgeslagen. Accountants met een klein kantoor, bij wie zakelijk en privé digitaal door elkaar lopen, lopen risico slachtoffer te worden van zo’n hacker. Maar denk niet dat de omvang van uw onderneming de enige factor is. Ook als u een klein kantoor heeft, zijn uw klantdata interessant voor concurrenten. Zorg dus dat u uw klantenbestand beschermt.’

Wat willen hackers bereiken?

Van Ingen: ‘De meeste hackers zijn uit op financieel gewin, bijvoorbeeld door te mikken op het gijzelen of stelen van klantdata of het intellectueel eigendom. Maar het is ook mogelijk dat hackers, in opdracht, u als concurrent buitenspel willen zetten. En vergeet ook niet de ontstemde medewerker of ex-collega – wraak is ook een veelvoorkomend motief van hackers. Ze maken ook steeds vaker gebruik van sociaal-psychologische technieken.’

Vos: ‘Om dat doel te bereiken zijn hackers steeds geduldiger – eenmaal binnen kan het een tijd duren voor ze toeslaan. Dat we in tijden van corona massaal thuiswerken, maakt dat we kwetsbaarder zijn voor hacks. Op kantoor zou ik bij ontvangst van een verdacht e-mailtje bij collega’s nagaan of zij ook zo’n mailtje hebben ontvangen. Voor thuiswerkers is dat een drempel.’

Biedt cybersecurity ook kansen voor accountantskantoren?

Vos: ‘Jazeker. Als ik zaken doe, wil ik weten hoe mijn zakenpartner met zijn en mijn informatie omspringt. Als kantoor heeft u een zorgplicht voor uw klanten. Ik zou daar een belangrijk onderwerp van maken in mijn verkoopstrategie. Ik denk dat u zich daarmee kunt onderscheiden in de markt.’

Van Ingen: ‘Controleer daarom altijd waar uw data zijn opgeslagen. Veel kantoren hebben hun bedrijfsgegevens en software naar de ‘cloud’ gemigreerd, met de hulp van een IT-leverancier die zijn zaken op orde heeft. Maar het is uw verantwoordelijkheid om uw IT-dienstverlener kritische vragen te stellen: hoe is de opslag ingericht? Wat is het back-upplan?

Hoe gaat men om met lekken? Waar liggen de risico’s voor klanten? Vertrouw ook niet blindelings op uw hoofd ICT-zaken. Want een hoofd ICT-zaken zal vaak zeggen dat de zaken op orde zijn. Als directeur bent u nu eenmaal de eindverantwoordelijke. U moet dus altijd doorvragen, of eens een test laten uitvoeren door een buitenstaander.’

Is migratie van uw data naar de cloud onverstandig?

Van Ingen: ‘Nee, een eigen netwerk of harde schijf kan net zo kwetsbaar zijn als de cloud en andersom. Zelfs als u uw onderneming ogenschijnlijk digitaal helemaal dichttimmert, kunt u slachtoffer worden. Beter is het scenario’s te ontwikkelen: wat doen we als we worden gehackt? Zorg voor een doordachte respons. Want de paniekvoetbal die kan ontstaan bij een hack, is het prijzigst. De uurtarieven die gespecialiseerde partijen in rekening brengen om een hack op te lossen, bedragen al gauw 350 euro. Sluit daarom een cyberverzekering af.’

Vos: ‘Bij een relatie van ons bedroeg de totale schade van een hack, waarbij alle data waren gegijzeld, 3 miljoen euro. Het losgeld was 1,7 miljoen euro – de rest van de kosten zat in het productieverlies. In de eerste periode probeerde een gespecialiseerd IT-bedrijf de data te herstellen. Na een aantal dagen kwam die partij tot de conclusie dat de onderneming moest gaan betalen. De ondernemer concludeerde, dat het bedrijf de hack alleen heeft overleefd dankzij de cyberverzekering. Een kleine onderneming heeft voor 400 à 500 euro per jaar al een prima cyberverzekering. Zelf vind ik dat als u met gevoelige data werkt, een cyberverzekering net zo vanzelfsprekend is als een aansprakelijkheidsverzekering.’

Een veilige bedrijfsvoering is niet alleen een kwestie van de juiste (anti-virus)software, maar ook …

• Een betrouwbare clouddienstverlener met kennis van cyberrisico’s
• Goede netwerkbeveiliging, zoals een virtual private network (VPN) en gescheiden netwerken
• Twee-factor-authenticatie voor het inloggen en goedkeuren van transacties, door middel van biometrie of een authenticator-app

… en van het juiste gedrag

• Maak geregeld back-ups
• Werk software tijdig bij
• Log nooit in via een openbaar wifinetwerk
• Houd uw medewerkers scherp met tests en trainingen op het gebied van bewustzijn

Hoe werkt zo’n cyberweerbaarheidstest door een buitenstaander?

• Vos: ‘Omdat het gedrag van uw mensen leidend is voor uw beveiligingsniveau, werken wij tegenwoordig met bewustwordingstrainingen. Ieder jaar krijgen onze mensen phishing traps – nepmailtjes die lijken op echte mails. De eerste keer dat we dat deden, trapten er van de 70 medewerkers liefst 60 in. Nu, vier testmails verder, klikten er nog twee of drie op de verdachte link.’Van Ingen: ‘U kunt ook kiezen voor penetratietests of het zogenoemde red teaming, waarbij u zogenoemde ‘white hat hackers’, ofwel ethische hackers, uitnodigt op zoek te gaan naar zwakke plekken in uw netwerk of uw bedrijfsproces. Overigens benaderen sommige ethische hackers bedrijven met ongevraagd advies over zwakten in hun systeem. Daarom adviseer ik ondernemers daarop beleid te ontwikkelen, het zogeheten responsible-disclosurebeleid. Dat u openstaat voor welwillende hackers om zwaktes aan u te melden. Laat ook weten op welke beloning ze mogen rekenen – bijvoorbeeld een t-shirt of een cadeaubon.’

En stel dat uw bestanden zijn geblokkeerd door gijzelsoftware. Moet u dan betalen of niet?

Van Ingen: ‘Tegenwoordig hebben de aanvallers gelikte business modellen. Ze laten zich goed informeren over wat een prooi kan betalen. En hun dienstverleningsniveau ligt hoog – de drempel om te betalen is laag. U wordt begeleid in het betalingsproces, dat via Bitcoin verloopt. De recent gehackte Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) weigerde te betalen. Er wordt vaak gezegd dat u niet moet betalen, maar de praktijk als ondernemer is anders: komt uw bedrijfsvoering in de problemen, en dreigt uw continuïteit in gevaar te komen, dan betaalt u. Dan kunt u het niet veroorloven principieel te zijn.’

Vos: ‘En zodra u heeft betaald, helpen ze u doorgaans alles tot in de puntjes weer terug te zetten. Tegelijk gaat het nog altijd om afpersing. Dat u zelf niet bij uw geblokkeerde bestanden kunt, is maar één afweging. Wat meespeelt is dat hackers vaak dreigen de bestanden openbaar te maken. Dat maakt de schade groter. Ook dat speelt mee in de overweging.’

Meer informatie over cyberveiligheid?

Niet alleen voor accountantskantoren, maar voor alle ondernemingen die klantgegevens verwerken is het belangrijk om uw cyberveiligheid op orde te hebben. Speciaal daarom ontwikkelde Veldhuis Advies het cybersecurity adviespakket. Wilt u meer weten wat wij voor u en uw onderneming kunnen betekenen? Neem gerust eens contact op met een van onze verzekeringsspecialisten via [email protected] of telefonisch via 0578 699 789.