Hoe groot is kans dat uw accountantskantoor wordt getroffen door cybercrime? En welke kwetsbaarheden vragen om uw aandacht?
In de nacht van 9 op 10 maart 2022 werd voor een Nederlands accountantskantoor een nachtmerrie werkelijkheid. Crowe Foederer ontdekte die nacht een ransomware-aanval. Bestanden, applicaties en de mail waren niet meer beschikbaar. Ook bleek dat er phishing mails uit naam van het kantoor verstuurd waren. U kunt u voorstellen hoe medewerkers en directie zich gevoeld hebben toen ze erachter kwamen.
Eerst was cybercrime nog wat ver van uw bed. Iets waar grote multinationals mee te maken kregen. Helaas is cybercrime tegenwoordig niet meer weg te denken uit de maatschappij. Volgens het Nationaal Cyber Security Centrum (NCSC) is het niet zozeer de vraag of bedrijven worden aangevallen, maar wanneer.
Het aantal bedrijven dat te maken kreeg met een cyberaanval is van 29 procent in 2011 gestegen naar 45 procent in 2022. Dat meldt ABN AMRO na een onderzoek onder zakelijke klanten. De toegenomen digitalisering biedt kansen voor cybercriminelen. Deze criminelen gaan ondertussen steeds professioneler te werk gaan en weten zich handig te organiseren.
“De basismaatregelen op orde hebben helpt, maar deze zijn nog lang niet overal goed doorgevoerd. Er wordt nog te weinig gewerkt met multifactor authenticatie en het maken en testen van back-ups.”
- Nationaal Cybersecurity Centrum
Cybercriminelen gebruiken geavanceerde technieken om bedrijven aan te vallen. Op grote schaal zetten ze bots in om te zoeken naar kwetsbaarheden. Zowel grote als kleinere bedrijven zijn interessant. Het gaat tenslotte om de prijs die u bereid bent te betalen. Voor welk bedrag wilt u uw gegevens weer terug? Of voorkomen dat uw gegevens op het dark web te downloaden zijn?
Een vrij gebruikelijke vorm van cybercrime is een ransomware-aanval. Daarbij versleutelen criminelen bestanden of ze vergrendelen het hele systeem. Het doel is om u te chanteren en losgeld te laten betalen. Een dergelijke aanval kan tot hoge kosten leiden. Als vuistregel kunt u ervan uitgaan dat hackers een half tot twee procent van de jaaromzet eisen. Ook als u besluit niet te betalen, bent u waarschijnlijk een flink bedrag kwijt aan herstelkosten.
Meer weten over ransomware en hoe u zich ertegen kunt beschermen? Lees verder in het artikel Wees voorbereid op ransomware.
Naast de kans op hoge kosten, zijn er meer risico’s. Verlies van gevoelige klantgegevens kan grote gevolgen hebben. Hackers kunnen toegang krijgen tot financiële gegevens van uw klanten en deze informatie gebruiken voor fraude. Bovendien kan een cyberaanval de reputatie van uw kantoor ernstig schaden, wat leidt tot verlies van klanten en omzet.
Op welke manieren kunt u te maken krijgen met cybercrime?
Laten we wat dieper ingaan op de kwetsbaarheden die specifiek voor accountantskantoor gelden. Dan kijken we daarna naar mogelijke oplossingen daarvoor.
Als accountantskantoor hebt u veel gevoelige informatie van klanten in huis. Klanten delen gegevens met u, u slaat het op en verstrekt op uw beurt rapporten en overzichten aan uw klanten. Dat vraagt dus om de nodige aandacht voor het veilig uitwisselen van gegevens. Plus dat u goed moet weten waar al die data zich bevindt. Staat het op eigen servers of in de cloud en zo ja, waar? Is data daarnaast ook lokaal op laptops en computers opgeslagen?
Uw accountantskantoor maakt waarschijnlijk steeds meer gebruik van Software as a Service (SaaS). Naast alle voordelen van SaaS, zien we hierin ook een risico ontstaan voor de veiligheid van uw data. Er ontstaat gemakkelijk een versnippering in het beheer, omdat elke applicatie in een eigen cloud fungeert. Daardoor krijgt u te maken met een multi-cloud. Dat zorgt voor:
Typisch voor het accountantskantoor is werken op verschillende locaties. Medewerkers gaan thuis nog even aan de slag, nemen hun laptop mee naar een klant of werken nog even de mail bij terwijl ze ergens wachten. Dat dit tegenwoordig allemaal kan, wil niet zeggen dat het ook veilig is. Via onbeveiligde netwerken krijgen cybercriminelen gemakkelijk toegang tot uw data.
De reden dat wij u wijzen op de dreiging van cybercrime, is dat het een realiteit is waar u rekening mee moet houden. U krijgt er vroeg of laat mee te maken. Tegelijkertijd willen we niet doen alsof u er niets tegen kunt beginnen. U kunt wel degelijk het risico dat uw kantoor slachtoffer wordt verkleinen.
Dat begint bij het serieus nemen van de gevaren. Maak van cybersecurity een prioriteit in uw ICT-beleid. Laat u goed informeren. Heel belangrijk is dat u het hele kantoor hierin betrekt. Het heeft geen zin als één of twee personen zich bezighouden met cybersecurity. Alle medewerkers moeten weten waar ze op moeten letten. De menselijke factor speelt namelijk een grote rol. Medewerker zijn te verleiden met psychologische trucs, waar cybercriminelen graag gebruik van maken.
Natuurlijk is het ook belangrijk om het technisch goed voor elkaar te hebben. Ons uitgangspunt is altijd security by design. In plaats van maatregelen te nemen achteraf, bouwen we de beveiliging in vanaf de basis. Denk daarbij aan wachtwoordbeheer, het instellen van rechten, een waterdichte back-upmethode, updatebeheer, beveiligde verbindingen en veilig thuiswerken. Het is een mix van maatregelen die overal in verweven is.
Een manier om veilig werken goed te faciliteren is een virtuele werkplek, ook wel cloudwerkplek of online werkplek genoemd. Met een virtuele werkplek werken medewerkers in een goed beveiligde virtuele omgeving. Niets bevindt zich lokaal, alles wordt centraal opgeslagen. De werkplekken zijn verbonden aan de virtuele server en worden vanuit deze ene plek centraal beheerd.
Een voorbeeld hiervan is de Hupra Online Werkplek. Het mooie hiervan is dat medewerkers overal en op elke device veilig kunnen werken.
Wat is nu voor u de eerste stap? We hebben de algemene risico’s en kwetsbaarheden voor accountantskantoren besproken. Een eerste stap voor u is om te kijken wat voor uw kantoor de kwetsbaarheden zijn. Waarin kunt u belangrijke stappen nemen om u beter te beveiligen tegen cybercrime? Cybersecurity is complex en vraagt om gespecialiseerde know-how. Laat u vooral adviseren door een IT-partij die u vertrouwt.
Wilt u vrijblijvend advies over uw situatie? Met meer dan 20 jaar ervaring in de accountancy sector hebben we de nodige kennis en ervaring opgebouwd. We denken graag met u mee.