CFO's van Nederland: regelt jouw accountant de cybersecurity?

ernst-veen-Tesorion-500

De Nederlandse accountantskantoren gaan iets nieuws beginnen: een IT-check voor digitale veiligheid bij bedrijven. Moeten cybercriminelen nu ander werk gaan zoeken?

We hadden het zo mooi voor elkaar in Nederland. Als er een pandemie kwam, lagen de draaiboeken al klaar. Alles was geregeld.

Dat wil zeggen: op papier

Toen kwam de pandemie. Anders, en vooral veel sneller dan we hadden gedacht. Heel die papieren veiligheid bleek al snel waardeloos.

 

Daar moest ik aan denken toen ik las over de nieuwe IT-check voor bedrijven. Volgens het Financieel Dagblad moet die “duidelijk maken in hoeverre een onderneming bestand is tegen hackers en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.”

Het idee komt van Norea, de beroepsvereniging van IT-auditors. Het zal je dan ook niet verbazen dat de check een controle wordt op vastgelegde normen. Zijn alle vakjes afgevinkt? Dan is iedereen tevreden.

Nederland is kwetsbaar

Tja, wat moeten we hiervan denken? De eerste reacties zijn positief. Zo schrijft het FD: “Het initiatief wordt gesteund door bedrijven, banken, investeerders en de grote accountantskantoren.” Blijkbaar groeit het besef dat bedrijven kwetsbaar zijn voor cybercrime. Dat is hoopgevend.

Want net als een pandemie kan ook een digitale aanval enorme schade aanrichten. Op 7 mei werd het Amerikaanse energiebedrijf Colonial Pipeline slachtoffer van Russische gijzelsoftware. Gevolg: dagenlange brandstoftekorten in een groot deel van de VS. Op 14 mei stond 87% van de tankstations in Washington DC droog.

Dit was slechts één aanval op één bedrijf. Stel je voor wat er gebeurt bij een massaal digitaal offensief. Bijvoorbeeld door een vreemde overheid. Drinkwatervoorzieningen, ziekenhuizen, energiecentrales kunnen plotseling en voor langere tijd lamgelegd worden.

Nederland is extra kwetsbaar, want we zijn een van de meest gedigitaliseerde landen ter wereld. Daarom moeten we ook in de controle op digitale beveiliging voorop lopen, zo zegt Marc Weltens, bestuurder van Norea en tevens partner bij een groot accountantskantoor.

Nog meer compliance?

Inderdaad: Nederland is kwetsbaar. Maar gaan de IT-auditors van de accountantskantoren ons beschermen tegen dit soort gevaren? Met alle respect: een accountant is geen IT’er. De meeste accountants kennen cybersecurity hoogstens van horen zeggen. Cybersecurity is werk voor IT-experts. Voor mensen die dagelijks bezig zijn met échte digitale beveiliging. Je laat toch ook niet je meterkast aanleggen door iemand die als hobby in het repaircafe elektrische apparaten repareert? Of je netwerkbeheerder je jaarrekening opstellen?

Bij VNO-NCW en MKB Nederland zien ze de bui al hangen. Ze maken zich zorgen over de kosten van zo’n IT-check voor kleinere bedrijven. Die zitten niet te wachten op een nieuwe cash-cow voor de compliance-industrie. Bovendien is zo’n IT-check een momentopname en ook afhankelijk van zaken als in welke branche ben je actief? Wat is de omvang van je organisatie? Wat is essentieel voor jouw bedrijfsvoering? Kortom, van veel meer aspecten dan je in een checklist afdekt. Daarnaast wil je juist naar een situatie waarbij er structureel aandacht wordt besteed aan cybersecurity, dat vraagt van een auditor ook inhoudelijke kennis.

Want wat voegt een verklaring toe? Misschien is hij handig bij het vingerwijzen achteraf: OK, er is een ramp gebeurd. Maar dat is niet onze schuld! Want wij voldeden aan alle normen. Alsof dat iets uitmaakt. Als je bedrijf dagenlang plat wordt gelegd, scoor je niet met dit soort uitvluchten.

Koffiedik kijken

Maar de check moet toch zorgen dat bedrijven veilig gaan werken? Sterker nog: de IT-auditors gaan niet alleen naar het afgelopen boekjaar kijken, maar ook naar het nieuwe. Ze bepalen dus of de IT toekomstbestendig is, zo claimt Norea.

Dat is knap. Heel knap. Bij Tesorion zijn we dagelijks bezig om nieuwe gevaren in kaart te brengen. Want cyberdreigingen veranderen voortdurend. Malware kan veel sneller muteren dan coronavirussen. En terwijl je dit leest, zijn geslepen IT’ers hard bezig om geheel nieuwe cyberaanvallen te ontwikkelen. Daar kun je 100% zeker van zijn.

Als zo’n aanval komt, moeten er dingen in de IT aangepast worden. Hoe sneller hoe beter! Maar mág een Nederlandse security-expert dat straks nog wel? Of botst dat dan met de compliance? Moet er eerst toestemming komen van het accountantskantoor?

En het kan nog erger: wat staat ons te wachten als cybercriminelen gebruik gaan maken van lacunes in de IT-check? Van dingen waar de IT-auditors in al hun deskundigheid niet aan hebben gedacht?

Je begrijpt het al: ik zie niet veel in die nieuwe IT-check. Een bedrijf dat echt veilig wil werken, geeft zijn geld uit aan echte beveiliging. Want uiteindelijk gaat het maar om één ding: cyberschade voorkomen. Daar moeten we op gefocust zijn. Niet op het invullen van een extra formulier.


 

Bronnen

https://fd.nl/futures/1407271/nieuwe-it-check-kan-voorwaarde-worden-voor-krediet

https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack

https://www.norea.nl/nieuws/10188/nieuw-de-it-auditverklaring

 

 

Ernst Veen is werkzaam bij Tesorion

Meer over
Lees ook
Deep Instinct: organisaties doen er twee werkdagen over om op beveiligingsincidenten te reageren

Deep Instinct: organisaties doen er twee werkdagen over om op beveiligingsincidenten te reageren

Deep Instinct, de aanbieder van het eerste en enige op deep learning gebaseerde security-framework, publiceert vandaag zijn halfjaarlijkse Voice of SecOps Report. Uit dit rapport blijkt dat organisaties gemiddeld 17,2 uur nodig hebben om op een cyberaanval te reageren, oftewel twee werkdagen. Wereldwijd ligt dit gemiddeld nog hoger, namelijk 20.9 uur.

Secure Customers van Beyond Identity helpt bij voorkomen van gebruikersaccount-hacks

Secure Customers van Beyond Identity helpt bij voorkomen van gebruikersaccount-hacks

Beyond Identity, aanbieder van oplossingen voor wachtwoordloze multi-factor authentication (MFA), maakt vandaag de beschikbaarheid bekend van Secure Customers. Deze nieuwe oplossing stelt elk bedrijf in staat om een einde te maken aan de bedreiging van de hacks van gebruikersaccounts. Ook versnelt het de conversies van nieuwe klanten met de snelste...

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet publiceert het 2021 Global State of Ransomware Report. Uit dit enquêterapport komt naar voren dat de meeste organisaties zich meer zorgen maken om ransomware dan om elke andere cyberbedreiging. De meerderheid zei zich te hebben voorbereid op ransomware-aanvallen.