CFO's van Nederland: regelt jouw accountant de cybersecurity?

Daar moest ik aan denken toen ik las over de nieuwe IT-check voor bedrijven. Volgens het Financieel Dagblad moet die “duidelijk maken in hoeverre een onderneming bestand is tegen hackers en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.”

Het idee komt van Norea, de beroepsvereniging van IT-auditors. Het zal je dan ook niet verbazen dat de check een controle wordt op vastgelegde normen. Zijn alle vakjes afgevinkt? Dan is iedereen tevreden.

Nederland is kwetsbaar

Tja, wat moeten we hiervan denken? De eerste reacties zijn positief. Zo schrijft het FD: “Het initiatief wordt gesteund door bedrijven, banken, investeerders en de grote accountantskantoren.” Blijkbaar groeit het besef dat bedrijven kwetsbaar zijn voor cybercrime. Dat is hoopgevend.

Want net als een pandemie kan ook een digitale aanval enorme schade aanrichten. Op 7 mei werd het Amerikaanse energiebedrijf Colonial Pipeline slachtoffer van Russische gijzelsoftware. Gevolg: dagenlange brandstoftekorten in een groot deel van de VS. Op 14 mei stond 87% van de tankstations in Washington DC droog.

Dit was slechts één aanval op één bedrijf. Stel je voor wat er gebeurt bij een massaal digitaal offensief. Bijvoorbeeld door een vreemde overheid. Drinkwatervoorzieningen, ziekenhuizen, energiecentrales kunnen plotseling en voor langere tijd lamgelegd worden.

Nederland is extra kwetsbaar, want we zijn een van de meest gedigitaliseerde landen ter wereld. Daarom moeten we ook in de controle op digitale beveiliging voorop lopen, zo zegt Marc Weltens, bestuurder van Norea en tevens partner bij een groot accountantskantoor.

Nog meer compliance?

Inderdaad: Nederland is kwetsbaar. Maar gaan de IT-auditors van de accountantskantoren ons beschermen tegen dit soort gevaren? Met alle respect: een accountant is geen IT’er. De meeste accountants kennen cybersecurity hoogstens van horen zeggen. Cybersecurity is werk voor IT-experts. Voor mensen die dagelijks bezig zijn met échte digitale beveiliging. Je laat toch ook niet je meterkast aanleggen door iemand die als hobby in het repaircafe elektrische apparaten repareert? Of je netwerkbeheerder je jaarrekening opstellen?

Bij VNO-NCW en MKB Nederland zien ze de bui al hangen. Ze maken zich zorgen over de kosten van zo’n IT-check voor kleinere bedrijven. Die zitten niet te wachten op een nieuwe cash-cow voor de compliance-industrie. Bovendien is zo’n IT-check een momentopname en ook afhankelijk van zaken als in welke branche ben je actief? Wat is de omvang van je organisatie? Wat is essentieel voor jouw bedrijfsvoering? Kortom, van veel meer aspecten dan je in een checklist afdekt. Daarnaast wil je juist naar een situatie waarbij er structureel aandacht wordt besteed aan cybersecurity, dat vraagt van een auditor ook inhoudelijke kennis.

Want wat voegt een verklaring toe? Misschien is hij handig bij het vingerwijzen achteraf: OK, er is een ramp gebeurd. Maar dat is niet onze schuld! Want wij voldeden aan alle normen. Alsof dat iets uitmaakt. Als je bedrijf dagenlang plat wordt gelegd, scoor je niet met dit soort uitvluchten.

Koffiedik kijken

Maar de check moet toch zorgen dat bedrijven veilig gaan werken? Sterker nog: de IT-auditors gaan niet alleen naar het afgelopen boekjaar kijken, maar ook naar het nieuwe. Ze bepalen dus of de IT toekomstbestendig is, zo claimt Norea.

Dat is knap. Heel knap. Bij Tesorion zijn we dagelijks bezig om nieuwe gevaren in kaart te brengen. Want cyberdreigingen veranderen voortdurend. Malware kan veel sneller muteren dan coronavirussen. En terwijl je dit leest, zijn geslepen IT’ers hard bezig om geheel nieuwe cyberaanvallen te ontwikkelen. Daar kun je 100% zeker van zijn.

Als zo’n aanval komt, moeten er dingen in de IT aangepast worden. Hoe sneller hoe beter! Maar mág een Nederlandse security-expert dat straks nog wel? Of botst dat dan met de compliance? Moet er eerst toestemming komen van het accountantskantoor?

En het kan nog erger: wat staat ons te wachten als cybercriminelen gebruik gaan maken van lacunes in de IT-check? Van dingen waar de IT-auditors in al hun deskundigheid niet aan hebben gedacht?

Je begrijpt het al: ik zie niet veel in die nieuwe IT-check. Een bedrijf dat echt veilig wil werken, geeft zijn geld uit aan echte beveiliging. Want uiteindelijk gaat het maar om één ding: cyberschade voorkomen. Daar moeten we op gefocust zijn. Niet op het invullen van een extra formulier.

Bronnen

https://fd.nl/futures/1407271/nieuwe-it-check-kan-voorwaarde-worden-voor-krediet

https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack

https://www.norea.nl/nieuws/10188/nieuw-de-it-auditverklaring

Ernst Veen is werkzaam bij Tesorion