CFO's van Nederland: regelt jouw accountant de cybersecurity?

ernst-veen-Tesorion-500

De Nederlandse accountantskantoren gaan iets nieuws beginnen: een IT-check voor digitale veiligheid bij bedrijven. Moeten cybercriminelen nu ander werk gaan zoeken?

We hadden het zo mooi voor elkaar in Nederland. Als er een pandemie kwam, lagen de draaiboeken al klaar. Alles was geregeld.

Dat wil zeggen: op papier

Toen kwam de pandemie. Anders, en vooral veel sneller dan we hadden gedacht. Heel die papieren veiligheid bleek al snel waardeloos.

 

Daar moest ik aan denken toen ik las over de nieuwe IT-check voor bedrijven. Volgens het Financieel Dagblad moet die “duidelijk maken in hoeverre een onderneming bestand is tegen hackers en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.”

Het idee komt van Norea, de beroepsvereniging van IT-auditors. Het zal je dan ook niet verbazen dat de check een controle wordt op vastgelegde normen. Zijn alle vakjes afgevinkt? Dan is iedereen tevreden.

Nederland is kwetsbaar

Tja, wat moeten we hiervan denken? De eerste reacties zijn positief. Zo schrijft het FD: “Het initiatief wordt gesteund door bedrijven, banken, investeerders en de grote accountantskantoren.” Blijkbaar groeit het besef dat bedrijven kwetsbaar zijn voor cybercrime. Dat is hoopgevend.

Want net als een pandemie kan ook een digitale aanval enorme schade aanrichten. Op 7 mei werd het Amerikaanse energiebedrijf Colonial Pipeline slachtoffer van Russische gijzelsoftware. Gevolg: dagenlange brandstoftekorten in een groot deel van de VS. Op 14 mei stond 87% van de tankstations in Washington DC droog.

Dit was slechts één aanval op één bedrijf. Stel je voor wat er gebeurt bij een massaal digitaal offensief. Bijvoorbeeld door een vreemde overheid. Drinkwatervoorzieningen, ziekenhuizen, energiecentrales kunnen plotseling en voor langere tijd lamgelegd worden.

Nederland is extra kwetsbaar, want we zijn een van de meest gedigitaliseerde landen ter wereld. Daarom moeten we ook in de controle op digitale beveiliging voorop lopen, zo zegt Marc Weltens, bestuurder van Norea en tevens partner bij een groot accountantskantoor.

Nog meer compliance?

Inderdaad: Nederland is kwetsbaar. Maar gaan de IT-auditors van de accountantskantoren ons beschermen tegen dit soort gevaren? Met alle respect: een accountant is geen IT’er. De meeste accountants kennen cybersecurity hoogstens van horen zeggen. Cybersecurity is werk voor IT-experts. Voor mensen die dagelijks bezig zijn met échte digitale beveiliging. Je laat toch ook niet je meterkast aanleggen door iemand die als hobby in het repaircafe elektrische apparaten repareert? Of je netwerkbeheerder je jaarrekening opstellen?

Bij VNO-NCW en MKB Nederland zien ze de bui al hangen. Ze maken zich zorgen over de kosten van zo’n IT-check voor kleinere bedrijven. Die zitten niet te wachten op een nieuwe cash-cow voor de compliance-industrie. Bovendien is zo’n IT-check een momentopname en ook afhankelijk van zaken als in welke branche ben je actief? Wat is de omvang van je organisatie? Wat is essentieel voor jouw bedrijfsvoering? Kortom, van veel meer aspecten dan je in een checklist afdekt. Daarnaast wil je juist naar een situatie waarbij er structureel aandacht wordt besteed aan cybersecurity, dat vraagt van een auditor ook inhoudelijke kennis.

Want wat voegt een verklaring toe? Misschien is hij handig bij het vingerwijzen achteraf: OK, er is een ramp gebeurd. Maar dat is niet onze schuld! Want wij voldeden aan alle normen. Alsof dat iets uitmaakt. Als je bedrijf dagenlang plat wordt gelegd, scoor je niet met dit soort uitvluchten.

Koffiedik kijken

Maar de check moet toch zorgen dat bedrijven veilig gaan werken? Sterker nog: de IT-auditors gaan niet alleen naar het afgelopen boekjaar kijken, maar ook naar het nieuwe. Ze bepalen dus of de IT toekomstbestendig is, zo claimt Norea.

Dat is knap. Heel knap. Bij Tesorion zijn we dagelijks bezig om nieuwe gevaren in kaart te brengen. Want cyberdreigingen veranderen voortdurend. Malware kan veel sneller muteren dan coronavirussen. En terwijl je dit leest, zijn geslepen IT’ers hard bezig om geheel nieuwe cyberaanvallen te ontwikkelen. Daar kun je 100% zeker van zijn.

Als zo’n aanval komt, moeten er dingen in de IT aangepast worden. Hoe sneller hoe beter! Maar mág een Nederlandse security-expert dat straks nog wel? Of botst dat dan met de compliance? Moet er eerst toestemming komen van het accountantskantoor?

En het kan nog erger: wat staat ons te wachten als cybercriminelen gebruik gaan maken van lacunes in de IT-check? Van dingen waar de IT-auditors in al hun deskundigheid niet aan hebben gedacht?

Je begrijpt het al: ik zie niet veel in die nieuwe IT-check. Een bedrijf dat echt veilig wil werken, geeft zijn geld uit aan echte beveiliging. Want uiteindelijk gaat het maar om één ding: cyberschade voorkomen. Daar moeten we op gefocust zijn. Niet op het invullen van een extra formulier.


 

Bronnen

https://fd.nl/futures/1407271/nieuwe-it-check-kan-voorwaarde-worden-voor-krediet

https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack

https://www.norea.nl/nieuws/10188/nieuw-de-it-auditverklaring

 

 

Ernst Veen is werkzaam bij Tesorion

Meer over
Lees ook
1 op de 10 onderzochte cybersecurityincidenten wordt door Kaspersky als ernstig beschouwd

1 op de 10 onderzochte cybersecurityincidenten wordt door Kaspersky als ernstig beschouwd

Een op de tien (9 procent) voorkomen cybersecurityincidenten hadden kunnen leiden tot een grote verstoring of tot ongeautoriseerde toegang tot bedrijfsmiddelen van bedrijven.

DTEX Systems en iSOC24 gaan partnership aan voor Cyber Security Operations en Insider Risk Intelligence in de Benelux

DTEX Systems en iSOC24 gaan partnership aan voor Cyber Security Operations en Insider Risk Intelligence in de Benelux

Relaties van iSOC24 krijgen nu de mogelijkheid om gebruik te maken van risk-gebaseerde workforce telemetrie en contextuele intelligence om het inzicht dat niet kan worden geboden door NGAV, DLP en digitale forensische oplossingen in te vullen

Aanvallen op Microsoft Exchange in augustus met 170% gegroeid

Aanvallen op Microsoft Exchange in augustus met 170% gegroeid

Het aantal gebruikers dat is aangevallen door exploits gericht op kwetsbaarheden in Microsoft Exchange-servers, geblokkeerd door Kaspersky-producten, is in augustus met 170% gegroeid van 7.342 naar 19.839 gebruikers. In Nederland ging het in de periode van maart tot en met augustus dit jaar om in totaal 928 gebruikers.