Technologische innovatie en digitalisering hebben een grote impact op de rol van de finance professional. Diens rol versmelt steeds meer met IT. Data is goud waard en dat realiseren cybercriminelen zich ook. De financieel directeur doet er goed aan zijn/haar organisatie te wapenen tegen cyberaanvallen. Een lesje in cybersecurity.
De rol van de CFO is al lang niet meer beperkt tot alleen de financiële portefeuille van een organisatie. In de meeste gevallen is hij/zij ook eindverantwoordelijk voor de informatieverwerking van de onderneming waarvoor hij/zij actief is. En daarbij hoor ook de zorg voor een veilig ICT landschap bij. Tijdens een ontbijtbijeenkomst bij FinanceFactor gingen Paul Verhoef en Daniel Scholte van Datect in op de actualiteit van cybersecurity. Zij namen de aanwezigen mee in vormen van cyberaanvallen, hoe cybercriminelen te werk gaan en hoe organisaties weerbaar kunnen worden.
Finance versmelt steeds meer met IT (zie het eerder gepubliceerde artikel). Door de integratie van IT-oplossingen in financiële processen zien we de rol van de finance professional steeds meer richting informatisering gaan. Ondernemingen zijn kwetsbaar omdat de data die verwerkt en opgeslagen wordt voor cybercriminelen heel erg waardevol zijn. Cybercriminelen worden helaas ook steeds professioneler en de ‘markt’ voor cybercriminaliteit steeds interessanter. Een dynamische ‘markt’ die geen dag hetzelfde is.
Zwakste schakel
In het detecteren van de risico’s van cybercriminaliteit, is de medewerker een zwakke schakel. Het gevaar kan al in een mailtje zitten waar de medewerker (on)bewust op een linkje klikt en zo de cybercrimineel binnenlaat. Maar meer nog dan de medewerker op de werkvloer is het management de zwakste schakel. Zeker binnen het MKB wordt al snel gedacht ‘bij ons valt toch niets te halen’, een foute veronderstelling betoogt Verhoef, “want de data van ondernemingen, groot of klein, is goud waard en dat realiseren cybercriminelen zich maar al te goed. Dus ja, ook bij het MKB valt altijd iets te halen. Meer dan 40 procent van het MKB heeft al te maken gehad met cybercriminaliteit en juist in deze sector is het management er te weinig procesmatig mee bezig”.
Het management stuur op de klassieke thema’s die een bedrijf succesvol maken en diens waarde bepalen: klanttevredenheid, medewerkerstevredenheid, kennis, winst, productontwikkeling, kostprijs, etc. En nagenoeg nooit op informatiebeveiliging. Terwijl de afhankelijkheid van ICT, gegevensverwerking en digitalisering groot is. Een management control systeem ontbreekt vaak of is te zwak ingericht. De verantwoordelijke (financieel) directeur heeft veelal geen ICT achtergrond. En…er wordt teveel vertrouwd op ICT leveranciers. Als laatste is vaak geen inzicht in schade bij een incident. En dat is gek, want informatieverwerking en -opslag raakt de kern van de bedrijfsvoering en is goud in de handen van de cybercrimineel. Niet vanwege de waarde voor hen, maar door de waarde voor de organisatie zelf.
- Les 1 voor de financieel directeur: in de managementcyclus verdient informatiebeveiliging altijd aandacht. Niet als project maar als onderdeel van going concern!
Toegang van derden
Een tweede risico, naast de eigen medewerkers en management, is de toegang van derden binnen de organisatie, de supply chain genoemd. “Zelfs als dat de ICT-leverancier is,” waarschuwt Verhoef. “Externe ICT-beheerders monitoren veel, maar vanwege onduidelijkheid waar de verantwoordelijkheid binnen de organisatie ligt en gebrek aan regie (zie les 1), koppelen zij niet altijd voldoende terug. Denk niet dat als de ICT uitbesteed is ‘het wel goed zit’. Juist dit type leverancier moet zijn processen op orde hebben en een kwaliteitslabel kunnen aantonen, zoals een ISO-certificering.”
- Les 2 voor de financieel directeur: maak informatiebeveiliging onderdeel van het inkoopbeleid. Vraag de leverancier naar een cyber secure verklaring die aantoont dat diens organisatie goed ingericht en beveiligd is.
En dan gebeurt het toch…
De meest voorkomende cyberaanvallen zijn phishing aanvallen (hacken van mensen en systemen), virussen en password aanvallen. De basis van één wachtwoord is niet veilig meer. “Met een simpele oplossing als een tweetrapsverificatie, de multi factor authentification (MFA), kan schade beperkt worden,” adviseert Scholte. Ransomware is de nachtmerrie van elk bedrijf: de toegang tot eigen data wordt geblokkeerd en via een pop-up wordt aangegeven dat met de betaling van een som bitcoins (want niet traceerbaar) deze weer vrijgegeven wordt.
- Les 3 voor de financieel directeur: betaal niet.
“Data wordt misschien weer vrijgegeven, maar de garantie ontbreekt dat deze niet ondertussen aangeboden is op het darkweb met alle gevolgen van dien,” licht Scholte toe uit zijn praktijkervaring. “Schakel specialisten in en koop tijd om data zeker te stellen (damage control). Maar liever nog: heb van tevoren een exit strategie voorhanden.”
Basis op orde
Als met genoemde risicofactoren te weinig rekening wordt gehouden, kan de schade aanzienlijk zijn: verstoring in de productieketen, verlies van concurrentiegevoelige en privacygevoelige gegevens, bedrijfsschade (verlies omzet en hogere kosten), reputatieschade.
- Advies aan de financieel directeur: breng de basis op orde.
De basis bestaat uit meerlaagse veiligheid zoals een autorisatiemodel met de eerder genoemde multifactor authentification (MFA), weten wat er gebeurt, waar en door wie (logging) en het verhogen van het bewustzijn bij medewerkers. Richt vervolgens een management control systeem in met een cyclische aanpak van informatiebeveiliging. Voer een risicoanalyse uit, laat systematisch backups maken en voer testen uit. Vooral dat laatste gebeurt te weinig. Een management control systeem is alleen effectief indien het testen periodiek herhaald wordt. Ook bij uitbesteden van ICT!
Als laatste de rol van de accountant die de wettelijke plicht heeft de betrouwbaarheid en continuïteit van de gegevensverwerking te beoordelen als ook de naleving van wet- en regelgeving (AVG). Ervaring leert dat de accountant hierover te oppervlakkig rapporteert en vaak onvoldoende professionele kennis heeft. Het resultaat is dat bedrijven onvoldoende zekerheid krijgen met betrekking tot de informatie verwerkende systemen.
Met dit lesje in cybersecurity is de financieel directeur beter in staat zijn rol te pakken. Een gewaarschuwd mens telt immers voor twee.