Ik was nog geen week in dienst bij V&A of er werd mij al gevraagd om een blog te schrijven. En als het dan even kon over data integriteit. Nou ben ik de beroerdste niet, dus uiteraard heb ik ja gezegd. Ter inspiratie ben ik wat oude blogs van mijn collega’s gaan lezen. Je voelt de druk stijgen als je deze indrukwekkende blogs leest. Ik ga maar snel aan de slag en hoop dat jullie ook zullen genieten van mijn eerste bijdrage. Ik heb mij hierbij ook laten inspireren door de presentatie tijdens de V&A compliance community – een periodieke bijeenkomst waarin voor compliance officers, vaktechnici en bestuurders belangrijke thema’s met elkaar worden besproken – van 30 november jongstleden. Want zeker voor compliance officers verdient dit onderwerp aandacht.
Data integriteit, wat is dat nu eigenlijk? Het klinkt misschien als een mooi woord dat door de ICT consultant kan worden gebruikt om wat meerwerk te realiseren. Of een term die je een keer als accountant bij een klant roept om een nieuwe dienst te introduceren. Maar wat is data integriteit en wat moet je er als accountant mee? Eigenlijk gaat data integriteit over niets meer of minder dan de betrouwbaarheid van gegevens. Kijk, daar kan een accountant nog eens wat mee! We snappen allemaal het belang van betrouwbare gegevens. Zonder betrouwbare gegevens zijn wij nergens. Nu is dit wel een heel breed begrip om in slechts één blog te beschrijven. Daarom ligt de focus op het risico dat de (digitale) data integriteit door externen wordt aangetast. Hacken dus, want bij een hack weet je nooit wat er met de data gebeurt (of gebeurd is). Dit is een actueel risico getuige de vele onderzoeken over cybercriminaliteit die – bijvoorbeeld door de Big 4 adviseurs – worden gepubliceerd.
Dat gebeurt ons toch niet?!
Tijdens mijn werk in de openbare praktijk heb ik voornamelijk controles uitgevoerd bij middelgrote bedrijven en bij stichtingen. Ik denk dat een grote onderneming zoals Shell of Unilever ervan doordrongen zal zijn dat zij mogelijk het slachtoffer kunnen worden van hackers. Er zal bij deze bedrijven dan ook veel aandacht zijn voor de beveiliging van gegevens. Maar in het MKB is de urgentie veelal helaas nog niet zo hoog. Niet omdat er nooit aanvallen zijn, maar omdat de directie denkt dat het allemaal wel mee zal vallen. De houding is er één van “Waarom zou ik gehackt worden? Er valt toch niks te halen!”.
Ik had ooit een klant met zo’n houding. Elke keer als wij vragen stelden over ICT werd dit toch vooral gezien als lastig. Stiekem hoopte ik dat er iets zou gebeuren bij deze klant, een wake-up call, iets waardoor ze ICT beveiliging serieus zouden nemen. En ja hoor, er gebeurde iets. Een medewerker klikte op een link en alle computers werden voorzien van ransomwarei . Als bedrijf heb je dan twee opties: (1) de back-up van de dag ervoor terug zetten en een dag aan werk verliezen; of (2) betalen. De klant koos voor de eerste optie. Door ransomware weet je niet wat er met je gegevens gebeurd is, misschien zijn er kopieën van de data gemaakt achter de schermen. Als dit persoonsgegevens betreft, wordt het gezien als een datalek en een datalek moet, sinds de wet bescherming persoonsgegevensii is aangepast in 2015, gemeld worden bij de Autoriteit Persoonsgegevens. Al met al een hele hoop gedoe, omdat één medewerker even niet oplette. Helaas is de IT beveiliging er na dit voorval ook niet beter op geworden. Sommige mensen leren het ook nooit.
Andere gelukkig wel. Zo was er een hotel in Oostenrijk dat voor de vierde keer getroffen werd door ransomware. Het gevolg van deze actie was dat gasten niet meer konden inchecken. Naast de nodige frustraties levert het ook veel slechte publiciteit op. De eigenaar van het hotel was het zo zat, dat het hotel nu weer terug is gegaan op ouderwetse sleutels. Die zijn gelukkig niet te hacken. Was dit hotel dan zo slecht beveiligd? Ik denk het niet, ze hadden gewoon pech. Hackers worden steeds slimmer. De tijd van slecht door google vertaalde zinnen is voorbij. De e-mails van de hacker zijn soms amper van het origineel te onderscheiden. Ook “wij accountants” kunnen erin trappen.
Want ja, ook accountantskantoren zijn niet immuun voor hackers. Wij weten het altijd beter voor onze klanten, maar toch zijn er ook kantoren die gehackt zijn. Het enige wat er hoeft te gebeuren is één klik op een link in een verkeerd mailtje. Je denkt dat je een rekening van een telefonieprovider opent, maar je haalt een virus binnen. Gelukkig hebben de meeste accountantskantoren wel een goed back-up systeem. Maar toch kun je zo een dag aan werk verliezen. Daarnaast is er het risico van reputatieschade doordat klanten op de hoogte moeten worden gesteld van het mogelijke datalek. Dit is het geval als er “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”iii. Hieronder valt ook mogelijke identiteitsfraude wat voorkomt als bijvoorbeeld legitimatiebewijzen zijn ontvreemd.
Maar er is nog hoop
Maar wat kunnen we hier nu tegen doen? Moeten we weer allemaal terug naar pen en papier, alles uitprinten, niets meer via internet doen, ouderwets faxen en post verzenden? Tja, dat is niet erg efficiënt. En ook hier zijn risico’s aan verbonden, want er raakt nog wel eens post kwijt. Bovendien is een back-up maken van een stapel papier, heel wat ingewikkelder dan van een harde schijf. Dus beveiliging tegen brand is een heel stuk makkelijker als alles digitaal is.
Terug naar analoog is dus niet de oplossing, maar wat dan wel. Enkele oplossingen waar je als compliance officer mee aan de slag kunt:
- Beoordeel of de ICT afdeling zich ervan bewust is dat een goede firewall nodig is, zodat virussen er zoveel mogelijk bij de poort worden uitgefilterd. Dit is één van de aspecten van de onderscheiden aspecten van de compliance rol: monitoren, evalueren en adviseren.
- Beoordeel of er voldoende training is geweest voor het personeel. Investeer in trainingen zodat medewerkers kritischer kijken naar e-mails die zij ontvangen en niet zomaar op een link drukken.
- Als iemand aangeeft dat hij of zij toch per ongeluk geklikt heeft op een verkeerde link, reageer dan niet met beschuldigingen. Natuurlijk is het vervelend, het gaat geld en tijd kosten. Maar het laatste wat je wilt is dat mensen niet meer durven te melden dat ze op een verkeerde link hebben geklikt, waardoor de gevolgen alleen maar erger worden. (laagdrempelige meldcultuur)
- Ga na of de back-up goed geregeld is, want als accountant wil je natuurlijk niet “Elke dag een Bitcointje minder” bezitten en afdragen aan criminelen. Bovendien is het dan nog steeds niet zeker dat de gegevens daadwerkelijk worden vrijgegeven en weer volledig beschikbaar zijn.
- Wanneer er zich een datalek heeft voorgedaan, wees je dan bewust van de verplichtingen tot melden. Overigens kan dit ook een meldingsplicht inhouden bij de AFM in relatie tot de incidentenmeldplichtiv.
Tot slot
Geef als accountant het goede voorbeeld. Leg aan de hand van voorbeeld praktijksituaties uit aan zowel medewerkers als cliënten wat er mis kan gaan en dat zij zeker wel een aantrekkelijk slachtoffer zijn. Vaak gaat het namelijk niet om miljoenen aan losgeld, maar om relatief kleine bedragen. Bij het hotel in Oostenrijk ging het om € 1.500. En bedenk ook dat door te betalen het systeem in stand wordt gehouden. Zolang criminelen er geld mee kunnen verdienen, gaan ze ermee door.
De reacties tijdens de eerder aangehaalde compliance community waren wisselend wanneer het ging over ‘hoever’ kantoren reeds zijn met het implementeren van adequate beheersmaatregelen ten aanzien van data integriteit, waaronder de digitale informatie. Dus mocht je nog op zoek zijn naar een goed voornemen voor 2018, overweeg dan de beveiliging van de ICT eens goed door te nemen, zodat jij niet het volgende slachtoffer bent.
7 december 2017
Vera Bik MSc.
i) Ransomware is software die computers gijzelt totdat er losgeld wordt betaald voor een sleutel. Betaling dient vaak te gebeuren in Bitcoins.
ii) Met ingang van 25-5-2018 gaat de algemene verordening gegevensbescherming (AVG) in, dit is een Europese wet die nog verder gaat dan de WBP.
iii) Bron: richtsnoeren meldplicht datalekken Autoriteit Persoonsgegevens.
iv) Bijvoorbeeld bij ernstige dreigende imagoschade, zie https://www.accountancyvanmorgen.nl/2016/11/24/incidentmanagement-waarom-incident-geen-hete-aardappel-wicked-problem-is-juist-kans/