Informatiebeveiliging en digitale fraude, een nieuwe uitdaging voor accountants

Digitalisering van onze maatschappij en de voortdurende evolutie van de techniek leggen steeds meer druk op een goede informatiebeveiliging. In een artikel dat in april in het FD is verschenen, blijkt dat dit makkelijker gezegd is dan gedaan. Veel bestuurders en ondernemers hebben te weinig kennis van IT-zaken. Deskundigen luiden nog net niet de noodklok.

Cyberbeveiliging ontbreekt in accountantsverklaring

In samenspraak met het FD heeft NOREA een onderzoek gehouden onder haar leden naar cyberbeveiliging. Hieruit komt naar voren dat er voldoende urgentie is onder bestuurders maar dat veelal het investeringsniveau te laag is. IT-auditors zien de gebreken in de cyberbeveiliging, maar het onderwerp komt nauwelijks terug in de accountantsverklaringen. Naar aanleiding van dit onderzoek zijn kamervragen gesteld die ingaan op het belang cyberbeveiliging in accountantsverklaringen. Dit geldt met name voor accountants van controleplichtige organisaties. Wordt hiermee niet een belangrijke groep over het hoofd gezien, zoals het MKB?

Digitale fraude binnen het MKB

Uit een onderzoek dat vorig jaar door de KvK is uitgevoerd, komt naar voren dat twee op de vijf MKB’ers het afgelopen jaar daadwerkelijk te maken heeft gehad met vormen van digitale fraude. Ook hier blijkt dat een derde van de MKB ondernemers aangaf dat ze weinig of geen kennis in huis hebben over het voorkomen van diverse vormen van cyberdreiging, zoals bijvoorbeeld ransomware. Binnen het MKB is dit de meest voorkomende vorm van digitale fraude. De meeste innovatie vindt plaats binnen het MKB. Het MKB is daardoor extreem gevoelig voor digitale fraude. Het is al vaker voorgekomen dat een ondernemer op een beurs zijn nog geheime ontwerp ontdekte bij een concurrent. Het lijkt dan ook geen overbodige luxe dat deze kamervragen gelden voor geheel ondernemend Nederland, van klein MKB naar grote internationale ondernemingen.

De mens als zwakste schakel

Informatie moet tegenwoordig 24/7 online beschikbaar zijn en de uitwisseling van gegevens heeft een goede beveiliging nodig. Informatiebeveiliging vraagt om een andere aanpak dan de nieuwe privacywet (AVG), maar is wel een cruciaal onderdeel van gegevensbescherming. Wanneer is informatie echt ‘veilig’? Informatie is pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de bijbehorende technische en organisatorische maatregelen. In de praktijk blijkt dat de zwakste schakel helaas nog altijd de mens is. Een organisatie kan aan de voordeur alles dichttimmeren met de meest recente firewalls en virusscanners om hackers buiten te houden. Je voorkomt hiermee niet de fouten die ontstaan door menselijk handelen. Een mail of gratis verkregen USB stick van een ogenschijnlijk betrouwbare bron kan bij het openen desastreuze gevolgen hebben voor je organisatie. Wanneer je een ICT systeem voor iedereen toegankelijk maakt, is de kans groot dat er gegevens ‘op straat’ belanden. Informatiebeveiliging en privacy moeten daarom deel uit maken van het primaire organisatieproces. Voor een optimale informatieveiligheid is het van belang dat er binnen de organisatie bewustwording is van de risico’s die er zijn. 

Classificeren van gegevens

In de praktijk blijkt het beantwoorden van de vraag wanneer informatie echt ‘veilig’ is nog niet zo makkelijk te beantwoorden. Om richting te geven aan de passende technische en organisatorische maatregelen, is het van belang om gegevens te classificeren. Voor het classificeren van informatie wordt gebruik gemaakt van o.a. de BIV-waarden. Dit is een classificatie waarbij gebruik wordt gemaakt van drie normen/niveaus:

1. Beschikbaarheid: wanneer is data toegankelijk en hoeveel kan er gebruikt worden?
2. Integriteit: is de informatie juist, volledig en tijdig?
3. Vertrouwelijkheid: wie krijgt welke bevoegdheden zoals muteren, toevoegen, vernietigen, kopiëren of kennisnemen?

Door te classificeren bepaal je welke gegevens in welke mate beschermd moeten worden. Het beschermen van persoonlijke gegevens zoals gezondheid, ras of geloofsovertuiging vraagt om een hogere classificatie en betekent dan ook meer technische en/of organisatorische maatregelen.

Effectief samenspel

Organisaties die aan de slag gaan met informatieveiligheid geven dus niet alleen aandacht aan technische maatregelen, maar zorgen ook voor een effectief samenspel tussen de drie belangrijke schakels: mens, techniek en organisatie.

Terecht dat er kamervragen worden gesteld en dat er meer aandacht aan dit complexe onderwerp van informatieveiligheid wordt besteed. Dit geldt overigens niet alleen voor bestuurders en ondernemers, maar ook voor de (MKB) accountant zelf. MKB accountants hebben een voorbeeldfunctie als het gaat om betrouwbare (digitale) dienstverlening. Klanten moeten erop kunnen vertrouwen dat ze veilig online hun administratie kunnen invoeren.

Aan de discussie over de transformatie van (MKB) accountant naar adviseur kan in ieder geval weer een interessant topic en nieuwe uitdaging worden toegevoegd.