Op 4 november organiseerde Cyber Netwerk Drechtsteden de tweede van een aantal online rondetafelsessies, met als thema Cyber en Accountants & Auditors.
Aan het rondetafelgesprek namen deel: Peter Deege (Drechtsteden Accountants), Steven Verkaart (Hoek en Blok Accountants), Max Platvoet (DRV Accountants&Adviseurs). Wico van Helden en Pieter Kroon waren aanwezig namens Cyber Net Werk Drechtsteden. De techniek werd verzorgd door Edwin van der Lee. Dit is deel twee van het gespreksverslag.
Is cybercrimepreventie de verantwoordelijkheid van de IT-partij?
Steven: “Ondernemers laten zich vaak servicen op het gebied van IT en gaan er dan van uit dat het geregeld is. Maar, hoe weet je als ondernemer dat je omgeving veilig is?” Peter: Ik ben zelf geen IT’ er. Maar zelfs als accountant zonder IT- achtergrond kun je veel risico’s zelf al zien. De mkb-ondernemer heeft de neiging om het de bij IT-leverancier te leggen.”. Steven: “IT is in essentie een functioneel vraagstuk en niet technisch. IT moet je zelf intern organiseren”. Max: “Het strategische stuk kun je eigenlijk niet uitbesteden”. Wico: “Cyber is al snel IT. En IT heeft soms een betrouwbaarheidsimagoprobleem. Dan krijg je al snel zoiets als “Hoe groot is het risico nu helemaal?” Als ik het een IT ’er vraag, dan leidt dat er meestal toe dat er flink geïnvesteerd moet worden. En is het daarmee dan ook opgelost?” Peter: “Een IT-partij zou een mkb-ondernemer moeten ondersteunen”. Steven: “Stel ik een ondernemer de vraag of zijn omgeving veilig is, krijg ik als antwoord: Ja hoor, ze waren hier vorige week en drukten met op het hart dat het in orde is. Stel ik vervolgens de vraag “Heb je 2 factor authenticatie ingeregeld? Is het antwoord: Nee”.
Het gevaar zit zowel van buiten als van binnen
Steven: “Cyberveiligheid heeft betrekking op drie onderwerpen, Mens, Proces en Techniek. 80% van de cyber uitwassen begint bij de mens. Dus bewustwording is heel belangrijk. Ook intern. Denk aan HR-processen e.d., die moet je zelf op orde hebben. De IT-leverancier doet daar niks aan”. Max: Ik heb het meegemaakt dat bij het organiseren van een phishing campagne vanuit IT werd gezegd “Laten we dat maar niet doen, want dan gaan straks alle medewerkers bellen”. Steven: “Als medewerkers Dropbox gebruiken, usb sticks gebruiken, bestanden naar huis mailen enz., dan zijn dat natuurlijk zaken waar de IT-leverancier niets mee te maken heeft in 1e instantie”.
Waar lig ik wakker van?
Max: “Stel jezelf de vraag “Waar lig ik wakker van?” Dat is een prima uitgangspunt. Ga vervolgens uit van: “Wat is het me waard?” Gebruik je boerenverstand en houdt het simpel”. Peter: “Het is toch vaak een kwestie van bewustwording. Het aantal klanten dat ik tegenkom met een computerverzekering is aanzienlijk groter dan klanten met een cyberverzekering. Dat zijn er namelijk heel weinig”. Wico: “Uit de vorige sessie leerden we dat de kans op een cyberincident 1000 keer groter is dan brand. Of liever gezegd, de kans dat je niet een keer het haasje bent is vrijwel nihil”. Peter: “Daar schrik van. Ik was me niet bewust van de kansgrootte (1:8). En dat geldt voor heel veel ondernemers in het mkb, denk ik”. Max: ”Stel je als ondernemer de vraag: Waar raakt cyberveiligheid mijn proces? Wat zijn de consequenties? Je kunt natuurlijk ook gewoon wachten, maar dan is het wel te laat. De uitdaging voor veel ondernemers zit in de stap daarvoor. De bewustwording en het inzien van de noodzaak dat je er geld aan zult moeten uitgeven”.
Meer tips
De deelnemers werden ook dit keer gevraagd naar nuttige tips:
- Zie IT niet alleen als kostenpost, maar als added value
- Laat IT en veiligheidsmaatregelen onderdeel zijn van je totale operatie en zie het niet als apart onderdeel
- Stel je zelf de vraag “Wat is de impact voor mijn bedrijf als er zich een cyberaanval voordoet?”.