In december 2019 heeft de AFM Principes voor Informatiebeveiliging gepubliceerd met handvaten voor onder andere de beroepsgroep accountants. Veel accountantskantoren hebben in het kader van wetgeving zoals de AVG al passende maatregelen getroffen om de continuïteit en betrouwbaarheid van IT te waarborgen. Maar de AFM ziet nog ruimte voor verbetering. Dat het goed mis kan gaan als de informatiebeveiliging niet goed op orde is, is ook te zien in de cyber-aanval op (de geautomatiseerde systemen van) Universiteit Maastricht. Je zou als student maar denken dat je nog even gaat knallen in de kerstvakantie, voor de studie dan, niet met champagne of misschien wel voor de laatste keer vuurwerk. Het valt dan toch een beetje tegen als je niet bij je data kunt.
Nu lijkt een cyber-aanval op Universiteit Maastricht misschien een ver-van-mijn-bed-show, maar het is toch goed om jezelf eens de vraag te stellen hoe goed je je eigen persoonlijke cq zakelijke data beschermt. Gebruik je vrij simpele wachtwoorden, dan maak je het hackers ook gemakkelijk om bij jou een succesvolle cyberaanval te doen. Naar aanleiding van de berichtgeving over Universiteit Maastricht stuurde onze IT-verantwoordelijke binnen V&A een link naar https://laatjeniethackmaken.nl. Wellicht is het voor jou net zo zinvol als het voor mij was om daar even op te gaan kijken.
Het is een interessante website met goede tips en alles wordt er duidelijk uitgelegd. Het is echter wel een heel verhaal (11.000 woorden). Vanwege het busy season maak ik het wat gemakkelijker voor je en geef ik je een kleine samenvatting met de belangrijkste punten. Het is belangrijk dat de accountant zijn of haar klanten wijst op de gevaren van het onvoldoende aandacht besteden aan informatiebeveiliging, maar wij (of we nu een accountantskantoor runnen of dienstverlener zijn aan accountants) moeten zeker ook naar ons zelf kijken en onze eigen data en data van onze klanten voor zover we die onder beheer hebben, goed beschermen.
De open deur
De open deuren zal ik ook meer even noemen, want ik heb helaas gezien dat het hier ook nogal weleens fout gaat. Het begint allemaal bij mensen. De AFM adviseert dan ook om goed te kijken naar de cultuur in de organisatie. Laat bijvoorbeeld geen laptop of telefoon onbeheerd achter in je auto en zorg dat deze apparaten beveiligd zijn met een wachtwoord. Ook fysieke beveiliging wordt door de AFM als een belangrijk punt gezien. Als je alleen bij een klant zit, vergrendel dan je laptop, ook als je alleen even iets gaat navragen bij de controller. Steek niet zomaar USB sticks in je computer, maar denk na van wie je de stick krijgt en waarom. Zorg dat je apparaten zoals een telefoon, tablet of laptop regelmatig een update krijgen (of stel in dat dit automatisch gedaan wordt) en installeer een virusscanner.
Krijg je een link toegestuurd, open deze dan niet zomaar, ook als het van een collega afkomstig lijkt. Controleer de afzender en kijk of de link betrouwbaar is. Een mail van bankpas.abnamro.com is waarschijnlijk niet daadwerkelijk van de ABN AMRO bank afkomstig. Maak nooit zomaar geld over, ook niet naar een bekende, maar bel eerst naar die persoon. Dit vanwege de whatsapp fraude die de laatste tijd vaak opduikt.
Wifi
Wifi is super handig, hard nodig en op steeds meer plekken gratis beschikbaar. Scheelt weer in de omvang van de databundel die je nodig hebt. Maar ook heel fijn voor hackers. Via die (gratis en onbeveiligde) wifi kan een hacker relatief makkelijk meekijken met wat jij aan het doen bent. Als op jouw apparaat de wifiverbindingen zo zijn ingesteld dat deze automatisch verbindt met bepaalde netwerken is dit ook een risico. Een hacker kan een vals netwerk maken, bijvoorbeeld “wifi in de trein” waardoor jouw telefoon zich automatisch verbindt met het netwerk van de hacker en de hacker gemakkelijk bij jouw gegevens kan.
Een aantal tips om slim om te gaan met vreemde wifi’s:
- Stel van deze netwerken in dat je er niet automatisch verbinding mee maakt; op die manier kan je zelf beslissen dat verbinding maken met “wifi in de trein” niet zo handig is midden op de Veluwe;
- Doe geen bankzaken e.d. via zo’n verbinding maar via je eigen thuis wifi of gebruik je eigen databundel;
- Verwijder oude wifi’s (moet je echt nog de wifi onthouden van dat ene hotel in Spanje?)
- Moet je werken aan vertrouwelijke gegevens op een laptop en is er geen betrouwbare wifi, maak dan een hotspot aan via je telefoon.
Wachtwoorden
Het is gemakkelijk een zelfde wachtwoord voor meerdere websites te gebruiken. Gemakkelijk want je kunt ze onthouden, maar ook gemakkelijk voor hackers. Regelmatig wijzigen van wachtwoorden is belangrijk zorg dat de wachtwoorden voldoende lang en complex zijn. Dus zorg ervoor dat je voor elke website een uniek wachtwoord hebt met daarin letters, cijfers, hoofdletters en leestekens. Zorg ervoor dat wachtwoorden ook niet op elkaar lijken. Bij de bank als wachtwoord Welkom01 en bij Facebook Welkom02 is niet zo veilig. En denk ook aan een complex wachtwoord in plaats van alleen een lang wachtwoord.
Al deze wachtwoorden moet je natuurlijk wel onthouden, je kunt deze dan opschrijven of in een bestand op je computer zetten, maar hierdoor kunnen kwaadwillenden er nog steeds bij. Een oplossing hiervoor is een password manager. Op www.laatjeniethackmaken.nl staat dit als volgt omschreven: “Een password manager stopt al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Je hoeft dan voortaan maar één wachtwoord te onthouden om toegang te krijgen tot al je accounts. Ook kunnen deze apps automatisch heel ingewikkelde wachtwoorden maken, zoals 6ur7qvsZpb0ZkcuSW1u!V8ng!L^lb, en die vervolgens opslaan. Zulke wachtwoorden zijn vrijwel niet te kraken of raden.” Er zijn zowel gratis als betaalde aanbieders. Heb je hier interesse in, kijk dan even welke voor jou goed werkt. Dit is onder andere afhankelijk van het besturingssysteem. Op laatjeniethackmaken staat een aantal betrouwbare voorbeelden.
Back-ups
Voorkomen is beter dan genezen, maar als het dan toch mis gaat kun je maar beter een back-up hebben. Dit kan digitaal via bijvoorbeeld OneDrive of ouderwets offline via een externe harde schijf. Het grote voordeel van een digitale back-up is de je gegevens overal en altijd beschikbaar zijn een nadeel is dan dat deze weer te hacken zijn. Een aantal jaar geleden was de Icloud van diverse sterren gehackt en waren er privé foto’s in de media gekomen. Let dus op bij welke partij je digitale gegevens opslaat.
Een externe harde schijf hacken die niet aan een computer verbonden is, is (voor zover ik weet) onmogelijk. Maar een eventueel virus op de computer kan wel op een externe harde schijf terecht komen. Daarnaast is er een risico van het fysiek verliezen van de harde schijf. Bij brand of diefstal ben je alsnog je gegevens kwijt.
Kijk dus bij een back-up naar wat voor jou het beste werkt, of gebruik een combinatie van meerdere opties. De AFM voegt hieraan toe dat het belangrijk is om ook te kijken hoe het zit met externe partijen waar je gebruik van maakt. Denk aan online boekhoudsoftware. Heeft dit bedrijf zijn informatiebeveiliging op orde? Hoe waarborgen zij de continuïteit en betrouwbaarheid van de gegevens?
Tot slot
Wees niet naïef, denk niet dat het jou niet overkomt. Grotere bedrijven worden steeds beter beveiligd en de aandacht van kwaadwillende hackers verlegt zich steeds meer naar gemakkelijkere doelwitten zoals kleine en middelgrote bedrijven en particulieren. 100 keer € 1.000,- buitmaken is nog steeds lekker snel en makkelijk verdiend. Blijf je gezonde verstand gebruiken als je gebruik maakt van internet en wees niet te goed van vertrouwen.
Ik wens je graag een cyber-veilig 2020.
11 februari 2020
Vera Bik MSc. RA
