Op woensdag 13 oktober 2021 heeft de bijeenkomst "Cybersecurity toegepast op uw kantoor", georganiseerd door DOCCO en GBNED,  plaatsgevonden te Expo Hoevelaken. Onderstaand zijn enkele presentaties van sprekers beschikbaar.  

Trends en ontwikkelingen op het gebied van informatiebeveiliging en privacy
Erik Rutkens, voorzitter Stichting Cyber Security Centrum Noord-Nederland en oprichter/eigenaar van Zerocopter. Met meer dan 20 jaar ervaring in cybersecurity weet Erik als geen ander welke nieuwe bedreigingen zich voordoen en wat organisaties kunnen doen om hun digitale weerbaarheid te vergroten. Hij spreekt en schrijft regelmatig over trends in cybersecurity, nieuwe ontwikkelingen en wet- en regelgeving op het gebied van cybersecurity en the Internet of Things. Erik studeerde bedrijfskunde aan de Rijksuniversiteit Groningen. Met passie en overtuiging maakt Erik ons duidelijk waarom we goede hackers moeten omarmen.

Erik ging in zijn presentatie in op een aantal belangrijke trends en ontwikkelingen op het gebied van informatiebeveiliging en privacy. Denk aan de snelle verschuiving van criminaliteit van de fysieke naar de digitale wereld en de snelst groeiende vorm van criminaliteit: ransomware. Erik ging hierbij in op actuele voorbeelden. Ook CEO-fraude en phishing kwamen aan de orde. Vervolgens ging Erik in op de risico's van Internet of Things (IoT). Hij maakte dit concreet met live demo's. Software zit in alle dingen en moet goed zijn beveiligd. Iedereen moet een beetje denken als hacker. Hacken is niet moeilijk: met een investering van nog geen €200 kun je je carrière als cyber crimineel kick-starten. Erik liet dit zien met een aantal 'hands-on' demo's. Erik stond ook stil bij de risico’s en gevolgen van de trends en ontwikkelingen.voor de accountancy en sloot af met een aantal praktische tips.

Uitgelicht uit de presentatie:

• 10% van de cybercrime gevallen wordt aangegeven. Van de aangegeven gevallen wordt 10% opgelost.
• Elke 10 seconden wordt een bedrijf getrokken door een Ramsomware aanval.
• Hacking vindt veelal plaats op basis van pishing mail, kraken van wachtwoorden en kwetsbaarheden in software. Dit laatste is het meest gebruikt.
• MKB'ers gaan voor advies naar hun verzekeraar in plaats van hun accountant.
• 70% van de aanvallen is gericht op het MKB. Veel MKB-bedrijven overleven dat niet.
• Een elektronische auto is "Software op wielen". houdt hier rekening mee als bezitter van een dergelijke auto,

Opvragen presentatie (PDF).

Als accountants- en administratiekantoor grip krijgen op informatiebeveiliging in de praktijk
Reindert Doorn is medeoprichter van DOCCO en leidt digitale transformaties bij accountantskantoren. Hij is daarbij jarenlang actief in het adviseren van kantoren in privacy- en securityvraagstukken en betrokken bij trainen van meer dan 1.200 kantoren op dit vlak. Als (interim) CISO begeleid hij sinds kort kantoren bij het ‘in control raken’ door bijvoorbeeld de inzet van security frameworks.

Is het niet bijzonder dat je als kantoor grip probeert te houden op financiële gegevens, continuïteit en hier allerlei planning- en rapportagestructuren voor hebt, maar als het gaat om informatiebeveiliging het vaak aan beheersing ontbreekt?

Reindert nam de aanwezigen in zijn presentatie mee waarom accountants hier prima toe in staat zijn en deelde ontbrekende kennis die je als accountants nodig hebt om je kantoor en je klanten te voorzien van een beheersmatige aanpak. Dit resulteert in een betere -holistische- risicobeheersing en vermindert de kans dat op incidenten. Het is ook dé opstap naar bijvoorbeeld een ISO-certificering als kantoor.

Uitgelicht uit de presentatie:

• We doen maar wat in de praktijk als het gaat om cybersecurity.
• Een risicogerichte aanpak is van belang; eerst de grootste risico's in beeld brengen en dan maatregelen treffen.
• Een Information Security Management Systeem (ISMS) is van belang. DOCCO werkt aan een light versie voor de accountancy.
• Wie houdt periodiek een cybersecurity oefening? Dus testen.

Opvragen presentatie (PDF).

Waarom de brancheorganisaties cybersecurity nu op #1 zetten
Informatiebeveiliging, cyber security en AVG zijn voor veel accountants abstracte en ongrijpbare onderwerpen. Ze hebben het imago geen directe bijdrage te leveren aan de kwaliteit van de dienstverlening van het kantoor. In de praktijk worden ze daardoor vaak beschouwd als een bijzaak, een hinderlijke drempel of een separaat traject wat wordt overgelaten aan de (externe) IT-manager.

De digitale weerbaarheid van accountantskantoren staat echter onder druk door een toenemende complexiteit en connectiviteit in het IT-landschap, nieuwe ontwikkelingen en door te weinig aandacht voor digitale veiligheid bij nieuwe, innovatieve projecten. Om de digitale weerbaarheid van het kantoor te vergroten, is het van belang dat de juiste maatregelen worden getroffen. Dit gaat verder dan alleen techniek. Het gaat ook over het vergroten van het bewustzijn van de medewerkers en is bovendien een doorlopend proces. Het ontbreken van een helder beleid en aandacht voor informatiebeveiliging leidt ertoe dat gebruikers zijn zich onvoldoende bewust zijn van de risico’s en zich daardoor (onbewust) niet veilig gedragen. Of u nu aan het begin staat met het invoeren van maatregelen, of juist al vergevorderd bent: stilstaan is geen optie.

Oktober is cybersecuritymaand met dit jaar als thema: Aan de slag! Dus… waarmee gaat u aan de slag?

Tony van Oorschot is informatiemanager en privacy- en security officer bij SRA. SRA is ook partner van het Digital Trust Center. Mede in deze hoedanigheid nam Tony de deelnemers mee in de nodige ontwikkelingen en gaf daarbij de nodige handvatten.

Uitgelicht uit de presentatie:

• Tony beveelt 2 interessante boeken aan, te weten:
  1. "Ik weet je wachtwoord", door Daniël Verlaan met waargebeurde verhalen over de duistere kant van het internet.
  2. "Het is oorlog maar niemand die het ziet", door Huib Modderkolk.
• Multi Factor Authenticatie (MFA) is momenteel een belangrijk thema.
• Ga vooraf na wat kritische processen zijn als bijvoorbeeld een ramsomware aanval plaatsvindt. Denk aan verloningen en fiscala aangfiftes, 
• Wie heeft binnen de organisatie de reacties op Pishing mails laten testen?

Opvragen presentatie (PDF).

Ontwikkelingen rondom eIDAS (digitale identiteit) en de toekomst van digitaal ondertekenen
Veel accountants zijn bekend met de term PKIoverheid en gebruiken vaak ook al één of meerdere PKIoverheid certificaten. Toch bestaat er veel onduidelijkheid over het toepassingsgebied van de verschillende certificaten. Welke zijn geschikt voor authenticatie, welke voor versleuteling en welke voor een elektronische handtekening. En wat is het verschil tussen een persoonlijk organisatie certificaat en een beroepscertificaat? En ondertekent elke ‘burger’ straks ook met een certificaat?

In deze presentatie gaf Tom van Bolhuis, PKIsigning, expert op het gebied van digitaal ondertekenen, antwoord op de bovenstaande vragen én ging hij verder in op de wet- en regelgeving rondom de verschillende niveaus van digitale handtekeningen en welke zekerheid je daarvan mag verwachten. Hij legde de deelnemers uit waarom er een toenemende vraag is naar (meer) waarborgen en wat dit betekent voor de nabije toekomst.

Uitgelicht uit de presentie:

• Behoefte aan overkoepelend beleid en afspraken om verwarring te voorkomen.
• eIDAS in 2016 als verordening ingevoerd en met een aanpassingswet in 2018 in NL burgerlijk wetboek opgenomen.
• Drie betrouwbaarheidsniveaus:
  1. Low; geen identiteitscontrole.
  2. Substantial; Identiteitscontrole a.d.h.v. één of meerdere persoonsgegevens.
  3. High; Fysieke identiteitscontrole of soortgelijk.

Opvragen presentatie (PDF).