De cyberbeveiligingsgids van een accountant

Het cliché van 'voorkomen is beter dan genezen' geldt absoluut voor accountantskantoorbeveiliging. Vraag het de beveiligingsprofessionals van Deloitte Touche Tohmatsu Ltd. maar, die het nog duizelt van een aanval eind september, waarvan de reikwijdte nog onbekend is. De hackers die het gemunt hadden op Deloitte, konden toegang krijgen tot de Microsoft Entra ID (Azure)-cloud omdat de account slechts beschermd werd met een enkel, zwak wachtwoord zonder twee-factor-authenticatie.

Eenvoudige maatregelen die accountants kunnen treffen om de cyberbeveiliging te maximaliseren

Boekhoudkundige computersystemen barsten van de informatie waarop aanvallers het hebben gemunt. Gelukkig kunt u de meerderheid van deze aanvallen voorkomen met een paar eenvoudige maatregelen. Volg deze gids voor makkelijke manieren waarop een wachtwoordbeheerder en veilige digitale kluis vergelijkbare gegevenslekken kunnen voorkomen. Uw klanten zijn u er dankbaar voor.

1 Streng wachtwoordbeleid afdwingen

Hoewel de meeste boekhoudkundige softwareproducten ontworpen zijn om redelijk veilig te zijn, kan regulering van veilige toegang in gebruikershanden al snel de zwakste beveiligingsschakel worden. Het is uitermate belangrijk dat alles met vertrouwelijke gegevens beschermd wordt door een sterk wachtwoord. Een wachtwoordbeheer, zoals Keeper's toonaangevende wachtwoordbeheerder en digitale kluis, kan automatisch supersterke, willekeurige wachtwoorden maken die vrijwel niet te hacken zijn.

Met een wachtwoordbeheerder kunnen beheerders een complex wachtwoord toewijzen aan een medewerker zonder dat de medewerker de tekens van dat wachtwoord te zien krijgt. De medewerker kan zich vervolgens aanmelden bij webservices zonder ooit in de verleiding te worden gebracht om het wachtwoord op te schrijven of het te delen met een andere medewerker. Daarnaast kunt u, als een medewerker uw organisatie verlaat, de wachtwoordrecord eenvoudig verwijderen of wijzigen.

2 Verhoog de beveiliging van uw documenten

Net als in de meeste branches hebben accountantskantoren hun documenten online gezet om meer snelheid, efficiëntie en gemak te bereiken. Het verschil is dat accountants toegang hebben tot sterk vertrouwelijke klantgegevens. Vaak worden documenten met beveiligde gegevens gedownload en lokaal opgeslagen als eenvoudige, onbeschermde tekstbestanden. Ze worden ook intern gedeeld en met klanten via e-mail, wat notoir onveilig is. Gecombineerd zorgen dergelijke praktijken ervoor dat vertrouwelijke gegevens voor het grijpen liggen voor hackers.

Een veel veiligere methode is om bestanden te delen binnen de begrenzing van Keeper’s versleutelde kluis. Bij het delen van vertrouwelijke informatie, intern of met een externe klant, kunt u het bestand in de veilige digitale kluis plaatsen en de versleutelde record delen met iedereen met een gratis Keeper-account.

3 Breid de beveiligingsmaatregelen uit naar apparaten in het bezit van werknemers

Met de opkomst van BYOD-beleidsregels en de infiltratie van smartphones en tablets voor zakelijk gebruik, moeten accountantskantoren ervoor zorgen dat het mobiele apparaat van hun medewerkers de cyberbeveiliging niet verzwakt. Hoewel ontzettend handig, kunnen zonder de juiste beveiligingsmaatregelen apparaten van medewerkers een problematische toegang vormen tot de gegevens van uw klanten. Dit is een groeiprobleem, zoals geïllustreerd door het rapport De status van cyberbeveiliging in het MKB in 2018 volgens The Ponemon Institute, waarin wordt aangetoond dat 50% van de gegevens van kleine bedrijven toegankelijk is via een smartphone.

Accountantsfirma's zouden nooit vertrouwelijke informatie moeten laden of hosten op een mobiel apparaat, tenzij deze wordt beschermd door twee-factor-authenticatie. Omdat het zo handig is, gebruiken veel mensen een eenvoudige code, patroonherkenning of biometrische bescherming. Onderzoek heeft aangetoond dat codes en patronen kunnen worden geraden door menselijke of video-observatie, en dat zelfs gezichts- en vingerafdrukherkenningssystemen geen absolute bescherming bieden. Er is minimaal een combinatie van de twee nodig om een mobiel apparaat goed te beschermen. Keeper DNA^® is ontwikkeld als verbeterde twee-factor-authenticatie om de benodigde apparaatbeveiliging toe te voegen en is in alle mobiele Keeper-toepassingen geïmplementeerd.

Meer info over het gebruik van Keeper-wachtwoordbeheerder en veilige digitale kluis

• Neem een gratis proefabonnement op Keeper's wachtwoordbeheerder en digitale kluis voor bedrijven
• De toekomst van boekhoudkundige technologie - innovatieve cyberbeveiligingsoplossingen leveren: SlideShare
• Exclusief onderzoeksrapport: de status van cyberbeveiliging in het MKB in 2018
• Lees hoe Keeper financiële dienstverleningsbedrijven in het verleden heeft geholpen: case-study

4 Verhoog de beveiliging van uw documenten

E-mail is een groot en kwetsbaar punt. Zoals eerder vermeld, moeten accountants geen e-mail gebruiken om klanten hun aangiften of andere documenten te sturen, maar deze in plaats daarvan delen vanuit een veilige, versleutelde kluis. Het is evenzo belangrijk om ervoor te zorgen dat uw kantoorpersoneel waakzaam is op phishing-aanvallen, in het bijzonder spear-phishing, gericht op specifieke individuen. Accountants zijn primaire doelwitten vanwege de waarde van de informatie die ze bezitten. Sluwe spear-phishers zijn zulke goede misleiders, dat hun e-mails vrijwel onmogelijk te detecteren zijn. Leer collega's om goed te kijken naar het e-mailadres van herkomst en nooit op een koppeling te klikken, tenzij ze zeker weten waar ze terecht komen.

Door alle aanmeldingsgegevens van medewerkers op te slaan in een wachtwoordbeheerder, vallen medewerkers minder vaak ten prooi aan phishing-praktijken. Ze hebben de gewoonte om zich alleen aan te melden via de URL en verborgen wachtwoorden. Wanneer medewerkers de daadwerkelijke wachtwoorden niet kennen, kunnen ze ook niet in de verleiding komen om deze in te voeren op een phishing-site of e-mail.

5 Werk op afstand, werk slim

Op afstand werken is dramatisch toegenomen in alle branches. Of u nu vanuit huis werkt, reist voor zaken of e-mail checkt terwijl u onderweg bent, van medewerkers wordt verwacht dat ze blijven werken ongeacht de locatie. Hoewel werken onderweg meer flexibiliteit biedt, zijn er ook meer kansen op gegevenslekken.

Accountants moeten nooit openbare wifi-diensten gebruiken voor de toegang tot of uitwisseling van vertrouwelijke gegevens. Hackers kunnen eenvoudig toegang krijgen tot openbare datastreams en gegevens onderscheppen die worden uitgewisseld in platte tekst. Als u een openbare computer wilt gebruiken, kunt u het best investeren in VPN-software voor end-to-end-versleuteling, of ervoor zorgen dat alle gegevens die worden uitgewisseld binnen de versleutelde kluis blijven.

Om welke informatie kiezen hackers accountants als doelwit?

Accountants hebben een speciale ereplek in de hackercommunity. Ze zijn gebrand op het soort informatie dat de hoogste premies oplevert op het dark web van gestolen gegevens. Daardoor zijn het primaire doelwitten voor allerlei soorten cyberdieven. Ze zijn ook bijzonder kwetsbaar voor schade bij aanvallen. Klanten vertrouwen hun accountants als behoeders van sterk vertrouwelijke informatie. Een lek kan verwoestend zijn voor de reputatie van een accountantsfirma.

De computersystemen van accountants barsten van de informatie waar aanvallers op azen, waaronder:

Burgerservicenummers van klanten

Cybercriminelen kunnen deze informatie gebruiken om een keur aan fraude- en identiteitsroofkansen te ontgrendelen. Dit is inclusief creditcards gebruiken met gestolen identiteiten en bankrekeningen en medische dossiers compromitteren via social engineering. Zodra aanvallers een burgerservicenummer te pakken hebben, zijn ze al halverwege het verstoren van hun leven.

Adres, telefoonnummer en geboortedatum

En daarnaast alle standaardvelden op een inkomstenbelastingformulier, daar hebben aanvallers genoeg aan om valse rekeningen te maken en bestaande te kapen.

Namen van eega's, kinderen, werkplekken en jaarlijkse inkomsten

Ook handig voor identiteitsfraude, want namen van eega's en straatnamen kunnen worden gebruikt om beveiligingsbarrières te omzeilen, zoals lastige vragen. Samen met de andere privégegevens hierboven, kunnen aanvallers mogelijk vertegenwoordigers om de tuin leiden en toegang krijgen tot financiële accounts.

Medische dossiers

Zorgverzekeringspolissen en medische recepten bevatten een keur aan gegevens die hackers kunnen gebruiken voor verzekerings- en medicijnfraude. Het is zelfs zo dat medische dossiers momenteel de hoofdprijs opleveren op het gebied van gestolen informatie-uitwisseling.

Werkgeversinformatie

Criminelen met toegang tot identificatienummers van medewerkers, salarisgegevens en contactnamen van de boekhoudafdeling in een organisatie, kunnen frauduleuze onkostenrapporten indienen, evenals facturen en verzekeringsclaims.

Financiële dossiers

Financiële belastingdocumenten die klanten aan hun accountants verstrekken, bevatten vaak rekeningnummers. Belastingbetalers delen ook vaak betaalbewijzen met creditcardinformatie. Die kunnen worden gebruikt voor cheque- en creditcardfraude, of voor toegang tot rekeningen via social engineering.

E-mailadressen

Gewapend met een bankrekening en een e-mailadres, is een hacker in staat om online bank- en aandelenrekeningen te kapen via een eenvoudig 'wachtwoord vergeten'-proces. E-mailadressen kunnen ook gespoofed worden, waardoor criminelen realistisch uitziende berichten kunnen sturen aan anderen die afkomstig lijken te zijn van een legitieme afzender.