Cyberveiligheid trends voor accountants
Geplaatst op 05-10-2023 in Kennisbank
In de snel evoluerende digitale wereld, staan accountantskantoren voor steeds grotere uitdagingen op het gebied van cyberveiligheid. Zeker met de opkomst van nieuwe AI-technologieën breiden cybercriminelen hun trukendoos verder uit. Als kantoor moet je op de hoogte zijn van de nieuwe trends en uitdagingen om je kantoor te beschermen tegen steeds geavanceerdere cyberdreigingen. In dit blog lees je de trends voor 2023 en de komende jaren.
Accountantskantoren zijn interessante doelwitten voor cybercriminelen, omdat ze beschikken over financiële en persoonlijke gegevens van ondernemers. Kantoren hebben de wettelijke en morele plicht om veilig om te gaan met deze gegevens. Het buitenhouden van cybercriminelen moet een hoge prioriteit hebben voor elk kantoor. In de praktijk blijkt dit niet altijd het geval te zijn. Volgens onderzoek van Sdu en Lupasafe heeft 84% van de accountantskantoren onvoldoende kennis van cyberveiligheid. Dit is zeer verontrustend.
Als je niet op de hoogte bent van belangrijke ontwikkelingen, kan dit ernstige gevolgen hebben zoals financiële verliezen en reputatieschade tot persoonlijke impact zoals identiteitsdiefstal. Kantoren riskeren datalekken en juridische gevolgen, terwijl individuen het slachtoffer kunnen worden van financiële fraude en persoonlijke schade. Om deze uitdagingen het hoofd te bieden en te zorgen voor een solide verdediging tegen cyberaanvallen, is het belangrijk om je voor te bereiden op de nieuwste trends in cyberveiligheid. Wij hebben de trends voor je op een rijtje gezet.
Trend 1. AI verhoogt de cyberveiligheid
Artificial Intelligence kan goed worden ingezet om de informatiebeveiliging te versterken. Met AI kunnen accountantskantoren verdachte activiteiten en potentiële dreigingen in real-time detecteren, automatisch reageren op bekende bedreigingen en zelfs toekomstige aanvalspatronen voorspellen. Dit versterkt niet alleen de beveiliging, maar verhoogt ook de efficiëntie van de bedrijfsprocessen. Door AI-gedreven beveiliging te omarmen, kunnen accountantskantoren gegevens beschermen, kosten verminderen en het vertrouwen van cliënten behouden, terwijl ze tegelijkertijd proactief inspelen op veranderingen in cyberland.
Een ander voordeel van AI is dat het kan helpen om menselijke fouten te verminderen. Vaak leiden menselijke fouten tot kwetsbaarheden in het netwerk of tot onopgemerkte dreigingen. Het gebruik van AI-technologieën verkleint de kans op fouten en versterkt de beveiliging van het netwerk.
Trend 2. Cybercriminelen steeds geraffineerder dankzij AI
De opkomst van nieuwe AI-technologieën hebben een ontzettend grote impact op de digitale wereld. Tools zoals ChatGPT, leiden niet alleen tot interessante kansen, maar brengen ook risico’s met zich mee. Cybercriminelen maken maar wat graag gebruik van de nieuwe AI-tools. Onlangs waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) voor de grotere cybergevaren van AI-technologieën. Een van de zorgen is dat cybercriminelen AI kunnen misbruiken om aanvallen te automatiseren en te verfijnen, waardoor ze moeilijker detecteerbaar worden. Ook kan overmatig vertrouwen op AI-technologieën menselijke betrokkenheid verminderen, wat kan zorgen voor een gebrek aan toezicht en controle over beveiligingsmaatregelen.
Dankzij nieuwe AI-technologieën hebben kwaadwillenden een extra stuk gereedschap in handen om toe te slaan. AI breidt de trukendoos uit. De verwachting is dat cybercriminelen in de toekomst nog vaker aan de digitale poorten van bedrijven zullen rammelen. Zowel grote als kleine bedrijven zullen vaker slachtoffer worden van cybercriminaliteit. Het is nog urgenter om alert te blijven en je te wapenen tegen de grotere cyberrisico’s.
Trend 3. Ransomware in de lift
Een steeds vaker voorkomend fenomeen is ransomware, ofwel gijzelsoftware. Met deze kwaadaardige software versleutelt een hacker de computers of bestanden van een organisatie. Pas als een bedrijf betaalt, kunnen de ICT-systemen weer gebruikt worden, zo is de belofte van criminelen. Vaak telt een klok op het scherm af om te benadrukken hoeveel tijd je nog hebt om geld over te maken. Het is een lucratief verdienmodel, hackers eisen volgens cybersecurity-experts zo’n 3 tot 5 procent van de jaaromzet van een bedrijf. Het advies is om niet te betalen, zo hou je het verdienmodel immers in stand. Toch kiezen bedrijven vaak eieren voor hun geld omdat het alternatief is dat de organisatie enkele dagen uit de lucht is. Ook dat kost een smak geld.
Ransomware-aanvallers hebben tegenwoordig geen IT-kennis of hackingvaardigheden nodig. Op het darkweb kunnen ze eenvoudig via een cryptobetaling een ransomware-pakket aanschaffen. Dat kan net als bij een gewone softwareleverancier middels een abonnementsmodel. Criminelen bieden elkaar Ransomware-as-a-Service en Phising-as-a-Service aan via het darkweb. Dankzij deze Cybercrime-as-a-Service (CaaS) kunnen criminelen zonder enige digitale kennis inbreken en hun slag slaan.
Trend 4. Toename deepfakes door AI video generators
De toename van deepfakes brengt zorgen met zich mee. Deepfakes, door kunstmatige intelligentie gegenereerde synthetische media, zie je online steeds vaker voorbij komen door de opkomst van AI video generators. Ook kan je bijvoorbeeld met HeyGen AI een video in verschillende talen genereren. De techniek wordt steeds vaker door cybercriminelen ingezet voor kwaadwillige doeleinden.
Deze technologie maakt het mogelijk om zeer overtuigende, vervalste video’s of audio te creëren. Een serieuze bedreiging voor accountantskantoren en medewerkers. Het risico bestaat dat cybercriminelen deepfakes zullen gebruiken om financiële of persoonlijke gegevens los te wekken bij kantoren. Bedrijven moeten proactief investeren in geavanceerde detectietechnologieën voor deepfakes en werknemers voorlichten over de risico’s.
Trend 5. Multichannel phishing: nòg overtuigender
Tot voor kort was het duidelijk: phishing kwam voornamelijk via e-mail binnen. In de hedendaagse digitale wereld hebben hackers echter verschillende kanalen in hun arsenaal om medewerkers van organisaties te misleiden. Cybercriminelen gaan verder dan e-mails en creëren valse websites die nauwelijks van legitieme te onderscheiden zijn, waar ze inloggegevens en persoonlijke informatie van gebruikers stelen.
Ook worden nep-accounts op sociale mediaplatformen gebruikt om vertrouwen te wekken bij potentiële slachtoffers, die vervolgens naar phishing-websites worden gelokt om waardevolle gegevens afhandig te maken. Maar ook telefonische phishing neemt toe. De trend is duidelijk: door verschillende communicatiekanalen te benutten, worden phishingpogingen steeds geavanceerder en geloofwaardiger. Het is belangrijk voor kantoren om zich bewust te zijn van deze evoluerende dreigingen en hun medewerkers te trainen in het herkennen van phishingaanvallen.
Trend 6. CEO-fraude: vaak urgente actie
Het begint allemaal met een gewaagd plan: aanvallers geven zich uit voor de hoogste leidinggevenden binnen een bedrijf, zoals de directeur of CEO. Hun doel is helder: collega’s misleiden om financiële transacties uit te voeren of gevoelige bedrijfsinformatie vrij te geven. Deze aanvallers werken vaak volgens een vast patroon. Ze beginnen met grondig onderzoek naar het kantoor en belangrijke sleutelfiguren, waaronder de CEO en andere topmanagers. Gegevens uit openbare bronnen, sociale media en andere toegankelijke informatiebronnen worden zorgvuldig verzameld. Deze aanpak maakt het moeilijk voor medewerkers om de echtheid van de verzoeken in twijfel te trekken, en daarom is het cruciaal voor bedrijven om hun personeel grondig te informeren en trainen over deze geavanceerde dreigingen, om zo bedrijfsfondsen en gegevens te beschermen tegen deze doortrapte aanvallen.
Ook bij PinkWeb is dit door criminelen geprobeerd. Er werden mails aan diverse collega’s verstuurd uit naam van Managing Director Jelmer Nieuwenweg. Hierin werd gevraagd om persoonlijke gegevens zoals privé telefoonnummers, voor contact over een urgente situatie. In een andere situatie zouden in het geheim en met spoed cadeautjes voor alle medewerkers betaald moeten worden. Omdat er goede afspraken zijn en dit soort situaties ook met regelmaat worden besproken, vertrouwden de betreffende medewerkers de e-mails niet.
De e-mails waren in goed Nederlands geschreven en zagen er geloofwaardig uit, maar door alert te zijn op bijvoorbeeld het precieze reply-to-adres, kun je toch achterhalen dat de e-mail waarschijnlijk vals is. Niemand is in deze val getrapt. In plaats van te reageren op de mail, is via de reeds bekende contactgegevens contact gezocht en is een melding gedaan. Hierna zijn ook de andere collega’s ingelicht, om extra alert te zijn. Daarnaast is het security team van Visma ingelicht. Zij verzamelen alle pogingen tot fraude en phishing.
Trend 7. Inbreuk via IoT
Het Internet of Things (IoT) is een opmerkelijke trend op het gebied van cyberveiligheid. IoT verwijst naar de groeiende reeks met internet verbonden apparaten, van slimme thermostaten en beveiligingscamera’s tot aan industriële sensoren. Maar ook eenvoudige producten voor op kantoor zoals smart-lampen. Hoewel IoT de efficiëntie en gemak in ons dagelijks leven vergroot, brengt het ook aanzienlijke veiligheidsuitdagingen met zich mee. Deze apparaten kunnen kwetsbaar zijn voor cyberaanvallen vanwege zwakke beveiligingsprotocollen of onvoldoende beveiligingsupdates. Cybercriminelen kunnen toegang krijgen tot een netwerk via een onbeveiligd IoT-apparaat en vervolgens gevoelige gegevens stelen of het netwerk saboteren. Het is belangrijk om de apparaten tijdig te updaten en te beveiligen met authenticatie.
Trend 8. Meer behoefte aan veiligheid vanuit de ondernemer
Steeds meer klanten van accountantskantoren zijn zich bewust van de dreiging van cybercriminelen. De toename van incidenten heeft het vertrouwen aangetast. Ook worden steeds meer zaken publiekelijk gemaakt. Recent betaalde de KNVB nog losgeld aan cybercriminelen om gegevens te beschermen. Een situatie die veel ondernemers willen voorkomen.
Klanten stellen daarom steeds hogere eisen als het gaat om cyberveiligheid. Ze vertrouwen erop dat kantoren niet alleen financiële diensten leveren, maar ook proactief investeren in cyberbeveiliging. Het mailen van gevoelige informatie is verleden tijd. Ondernemers willen dit het liefst zo veilig én gemakkelijk mogelijk, via een centrale omgeving.
Houd de digitale achterdeur goed dicht
Ondanks de toenemende dreiging, onderschatten veel accountantskantoren de risico’s. De helft van de mkb-bedrijven heeft geen actueel calamiteitenplan klaarliggen en meer dan 80% beschikt over te weinig kennis. Er zijn kantoren waar het onderwerp hoog op de agenda staat, maar er zijn genoeg kantoren die hun kop in het zand steken, en denken: ik ben niet interessant genoeg. Veel ondernemers hebben nu de digitale achterdeur openstaan en zijn een makkelijk doelwit. Zorg dat je niet tot deze groep hoort.
In de whitepaper ‘Blijf cyberrisico’s de baas in het AI-tijdperk’, lees je over de groeiende impact van cybercriminaliteit, hoe je je organisatie weerbaarder maakt tegen cybercriminaliteit en vooral ook hoe je je medewerkers bewust maakt van de risico’s. Hoe maak je van hen de sterkste schakel? En hoe zet je AI in om de informatiebeveiliging naar een hoger niveau te tillen? Download de whitepaper om je kennis te vergroten over cyberveiligheid.