Cyberspecialist Auke Zwaan: Waarom financials cyberrisico niet mogen overlaten aan IT’

Cybersecurity wordt nog vaak gezien als een technisch vraagstuk voor IT. Maar de impact van digitale incidenten raakt allang niet meer alleen systemen en infrastructuur. Ransomware kan processen stilleggen, phishing kan leiden tot foutieve betalingen en datalekken kunnen de betrouwbaarheid van rapportages direct onder druk zetten.

Financials moeten digitale risico’s daarom beter leren begrijpen, waarschuwt Auke Zwaan, cybersecurity-expert, ethisch hacker en oprichter van Black Swan Cyber Defense. Voor controllers, accountants, CFO’s en risk professionals is cybersecurity volgens hem geen randonderwerp meer, maar een thema dat raakt aan governance, continuïteit en vertrouwen.

Van fysieke kluis naar digitale roof
Voor Zwaan begint de urgentie van cybersecurity bij een eenvoudig beeld. Banken verkopen vertrouwen, stelt hij. Vroeger was dat iets fysieks. “In de tijd van het Wilde Westen was dat een fysieke aangelegenheid. Als je je cash geld thuis liet liggen of als je over straat ging met al je bezittingen, was de kans groot dat een paar rovers het van je afpakten.”

De oplossing was toen vaak een grote kluis, met bewaking en een organisatie eromheen die mensen het vertrouwen gaf dat hun geld daar veiliger was dan thuis. “De essentie daarvan is niet veranderd, maar het heeft zich wel van het fysieke naar het digitale domein verplaatst. En de rovers daarmee ook.”

Miljoenen hackers die een digitale roof willen plegen
Daar zit voor hem precies het verschil met vroeger. “Waar de rovers vroeger nog fysiek met een paard en een shotgun over de prairie moesten rijden, zijn er op dit moment miljoenen hackers die vanaf hun zolderkamer via internet een poging kunnen doen om zo’n digitale roof te plegen. Dat gaat 24/7 door.”

Door die enorme schaal is cybersecurity niet langer te ontwijken, benadrukt Zwaan. De gevolgen raken veel verder dan IT alleen. “De rovers staan aan de poort, en één misstap kan direct enorme gevolgen hebben voor je klanten, je aandeelhouders en ook de hele organisatie zelf. Reputatie komt te voet en gaat te paard. Toezichthouders weten dit maar al te goed, en ook daarom zie je tegenwoordig steeds meer wetgeving ontstaan waardoor dit niet langer vrijblijvend is. Niet meedoen is dus geen optie meer”, maakt hij duidelijk.

De grootste kwetsbaarheid zit dichterbij dan gedacht
Wie denkt dat de grootste cyberkwetsbaarheden vooral in de techniek zitten, kijkt te ver van de praktijk af, aldus Zwaan. Hackers zoeken altijd naar een zo groot mogelijke impact met zo weinig mogelijk moeite, legt hij uit.

“Specifiek in finance zijn dat vaak de systemen waarin grote klantbestanden staan, waar boekhouding geregeld wordt of waar transacties overheen gaan. Wat ik echter veel tegenkom is dat juist de mensen die dagelijks met dit soort systemen werken denken dat cybersecurity wel wordt geregeld door de IT-afdeling.”

Onmogelijk om alles te detecteren
Dat de IT het probleem oplost is volgens Zwaan maar deels waar. Natuurlijk heeft IT daarin een grote rol, maar het is onmogelijk om alles te detecteren. “Deze medewerkers zouden de modus operandi van een aanvaller op hun duimpje moeten kennen om zo een cyberaanval direct te herkennen, en te weten hoe en waar ze die moeten melden. Zij zijn de ogen en oren van de organisatie.”

In veel organisaties ligt cybersecurity formeel bij IT, terwijl finance verantwoordelijk is voor betrouwbare informatie, interne beheersing en continuïteit. Die spanning neemt Zwaan in de praktijk vaak waar. Hij grijpt daarbij terug op zijn tijd als ethisch hacker bij een bank. “Ik zei altijd: ‘Ik weet hoe ik een bank moet hacken, maar ik weet niet hoe jouw IT-systeem werkt.’  Daarmee bedoelde ik dat een gebruiker van een systeem vaak veel beter is in het herkennen van kleine afwijkingen, of gekke dingen in dit soort systemen.”

Samen de hacking-pet opzetten
Daarom nodigde hij medewerkers regelmatig uit om samen mee te denken over de vraag hoe een hacker specifiek hun systeem of hun collega’s aan zou vallen. “Door samen die ‘hacking-pet’ op te zetten, konden we veel beter nadenken over reële risico’s, en bracht ik deze twee werelden bij elkaar.”

De kern van de regierol van finance is niet het beheersen van alle techniek, maar het herkennen van kwetsbaarheden en afwijkingen. “Als zij zorgden dat ze hun systeem goed in de gaten hielden, konden ze ook ons bellen als ze er iets geks in zagen gebeuren. Daar kan geen detectiesysteem tegenop.”

Cyberweerbaarheid begint niet altijd bij complexe technologie
Een van de belangrijkste lessen die Zwaan meegeeft, is dat cyberweerbaarheid niet altijd begint bij complexe technologie. Soms kunnen juist eenvoudige maatregelen het leven van een hacker heel moeilijk maken. “Dat is waarom ik altijd een hack uitleg ‘van A tot Z’,” zegt hij. “Ik ben ervan overtuigd dat als je de stappen begrijpt die een hacker moet zetten om tot zijn doel te komen, je ook kunt bedenken wat de complete hack onmogelijk zou maken.”

Hij noemt het voorbeeld van Office-macro’s, die in finance jarenlang veel werden gebruikt. Cyberaanvallers maakten daar gretig gebruik van door een kwaadaardig stukje code, een macro, toe te voegen aan een Word- of Excel-bestand en mensen vervolgens zo ver te krijgen dat ze die uitvoerden.

De hele organisatie uitzetten met één klik
“Macro’s zijn voor de hele organisatie uit te zetten met één klik, maar dat vraagt wel om leiderschap dat daarvoor durft te kiezen en naar alternatieven zoekt. Ook als medewerkers zeggen dat ze anders hun werk niet goed meer kunnen doen.”

Een ander voorbeeld is het least privilege principle. “Is het slim om alle nieuwe medewerkers direct alle rechten te geven in je ERP-systeem? Waarschijnlijk niet. IT zorgt ervoor dat er rechten zijn die uitgegeven kunnen worden aan medewerkers, maar als jij die rechten vanuit de business aan iedereen geeft, heeft een hacker vrij spel.”

Soms harde maatregelen nemen
“En zo kan ik nog wel even doorgaan”, zegt hij. “Waar het op neerkomt is dat cybersecurity echt een samenspel is van IT en business, en dat door het bestuur soms harde maatregelen genomen moeten worden om hackers buiten de deur te houden en zo de continuïteit van de organisatie te waarborgen.”

Aanvallers die ransomware gebruiken om systemen te versleutelen, zoeken altijd naar maximale impact. Hoe meer ze kunnen versleutelen, hoe meer geld ze kunnen vragen, omdat ze het bedrijf zo lam kunnen leggen. De casus die Zwaan in deze context zelf het meest aan het denken zette, is de aanval op Kaseya, leverancier van IT-beheersoftware en cybersecurity-oplossingen.

Nog nooit kwam supply chain risk zo tot uiting
“Toen hackers in 2021 Kaseya aanvielen en daarmee in één keer software konden overnemen die IT-leveranciers gebruiken om de IT-infrastructuur van hun klanten te beheren, opende dat mijn ogen. Nog nooit was voor mij zo duidelijk hoe supply chain risk tot uiting kan komen.”

Ook vijf jaar later is dat risico in zijn ogen nog altijd onderschat. “Ik denk dat we met zijn allen nog wel eens vergeten wat de impact kan zijn als bijvoorbeeld een grote ERP-leverancier zodanig aangevallen wordt dat hackers in alle klantsystemen kunnen meekijken.”

Lees ook: Grip op datakwaliteit en AI-agenten: waarom finance nu moet opstaan

Cyberrisico raakt direct de financiële functie

Ransomware, phishing en datalekken raken direct de continuïteit en betrouwbaarheid van financiële informatie. In de eendaagse training Cybersecurity en hacking voor financials leer je denken als een hacker, zodat je cyberdreigingen sneller herkent en bespreekbaar maakt. Essentieel voor risicobeoordeling, controle en advisering.

Bekijk het programma | Meld je direct aan

Dit artikel verscheen eerder bij Sijthoff Accountants Academy, onderdeel van Sijthoff.