Cindy Wubben (CISO Visma Benelux) roept accountantskantoren op: ‘Steek je kop niet in het zand’

Naast een goede ICT-hygiëne is een sterke digitale veiligheidscultuur op de werkvloer essentieel om cybercriminelen op afstand te houden. “Zorg dat collega’s elkaar onderling scherp houden.” Dat is de boodschap van Cindy Wubben, Chief Information Security Officer bij Visma Benelux.

Als Chief Information Security Officer Benelux is Cindy Wubben sinds 2021 verantwoordelijk voor informatiebeveiliging binnen de Visma Group. Al ruim 15 jaar houdt Wubben zich bezig met security, ze deed ervaring op bij banken en softwareleveranciers. Zo groeide Wubben als het ware mee met de professionalisering van cybersecurity. “Destijds was informatiebeveiliging een IT-issue, tegenwoordig is het een strategisch vraagstuk. Het raakt immers alle processen en medewerkers, de urgentie van informatiebeveiliging is groter dan ooit.”

Delen van kennis is essentieel

In de strijd tegen de groeiende cybercriminaliteit haalt Visma alles uit de kast om zo veilig mogelijke software te leveren en persoonsgegevens te beschermen. Centraal daarbij staat het Visma Security Program dat hoge standaarden naleeft binnen de industrie. Alle bedrijven van Visma – in Nederland zijn dat er nu ruim 40 – moeten aan dit programma voldoen. Wubben: “Als onderdeel van het programma moeten er voortdurend controles worden uitgevoerd om het veiligheidsniveau op peil te houden. Daarbij worden de Visma-bedrijven onderling uitgedaagd om dit zo goed én zo snel mogelijk te doen. De scores worden bijgehouden in de Visma Security Index. De best scorende bedrijven verdienen een golden of platinum-label.”

Sinds 2018 is softwareleverancier PinkWeb onderdeel van Visma. Een bedrijf waar Wubben met trots over spreekt. “PinkWeb is in de accountancysector zeer actief om het bewustzijn over cybersecurity te vergroten. Het team maakt podcasts en publiceert blogs en whitepapers over hoe klanten hun weerbaarheid kunnen vergroten. PinkWeb straalt daarmee autoriteit uit.”

Ook Wubben geeft regelmatig presentaties over cybersecurity, onder meer op de Visma Connected Experience. “Het delen van best practices is essentieel. Als softwareleverancier beschikken we over waardevolle kennis uit onderzoeken, samenwerkingen – met ethische hackers en politie – en ervaringen uit de praktijk.”

Geraffineerd in de val lokken

Het bewustzijn in de accountancysector kan nog wel omhoog, meent Wubben. Ze zijn vooral druk met de dagelijkse gang van zaken.  Ze geeft aan te begrijpen dat cybersecurity voor een klein kantoor lastiger te regelen is. “Hoe pak je het aan als je zelf niet de kennis hebt en ook geen gespecialiseerde IT-mensen in dienst hebt?”. Wubben adviseert kleinere organisaties om op zijn minst kennis op te doen over de issues die spelen en vooral niet de kop in het zand steken. “Mij overkomt dat niet”, hoort ze vaak. Dat is helaas niet zo. Natuurlijk worden de pijlen vaker op specifieke bedrijven gericht. Maar cybercriminelen proberen overal binnen te komen.

Accountantskantoren zijn extra interessant omdat ze over veel vertrouwelijke informatie beschikken, denk aan financiële data of persoonlijke gegevens. Voor online criminelen is het een goudmijn. De gestolen data bieden ze te koop aan op het dark web – een verborgen deel op internet waar illegaal wordt gehandeld. Kwaadwillenden kunnen die informatie aan elkaar knopen en leggen steeds rijkere profielen aan. Zo kunnen ze mensen heel geraffineerd in de val lokken. Cybercriminelen stelen niet alleen data, maar eisen soms losgeld of leggen je kantoor plat.

Verschillende verdedigingslinies

Wubben drukt elk kantoor op het hart: “Zorg dat de basis op orde is. Kies voor goede software en voer nieuwe updates direct uit. Cybercriminelen richten zich met geautomatiseerde software op verschillende bedrijven tegelijk en slaan toe als ze gaten in een IT-systeem vinden. Omdat elk softwareprogramma wel foutjes heeft, worden deze door leveranciers voortdurend met nieuwe updates ‘gepatcht’ ofwel gerepareerd. Soms lukt het ook niet”, weet de Visma-CISO Wubben. “Dat betreffen zogenaamde zero-day-aanvallen. Deze cyberaanvallen richten zich op kwetsbaarheden die nog niet zijn opgemerkt, maar enkel bij cybercriminelen bekend zijn.”

Dan nog hoeft er geen reden tot paniek te zijn. “De software van Visma is namelijk gelaagd, ofwel kent diverse verdedigingslinies. Data liggen daardoor niet direct voor het grijpen, maar zijn goed beschermd.”

Niet nerveus over nieuwe technologieën

Als CISO is Wubben als geen ander op de hoogte van actuele ontwikkelingen. Ze is niet nerveus over de mogelijk grotere dreiging door nieuwe technologieën als ChatGPT. “Ik verwacht dat het nieuwe groepen hackers zal aanspreken om hiermee online schade aan te richten. Maar de technieken – zoals het installeren van malware of ransomware – blijven hetzelfde, daarom hoeft de beveiliging vooralsnog niet anders. De gelaagdheid in onze software volstaat. Uiteraard volgen we de ontwikkelingen binnen het security-team kritisch. Overigens is het voor organisaties wel oppassen geblazen omdat de technieken van social engineering nog beter worden dankzij ChatGPT. Doordat beelden en stemmen makkelijker gemanipuleerd kunnen worden, neemt het gevaar op CEO-fraude toe. Zorg ervoor dat je procedures hebt die ervoor zorgen dat een verzoek om geld over te maken altijd extra wordt gecheckt.”

Creëer een open leercultuur

Wubben benadrukt het belang van een sterke digitale veiligheidscultuur. “Vaak wordt gezegd dat de mens de zwakste schakel is als het gaat om cybersecurity. Maar met de nodige inspanning maak je medewerkers juist tot sterkste schakel.” Hoe je dat voor elkaar krijgt? “Zorg dat een sterke digitale veiligheid breed gedragen wordt. Dat begint bij de directie. Die moet uitstralen dat het thema voortdurend aandacht vraagt. Maar ook op de werkvloer is het goed als alle collega’s zich bewust zijn van de risico’s. En hoe je die beperkt.” Daarbij zou het volgens Wubben goed zijn als er een open leercultuur heerst. “Hier durven collega’s elkaar aan te spreken bij onveilige situaties. Bijvoorbeeld als een collega richting de printer wandelt en een programma open laat staan of wanneer hij een ‘geeltje’ naast zijn scherm met daarop zijn wachtwoord heeft.”

Direct aan de bel trekken

Kantoren kunnen het bewustzijn onder medewerkers vergroten met een awareness-training. Maar die zijn kostbaar, weet Wubben. “Kleinere ondernemers kunnen met een beetje creativiteit zelf een kennisquiz in elkaar zetten. Nodig een cybersecurity-specialist uit voor een presentatie of organiseer een workshop waar collega’s samen veiligheidsproblemen moeten oplossen.”

Sommige bedrijven huren mystery guests in om medewerkers te testen. Soms blijkt dat deze ingehuurde acteurs met een smoes het kantoor kunnen binnenwandelen. Soms lukt het zelfs om toegang tot het bedrijfsnetwerk te krijgen. Wubben is geen groot fan van deze aanpak. “Het is voor medewerkers die de fout ingaan, niet leuk. Die voelen zich voor schut staan. Ik vind het belangrijker dat collega’s fouten mogen maken en elkaar daarop aanspreken.” Dat levert volgens Wubben uiteindelijk meer op. “In een open leercultuur durven medewerkers immers ook aan de bel te trekken als ze zich realiseren dat ze op een verkeerde link hebben gedrukt.” Het niet herkennen van een phishingmail, kan iedereen overkomen, stelt de CISO van Visma gerust. “Je bent niet altijd even scherp. Bovendien, 80 procent van onze werkzaamheden doen we op de automatische piloot. Het is juist daarom essentieel om veilig digitaal gebruik zoveel mogelijk te stimuleren op de werkvloer. Zo hoort het bij de dagelijkse routine en gaat het niveau van informatiebeveiliging omhoog.”