1 op de 5 accountantskantoren maakte al een cybersecurity-incident mee, 1 op de 4 verwacht dat zoiets zal gebeuren. Dat blijkt uit de bevraging over het thema gedaan door hr-dienstenbedrijf Acerta onder accountantskantoren, waarvoor het op de medewerking mocht rekenen van 566 respondenten, accountancykantoren groot en klein, verspreid over heel België. Het tweede – de waarschijnlijkheid van slachtoffer te worden –betekent niet dat er geen maatregelen tegen cyberaanvallen worden getroffen, dat gebeurt wel degelijk, zo komt naar voren uit de bevraging. Maar securitymaatregelen zijn geen keuzemenu, wel een en-en verhaal: alle hiaten zouden voor 100% moeten zijn afgedekt. En dan nog … Het mag duidelijk zijn, cybersecurity vraagt een bijzondere expertise, vandaar het advies van Acerta om vooral slim te partneren en de keuze van dit thema op hun laatste Acerta Summit. Trouwens, wie denkt niet groot genoeg te zijn om door cybercriminelen in het vizier te worden genomen, vergist zich: geautomatiseerde aanvallen maken geen onderscheid.
1 op de 5 accountantskantoren
22% van de 566 accountantskantoren die deelnamen aan Acerta’s bevraging over cybersecurity maakte ooit al een cybersecurity-incident mee. Meer dan 1 op de 5 dus. Uit de gerichte bevraging blijkt dat accountants(kantoren) wel degelijk met cybersecurity begaan zijn. In zoverre dat 83% meent te mogen stellen dat het niveau van cybersecurity op kantoor eerder goed tot zeer goed is. Maar, ondanks dat acht 26% het eerder tot zeer waarschijnlijk dat ze binnen de drie jaar slachtoffer zullen worden. De incidenten waarvoor men het meest beducht is, zijn die die ook het meest ruchtbaarheid krijgen: phishing, ransomware, datalekken …
Vergelijk het met brand: ook in een brandveilig gebouw doe je brandoefeningen
Kurt Cuijpers, ICT Director Acerta: “Dat één op de vijf al een probleem van cybersecurity heeft meegemaakt, is best veel maar tegelijk ook geen uitzondering: iedereen krijgt ermee te maken, iedereen moet zich ertegen wapenen. Maar wat het zeker urgent maakt voor deze sector, is dat hier gevoelige, financiële informatie omgaat. Tegelijk zegt een kwart van de bevraagde kantoren ondanks alles nog altijd slachtoffer te kunnen worden, en ook dat is – helaas – een realistische inschatting. Want ook al zet je in op cybersecurity, je moet altijd ook voorbereid zijn op een mogelijk incident. Vergelijk het met brand: natuurlijk maak je dat je bedrijf brandveilig is, maar tegelijk doe je ook brandoefeningen en heb je een brandverzekering voor mocht het toch foutgaan.”
Een goede bescherming = meerdere lagen en geen hiaten
46% van de respondenten/accountants zegt een formeel beleid rond cybersecurity te hebben of heeft dat in ontwikkeling, 42% heeft vaste procedures rond cybersecurity-incidenten (of in ontwikkeling). Ongeveer evenveel kantoren hebben geen van beide. Dat wil niet zeggen dat er geen beschermingsmaatregelen zijn. 82% heeft een antivirus & firewall, 77% heeft back-ups, 62% werkt met strikte toegangsrechten …
Johan Guelluy, CIO – Managing Director ICT Acerta: “Een formeel beleid geeft vooral de maturiteit aan waarmee de problematiek wordt aangepakt en dat zal eerder in grotere kantoren aan de orde zijn. Het betekent evenwel niet dat er in andere en kleinere kantoren niet ook aan bescherming zou worden gedaan. We zien dat de overgrote meerderheid van de kantoren wel degelijk maatregelen treft, maar dan vooral de algemeen bekende: antivirus, back-up …En dan nog is de score daarvan niet 100%, wat
toch zou moeten. Een goede beveiliging is trouwens geen kwestie van of-of, het zou en-en verhaal moeten zijn. Goede beveiliging bestaat altijd uit meerdere lagen. Wat me opvalt in de cijfers is de lage score voor opleiding – zie de laatste lijn. Dat 47% geen security-opleiding voorziet voor de medewerkers is een hiaat in de beschermingsmaatregels en de uitdaging is net om elk gaatje te dichten. Wie denkt dat niet nodig te hebben vergist zich. Geautomatiseerde aanvallen maken geen onderscheid, ook een klein bedrijf of een eenmanszaak kan slachtoffer zijn.”
Slim partneren
4 op de 10 accountantskantoren doet een beroep op een externe cybersecuritydienst, of plant dat te doen (17%). Maar, 3 op de 10 zegt dat niet te doen en dat ook niet van plan te zijn. Terwijl 30% de technische complexiteit van cybersecurity erkent en 27% zegt intern over te weinig expertise te beschikken.
Kurt Cuijpers: “Cybersecurity is inderdaad heel specialistisch. Voor een holistisch beleid heb je expertise nodig. Daar komt bij dat de problematiek de eigen kantoormuren overstijgt. Cybersecurity doe je niet alleen voor jezelf, je doet het voor de volledige keten. In alle aspecten en over de hele ketting zou de service die je aan klanten aanbiedt ‘cybersecure’ moeten zijn. Het is daarom niet meer dan terecht dat cybersecurity een doorslaggevende factor wordt in het selectieproces bij de keuze van partners en dat het wordt opgenomen in samenwerkingscontracten. Voor grote organisaties en cruciale sectoren is daar zelfs Europese wetgeving over. Het is trouwens niet genoeg dat cybersecurity een rol speelt bij de selectie van partners, daarna moet er ook controle zijn: worden de afspraken nageleefd, blijven de systemen up-to-date…? Neem nu artificiële intelligentie, die zal ongetwijfeld ook in de accountancy sector opportuniteiten aandragen. Ook over het gebruik van AI zal dus moeten worden gewaakt of het wel veilig gebeurt. Natuurlijk is het handig dat je AI bijvoorbeeld kan vragen om een contract te vertalen, maar weet wel dat je daarmee de inhoud van dat contract met de hele wereld deelt. Dat besef scherp houden én de regels en standaarden effectief toepassen is niet eenvoudig. Vandaar: slim partneren is de boodschap!
Over de cijfers
De verzamelde, geanonimiseerde gegevens komen van Acerta’s bevraging over het thema cybersecurity gehouden onder Belgische accountantskantoren. De bevraging dateert van januari 2024. 566 respondenten-accountants(kantoren) namen eraan deel, waarvan 77% zaakvoerders en 23% medewerkers. Aangezien de respondenten verschillende groottes van kantoren vertegenwoordigen uit elk van de 11 Belgische provincies, kunnen we stellen dat de antwoorden representatief zijn voor de Belgische realiteit vandaag.