Een interview met Jacob Kiers, Security Engineer bij Yuki, over cybersecurity en het belang van veilige data. Dit verscheen eerder bij Yuki.
Onze online data? Die beveiligen we vaak minder goed dan onze fysieke eigendommen. Dat is zonde. Het is namelijk van cruciaal belang om deze goudmijn aan data te beschermen. En dat geldt niet alleen voor je persoonlijke gegevens, maar ook voor je financiële. Een veilig boekhoudprogramma kan jou hier enorm bij helpen. Wij gingen het gesprek aan met Jacob Kiers, Security Engineer bij Yuki, over de evolutie van cybersecurity, de hoge veiligheidseisen van Yuki en de manieren waarop je jouw data nóg beter kunt beveiligen. Ben je benieuwd naar Jacobs bevindingen, tips & tricks?
Een goudmijn aan data
Het klinkt onheilspellend, maar cyberdreigingen evolueren voortdurend. Hackers zijn immers innovatief, gebruiken de laatste technologieën en ontwikkelen steeds meer geavanceerde methoden om toegang te krijgen tot jouw gevoelige gegevens. En accountantskantoren? Met een uitgebreid klantenbestand? En een enorme hoeveelheid persoonlijke en financiële data? Die vormen een uitgelezen doelwit voor cybercrime.
Volgens Jacob Kiers is het daarom essentieel om er, als Yuki zijnde, voor te zorgen dat de beveiliging op orde is: “Als onze gegevens gestolen worden of we worden aangevallen door ransomware, kan dat een enorm probleem opleveren voor alle 150.000 bedrijven die van ons afhankelijk zijn.” Jacobs werk bestaat dus vooral uit risicoanalyse en risicobeheersing – en daar vertelt hij je graag meer over.
“Wanneer we merken dat een van onze klanten met een datalek te maken heeft, nemen we onmiddellijk contact op om dit te melden. Zo houden we onze software, zowel intern als extern, veilig.” Jacob Kiers, Security Engineer bij Yuki
De kracht van Visma
Yuki is onderdeel van Visma en plukt daar op gebied van cybersecurity ook de vruchten van. Als een van de grootste Europese softwarebedrijven moet Visma immers voldoen aan zeer strenge reguleringen. “Vanzelfsprekend”, zo stelt Jacob, “moeten ook alle bedrijven die onder Visma hangen, waaronder Yuki, aan deze strenge beveiligingsnormen voldoen. Bedenk een mogelijk cyber issue en Visma heeft er wel over nagedacht!” Kiers gaat verder:
“Visma organiseert meerdere ‘reviews’ per jaar qua cyberbeveiliging, om iedereen scherp te houden. Daarnaast zijn ze continu bezig met de uitbreiding van hun beveiligingseisen.” Zo houdt het Security Operations Center zich bezig met de laatste trends en worden de reviews, indien nodig, aangepast. “Dit jaar is er bijvoorbeeld informatie over het gebruik van LLM’s (Large Language Models) en ChatGPT bijgekomen”, verduidelijkt Jacob.
De beveiliging van gegevens
Een goede beveiliging is enorm belangrijk voor Yuki. Als boekhoudprogramma willen we er immers alles aan doen om de veiligheid van onze accountantskantoren en hun klanten te waarborgen. Om deze beveiliging van gegevens mogelijk te maken, neemt Jacob Kiers enkele concrete beveiligingsmethoden onder de loep. We lijsten hieronder de voornaamste voorzorgsmaatregelen en -richtlijnen:
- Een diepgaande, up-to-date certificering
“Met Yuki hebben we een ISAE 3403 Type 2-certificering. Dit betekent dat we, met het oog op onze cyberveiligheid, daadwerkelijk moeten rapporteren of we écht voldoen aan onze eigen procedures. Dit verplicht ons om scherp te blijven en continu stil te staan bij onze eigen veiligheid.” - Een automatische, statische analyse
“De code van onze software wordt continu gescand op beveiligingslekken. Dit heet een ‘statische analyse’. Als daar iets verdachts uitkomt, dan wordt dat meteen in de kiem gesmoord – en nemen we de verbeteringen in beveiliging sowieso mee naar de volgende, tweewekelijkse release van onze product updates.” - Pentesten door ethische hackers
“Elk jaar organiseren we pentesten, uitgevoerd door een ethische hacker. We geven een hacker een week lang de tijd om – in een beschermde omgeving, natuurlijk! – in te breken in onze Yuki-software, wat uitmondt in een rapport. Op basis van dat rapport maken we een prioriteitenlijst en lossen we de mogelijke ‘security breaches’ op.” - Beveiligde én versleutelde back-ups
“Mocht er toch ooit iets gebeuren met een van onze servers? Dan hebben we back-ups van elk domein om op terug te vallen. We bewaren deze back-up 30 dagen lang en maken elke 10 minuten een back-up op serverniveau. Uiteraard worden deze gegevens beveiligd én versleuteld in onze cloud opgeslagen. Dat spreekt voor zich!”
“Yuki zal in het komende jaar overstappen op Visma’s authenticatie, waardoor klanten single sign-on kunnen gebruiken voor alle Visma-software. Ook zal Yuki de Multi-Factor Authenticatie verplichten.” Jacob Kiers, Security Engineer bij Yuki
Het belang van wachtwoorden
Over het belang van een doordacht gekozen wachtwoord is Jacob Kiers duidelijk en wijst hij op een gedeelde verantwoordelijkheid: “Je gevoelige data zo goed mogelijk beschermen en beveiligen? Dat heb je natuurlijk zélf voor een groot stuk in de hand. Het boekhoudplatform van Yuki geeft bijvoorbeeld verschillende stappen en suggesties die je zélf kunt nemen om die goudmijn aan gegevens veilig te stellen.”
Daarnaast is het mogelijk om MFA (= Multi-Factor Authentication) aan te zetten. Deze manier van inloggen wordt volgens Jacob nog te weinig benut in het huidige bedrijfsleven: “Ik kan het niet genoeg benadrukken, maar maak zo veel mogelijk gebruik van Multi-Factor Authentication. Onderzoek toont immers aan dat het de kans op een succesvolle phishing-aanval met meer dan 90% vermindert.”
Vier cybersecurity-tips van een expert
Ter afsluiting van het interview vroegen we Jacob Kiers om nog een paar concrete tips & tricks te delen, die het potentiële risico op een cybercrime-aanval kunnen verkleinen en de algemene cybersecurity van een kantoor of bedrijf kunnen verhogen.
- Kies een sterk wachtwoord – “Kies een langer wachtwoord van minimaal 14 tekens en verander er niets aan, tenzij er aanwijzingen zijn dat je wachtwoord gelekt of gebroken is. Beter één sterk wachtwoord dan tien eenvoudig te kraken codes.”
- Durf een datalek te melden – “Als je denkt dat je gehackt bent, moet je daar open over zijn en zo snel mogelijk handelen. Je kunt bijvoorbeeld de website haveibeenpwned gebruiken om potentiële datalekken m.b.t. je e-mailadres te controleren.”
- Neem voldoende maatregelen – “Cyberveiligheid in een bedrijf is nooit ‘klaar’. Regelmatige trainingen, een no-blame policy, duidelijke richtlijnen, een streng toegangsbeheer en een verplichting van MFA zijn minimale vereisten.”
- Let op waar je ergens inlogt – “Openbare wifi-netwerken kunnen mogelijke risico’s met zich meebrengen, omdat veel mensen op hetzelfde netwerk zitten. Een VPN biedt wel wat beveiliging, maar best gebruik je enkel een beveiligd en vertrouwd netwerk.”
