Welke cybersecurity controles te installeren in uw Finance-afdeling

Phishing en nep-callcentermedewerkers

De media stonden er de voorbije maanden vol van: cybercriminelen profiteren gretig van de pandemie om hun activiteiten op te voeren en organisaties te bestelen en ontwrichten. Hun favoriete instrumenten: phishingmails, schadelijke apps en websites. Misdaadbestrijders gaan ervan uit dat een bedrijf kwetsbaarder wordt wanneer werknemers thuis werken, want het is dan moeilijker om misbruiken op te sporen en aan te pakken.

Als u wil begrijpen hoe thuiswerk cyberaanvallen in de hand kan werken raad ik u aan dit artikel van McKinsey te lezen: 'Cybersecurity’s dual mission during the coronavirus crisis'. Ik vond vooral de gestegen succesratio van phishingmails en valse callcenters bij thuiswerk opmerkelijk. In een echte kantooromgeving is er sociale controle. Collega’s vormen er een soort van 'menselijk schild' wanneer ze elkaar vertellen over verdachte mails.

CEO-fraude

De voorbije 12 maanden werd mij geregeld gevraagd de controles van verschillende Finance-afdelingen onder de loep te nemen. Ze waren het slachtoffer geworden van business email compromise, ook wel CEO-fraude genoemd. Deze vorm van e-mailfraude is intussen een van de populairste tools voor social engineering.

Uit dat onderzoek kwam een duidelijk actiepatroon naar voren: de cybercriminelen hadden de contactgegevens van de leverancier vervalst en mailden de crediteurenbeheerder met de vraag om de bankrekeninggegevens voor de betaling van openstaande facturen te wijzigen. Dat verzoek zag er betrouwbaar uit (compleet met bedrijfslogo, informatie enz.) omdat de aanvaller eerder de database met leveranciers had gehackt en dus over alle details en contactgegevens beschikte.

Het is algemeen bekend dat cybercriminelen zich bedienen van openbaar beschikbare informatie afkomstig van een website of LinkedIn-account werknemers te benaderen en hen inloggegevens en wachtwoorden te ontfutselen.

Criminelen doen zich voor als externe auditoren

Een andere tactiek die Finance afdelingen in de problemen kan brengen, bestaat erin dat criminelen zich voordoen als externe auditoren. Een werknemer van een bedrijf krijgt in dat geval een mail van de advocaat van het externe auditkantoor (het e-mailadres is meestal gespooft) met het verzoek om geld over te maken. Na die e-mail volgt een andere, eveneens vervalste mail van een manager van dat bedrijf, waarin de urgentie en het vertrouwelijke karakter van het verzoek van de advocaat worden bevestigd.

Maatregelen tegen cybercriminaliteit

Nu de huidige omstandigheden ondernemingen kwetsbaarder maken voor zulke frauduleuze constructies, moeten Finance managers hun procedures evalueren en aanscherpen.

1. Wijs werknemers op frauderisico's

De eerste stap is verzekeren dat alle leden van het Finance team zich bewust zijn van de gevaren. Organiseer opleidingen en bezorg uw teamleden checklists met rode vlaggen om extra waakzaamheid te creëren voor frauduleuze initiatieven zoals betalingsverzoeken van nieuwe leveranciers, de opening van een nieuwe bankrekening voor een bestaande leverancier, of verzoeken om dringende overschrijvingen naar een buitenlandse bankrekening.

In een recent project voor een groot Belgisch bedrijf investeerde het management stevig in opleiding en communicatie. Grappige screensavers moesten medewerkers bij de les houden, en in de lift werden posters opgehangen met do's en don'ts voor medewerkers van de boekhoud- en inkoopafdelingen.

De tweede stap is nagaan of de belangrijkste controles bij elke stap van het proces aanwezig zijn, zoals controles voor machtigingen, wijzigingen van masterdata en bevestiging van wijzigingen.

2. Installeer cruciale controles

Voer de volgende controles in voor accounts payable:

• Autorisatiecontroles: de boekhouder moet altijd valideren dat gebruikers gemachtigd zijn om wijzigingen aan een bankrekening of andere betalingsinformatie te vragen. De aanpak bestaat erin ofwel de vertegenwoordiger van de leverancier te bellen, ofwel fysiek bewijsmateriaal bij de bank op te vragen.
• Revisie van masterdata: een supervisor of manager controleert alle wijzigingen aan de leveranciersgegevens.
• Bevestiging van wijziging: de boekhouder stuurt altijd een bevestigingsbericht naar de verkoper wanneer er bankrekeninginformatie moet worden gewijzigd

3. Sluit een cyberverzekering af

Als derde stap kunt u de verzekeringen van het bedrijf nakijken om te weten of die social engineering en andere cybergerelateerde fraudeverliezen dekt. Een verzekering levert extra bescherming wanneer de controles tekortschieten.

De meeste banken en verzekeringsmaatschappijen in België bieden op dit moment diverse verzekeringen aan. Je krijgt technische bijstand in geval van verlies van data, financiële bescherming in geval van omzetverlies (bijv. een serverstoring), en juridische ondersteuning in geval van reputatieschade. Sommige producten dekken brede cybergerelateerde problemen, terwijl andere zeer specifiek zijn gericht op social engineering.

Let daarbij op:

1. de dekking van aansprakelijkheid voor schade aan derden (leveranciers, klanten, …);
2. de geografische dekking, want de gevolgen van cyberaanvallen blijven niet beperkt tot bedrijfslocaties;
3. eventuele beperkingen voor oudere technologieën (bijv. Windows XP).

De prijs van een cyberverzekering hangt af van verschillende factoren, zoals de grootte van uw bedrijf, de activiteit en sector, of het bedrijf een webshop heeft, … Maar één ding is zeker: de verzekeringskosten blijven een peulenschil als je bedenkt hoeveel een cyberaanval u kan kosten.

Controleer IT- en beveiligingscontroles

Deze acties vallen stuk voor stuk onder de directe bevoegdheid van Finance, maar kunnen degelijke IT- en beveiligingscontroles nooit vervangen. CFO's en Finance managers zullen hun collega's ook moeten wijzen op het bestaan van IT-controles en -praktijken, waaronder multifactorauthenticatie, software tegen virussen en malware, URL-filtering, gesimuleerde phishingtests en e-mailencryptie.

Het is bovendien sterk aanbevolen dat u zich verdiept in protocollen voor e-mailverificatie zoals Sender Policy Framework (SPF) en DMARC (Domain-based Message Authentication, Reporting and Conformance) en die ook invoert. Deze protocollen moeten eigenaars van e-maildomeinen de mogelijkheid bieden om hun domein te beschermen tegen gebruik in CEO-fraude, phishingmails, oplichting via e-mail en andere activiteiten die een cyberdreiging inhouden.

Bel uw bank. En de politie

Werd u toch het slachtoffer van computerfraude, bel dan onmiddellijk de bank en de politie. Als ude oplichting nog dezelfde dag ontdekt, is de kans groter dat het geld nog kan worden 'bevroren' in het banksysteem. De kans dat u uw geld terugkrijgt, wordt elke dag kleiner.

Het Federal Cyber Emergency-team gaf onlangs nuttige tips om uzelf te beschermen tegen social engineering tijdens de pandemie. Deze aanbevelingen gelden voor iedereen en zijn absoluut het lezen waard.

Cyberveiligheidscontroles zijn van het grootste belang voor Finance managers, vooral nu toezichthouders op de financiële markten aan bedrijven vragen om cyberbeveiligingsrisico's en incidenten die van belang zijn voor investeerders openbaar te maken.