Controlling Finance = Controlling Data: RGP over Cybercrime op HOFAM Congres

Foto550-RD6DFKJ6Het Zelflerende vermogen moet omhoog en niet alleen van eigen fouten maar ook van die van anderen. De ING case maakt dit duidelijk. Nu de actie: bewustwording van de financial is nodig maar met alleen bewustwording kom je er niet. En helaas het kost geld om klaar te zijn voor cybercrime: maar het kost meer wanneer je er niet klaar voor bent.

(Klik voor foto’s)Wat heeft ‘good old Starreveld van doen met Cybercrime? Op 8 november verzorgden RGP een masterclass Cybercrime control op het HOFAM jubileumcongres. Thema van het congres was de nieuwe controller: waar liggen de verantwoordelijkheden en kansen voor de controller anno 2013. Een onderwerp waar we als RGP in Dialogue III al over bericht  hebben.

Cybercrime en Starrreveld? Eerst even terug naar de basis van Starreveld, die definieerde in 1962 al het begrip ‘administreren’, als ‘het systematisch verzamelen, vastleggen, verwerken en verstrekken van informatie ten behoeve van het besturen en doen functioneren van een huishouding en ten behoeve van de verantwoording die daarover moet worden afgelegd’.

starreveld

De administratie is de basis (zie figuur) van het vak van controller, waarbij we anno 2013 de term administratie kunnen vervangen door ‘data’. Topics als data security en cybercrime zijn meer dan ooit actueel en daar liggen dan ook de verantwoordelijkheden en kansen van de hedendaagse controller: Controlling Finance is Controllling Data.

In een powersessie van 1 uur werden een aantal vraagstukken  voorgelegd.  De deelnemers gaven aan vanuit hun rol als controller zich vooral zorgen te maken over hun online betaalsysteem, continuïteit van de bedrijfsapplicaties en het linken van de vitale bedrijfssystemen met die van derden (leveranciers, cliënten).

De directe link tussen cybercrime en online betaalsystemen is een logische na al het nieuws rondom de DDos aanval (distributed denial-of- service attack) bij onder andere de ING bank. Het niet beschikbaar zijn of aangebrachte veranderingen van buitenaf is de nachtmerrie van elke controller, maar met het bewaren van data op servers buiten de organisatie of in de ‘cloud’ worden deze risico’s ineens actueel. Hetzelfde eigenlijk voor het koppelen met systemen met leveranciers en/of cliënten, bijvoorbeeld betaalsystemen (iDEAL, Paypal), voorraadsystemen en electronisch factureren.

Op onze uitnodiging was een bijzondere gast aanwezig, namelijk ethical hacker Guno Pocorni. Eerste vraag vanuit de zaal was natuurlijk wat er zo ethical aan hacken is ‘een certified ethical hacker hackt alleen op uitnodiging’. ‘Guno ging kort in op de soorten van cyber bedreigingen.

  1. Als eerste noemde hij bot network operators. “Dat zijn hackers die niet rechtstreeks in uw systeem inbreken, maar meerdere systemen overnemen om een aanval te coördineren.” De denial of service attack op verschillende financiële instellingen is er een recent voorbeeld van.
  2.  criminelen op zoek naar geldelijk gewin. “Zij zetten spam, phishing, spyware en malware in voor bijvoorbeeld identiteitsdiefstal of online fraude.”
  3. Buitenlandse mogendheden en veiligheidsdiensten. “Zij gebruiken het internet om informatie te vergaren of te spioneren. Meer en meer ontwikkelen zij ook strategieën om cyberoorlogen aan te gaan.”
  4. Onethische hacker die in IT-systemen inbreekt, puur voor de opwinding of het kunnen opscheppen tegenover andere hackers.
  5. Insiders. “Uw collega’s weten exact hoe uw IT-systeem eruit ziet en hoe ze gebruik kunnen maken van eventuele gaten om bijvoorbeeld informatie mee te nemen. Dat kan uit wrok zijn, bijvoorbeeld over een promotie die ze niet gehad hebben of omdat ze ontslagen worden.”
  6. Phishing bestaat uit het oplichten van mensen door ze te lokken naar een valse website. “Zo stelen ze uw identiteit of achterhalen ze informatie voor geldelijk gewin.
  7. Spammers  distribueren e-mail met valse of verborgen informatie om een product te verkopen, om een frauduleus plan uit te voeren, om spyware of malware te distribueren of om organisaties aan te vallen.
  8. Auteurs van spyware en malware  maken en distribueren oneigenlijke computerprogramma’s, soms gratis en soms voor de hoogste bieder.
  9. Terroristen die het voorzien hebben op vitale infrastructuur. “Bijvoorbeeld om de nationale veiligheid te raken of om veel slachtoffers te maken.”

Insider risk assessment en verandering van gedrag
Pocorni kwam voor elk van deze groepen met sprekende voorbeelden. Eén daarvan: “Om informatie bij een bedrijf te achterhalen, infiltreerde een bende in de tijdelijke staf van schoonmakers. Ze konden zo gemakkelijk bij allerlei bedrijfsinformatie komen, omdat iedereen die op het bureau liet liggen.” De manier om dergelijke risico’s inzichtelijk te maken is een insider risk assessment. Welke insiders hebben toegang tot welke informatie? Hoe lopen de dataflows? Pocorni riep ook op niet alleen naar de achtergrond van werknemers te kijken, maar ook naar plotselinge veranderingen van gedrag.

Arthur Izeboud, practice leader governance, risk & compliance nam de deelnemers mee terug naar afgelopen 9 april toen de ING bank moest bekend maken dat ze slachtoffer waren van een cyber aanval. Deze aanval was er een van bot network operators ofwel een DDos aanval. Een aantal dagen was het (bijna) niet mogelijk om gebruik te maken van ING iDEAL en de mobile banking app.

Het feit dat dit kan plaats vinden en de gefragmenteerde communicatie door de ING Bank gaf aan dat de bank niet voldoende was voorbereid op een dergelijke aanval. ING zal als maturity level, ‘stages of awarenes’ niet veel hoger scoren dan stage 3 – Top Down:

The Chief Executive Officer (CEO) recognizes cyber risk management and initiated a top down approach for responsing to cyber threats’.

Dit terwijl de klant waarschijnlijk er van uit ging dat ze zich op stage 5 zouden bevinden

– Networked: ‘organizations are highly connected (peers and partners), sharing information and jointly mitigating cyber risk in their daily business. They are an industrial leader in manageing cyber risk management, In addition people show exceptional cyber awareness.’

Mooi om te zien was dat mede door de uitleg van Pocorni de deelnemers aangaven dat het initiëren van een cyber/data governance risk assessment de belangrijkste knop is waar je als controller aan kan draaien om je cyberrisk actief te mitigeren. Gevolgd door het creëren van awareness binnen de organisatie en het alloceren of vrijmaken van budget ten behoeve van het mitigeren van dit risico.

Het op de agenda zetten en bespreken van de risico’s met het (financieel) bestuur en daarnaast in samenwerking met de IT afdeling opnemen van budget, zijn acties die in het takenpakket van de hedendaagse controller vallen.

What doesn’t kill you, maken you stronger. Het Zelflerende vermogen moet omhoog en niet alleen van eigen fouten maar ook van die van anderen. De ING case maakt dit duidelijk. Nu de actie: bewustwording van de financial is nodig maar met alleen bewustwording kom je er niet. En helaas het kost geld om klaar te zijn voor cybercrime: maar het kost meer wanneer je er niet klaar voor bent.

 

1 thought on “Controlling Finance = Controlling Data: RGP over Cybercrime op HOFAM Congres”

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s