Marjolijne Banks-van der Ven
Geüpdatet: 20 februari 2025
Als boekhouder of accountant beheer je niet alleen je eigen gegevens, maar ook die van je klanten. Dat maakt je kantoor een aantrekkelijk doelwit voor cybercriminelen. Edwin van Andel, ethisch hacker en CTO van cybersecuritybedrijf Zerocopter, deelt praktische tips om je kantoor optimaal te beveiligen. Van multifactorauthenticatie (MFA) tot slimme beveiligingsmaatregelen: zo blijf je criminelen een stap voor.
Welke rol speelt hacken in je leven en ben je nog steeds actief als hacker?
“Mijn interesse in computers begon toen mijn vader zijn eerste computer mee naar huis nam. Ik leerde programmeren en ontdekte al snel hoe systemen werken. Via hackersnetwerken raakte ik betrokken bij cybersecurity en zo kwam ik uiteindelijk terecht bij Zerocopter. Ik hack nog steeds en mijn band met de hackercommunity blijft een belangrijke drijfveer. Bij Zerocopter helpen we bedrijven door met ethische hackers kwetsbaarheden op te sporen en te rapporteren. Daarnaast begeleid ik samen met de ‘Guild of the Grumpy Old Hackers’ jonge hackers om hen het belang van ethisch hacken bij te brengen. Uiteindelijk proberen we een veilige samenleving door een veiliger internet te creëren.”
Wat maakt je perspectief als hacker zo waardevol voor bedrijven?
“Hackers zijn van nature nieuwsgierig. We kijken altijd naar wat er meer mogelijk is met een systeem dan waarvoor het bedoeld is. Deze manier van denken laat zien dat, zelfs met de beste beveiliging, er altijd zwakke plekken blijven. Dit kan frustrerend zijn, maar het is de realiteit: er bestaat geen 100 procent veiligheid. Het gaat erom dat continu gezocht moet worden naar verbeterpunten en dat het essentieel is systemen voortdurend te optimaliseren.”
Wat zijn de belangrijkste cyberdreigingen voor mkb’ers en administratie- en accountantskantoren?
“Ransomware blijft de grootste dreiging op dit moment. Kwaadwillenden dringen binnen en versleutelen gegevens. Veel bedrijven denken nog steeds: ‘Ik ben niet interessant voor cybercriminelen.’ Dat is een grote misvatting. Cybercriminelen scannen massaal systemen en proberen in te breken, ongeacht de grootte van het bedrijf. Wanneer ze eenmaal binnen zijn, kijken ze pas of het een groot of klein bedrijf betreft en daarop passen ze de bedragen aan om gegevens weer vrij te geven.”
Hoe zie je de toekomst van cybercriminaliteit?
“Criminelen zetten steeds meer AI in om sneller en gerichter aan te vallen. Dit betekent niet per se dat de aanvallen beter zijn, maar wel dat ze vaker voorkomen. Administratie- en accountantskantoren moeten vooral alert blijven op de risico’s van data delen. Denk goed na voordat je gevoelige informatie zomaar uploadt naar een AI-dienst.”
Wat zijn veelvoorkomende zwakke plekken als het gaat om cybersecurity?
“Verouderde of vergeten systemen, zoals oude modems, zijn veelvoorkomende zwakke plekken. Denk aan een printer of beamer die aangesloten is op het netwerk met een kabel, maar waarbij de wifi nog aan staat. Als ik daarop van buiten kan inloggen, dan zit ik op het netwerk. En vergeet vooral social engineering niet: hackers maken gebruik van menselijke fouten om binnen te komen. Veel phishing-mails zijn tegenwoordig niet van echt te onderscheiden. Soms staat in zo’n mail ook een speciale code waarmee je moet inloggen. Zo’n extra code om in te loggen, geeft het gevoel dat het extra veilig is. Een psychologisch spelletje.”
“Hoe meer barrières je opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen."
Kun je een voorbeeld geven van iets wat bedrijven soms over het hoofd zien?
“Een klant had een serverruimte met een stalen deur en vier sloten. De beveiliging leek op orde, maar boven de deur zat een systeemplafond. Via dat plafond kon ik zo naar binnen. Fysieke beveiliging wordt soms over het hoofd gezien, terwijl het van vitaal belang is.”
Waar kunnen administratie- en accountantskantoren mee beginnen?
“Het is lastig om alles te testen, dus kijk naar uw kroonjuwelen. Welke processen zorgen dat je bedrijf blijft draaien? Begin met het beveiligen van de kernsystemen die de belangrijkste processen van je bedrijf ondersteunen. Scheid cruciale systemen van de rest van het netwerk en beveilig die afzonderlijk. Veel bedrijven richten zich eerst op het beveiligen van de buitenkant van het hele netwerk, maar dat is de verkeerde volgorde. Begin van binnenuit. Maak daarnaast wekelijks back-ups van essentiële data en bewaar die niet op hetzelfde netwerk. Als je dan wordt gehackt, ben je zo snel mogelijk weer in de lucht.”
Welke stappen kunnen kantoren nog meer nemen?
“Updates van je systemen zijn cruciaal. Veel bedrijven stellen updates uit omdat ze tijd kosten of omdat ze bang zijn dat een systeem na een update niet meer goed werkt. Maar updates dichten beveiligingslekken. Cybercriminelen analyseren updates om te ontdekken wat er precies is gefixt. Als je die updates niet installeert, maken ze daar gebruik van. Gebruik lange wachtwoorden of wachtwoordzinnen, in combinatie met MFA. Het toevoegen van een extra beveiligingslaag maakt het moeilijker om binnen te komen. MFA zou eigenlijk standaard moeten zijn bij elk bedrijf. Zorg daarnaast voor back-ups, fysieke beveiliging en beperk de toegang tot je netwerk. Hoe meer barrières je opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen.”
Hoe kunnen bedrijven zich voorbereiden op een cyberaanval?
“Maak een plan. Veel bedrijven reageren pas als het te laat is en raken dan in paniek. Bespreek met je team wat er moet gebeuren als je wordt gehackt. Wie moet je bellen? Wat is de eerste stap? Moet je de stekker eruit trekken? Zet dit allemaal in een document, print het uit en hang het bij de koffieautomaat. Zo weet iedereen wat te doen als het misgaat. Dit kan je enorm veel tijd en stress besparen.”
