Van post-audit naar clearance model: wat betekent dit voor compliance?
Steeds meer landen om ons heen verruilen het post-audit model voor het clearance model of een andere vorm van continuous transaction controls (CTC)....
ICreative helpt organisaties met procesoptimalisatie, datamanagement en digitale transformatie van purchase to pay.
Bekijk het webinar
2 min read
Erik Vossers, Technical Consultant ICreative
15-nov-2018 12:00:41
Er zijn steeds meer cyberaanvallen in de vorm van ransomware. Recentelijk was Nederland weer in de ban van een nieuw gijzelvirus: GandCrab. Hierdoor konden duizenden Nederlanders niet meer bij hun belangrijke foto’s en documenten. Pas als de slachtoffers ruim duizend euro betaalden, kregen ze weer toegang tot hun computer. Ransomware levert echter meer schade dan het losgeld. Wie is er eigenlijk verantwoordelijk?
Drie vragen aan Erik Vossers, technical consultant en coordinator Service Center bij ICreative. Hij legt uit waarom ransomware de bijzondere aandacht van CFO’s vraagt en schreef een whitepaper specifiek voor Basware-gebruikers.
‘Finance bevat op afdelingsniveau een schat aan gevoelige gegevens wat het aantrekkelijk maakt voor cybercriminelen om deze gegevens te gebruiken voor een zogenoemd gijzelvirus. En hoe meer menselijke handelingen daar aan te pas komen, des te kwetsbaarder de organisatie is voor cybercriminaliteit. Het is echter de verantwoordelijkheid van een CFO om de risico’s en potentiele financiële impact van cybercriminaliteit in kaart brengen en er daarnaast voor zorgen dat de juiste middelen worden toegewezen voor het voorkomen van en omgaan met incidenten. Door de groei van ransomware betalen bedrijven een steeds hogere prijs voor cyberaanvallen.’
‘De problemen ontstaan vaak als standaardafbeeldingen en bijlagen niet getoond kunnen worden of niet beschikbaar zijn. We krijgen deze meldingen op het ICreative Service Center binnen en direct worden de eerste kosten gemaakt: het uitzoekwerk. We onderzoeken de oorzaak en als blijkt dat de bestanden zijn versleuteld als gevolg van ransomware, dan gaat er ten eerste tijd in zitten om het probleem te isoleren en een oplossing te zoeken. In het geval van oudere virussen is er mogelijk een decriptiesleutel voorhanden. Is die er niet, dan is de meest gangbare procedure dat we het gedane werk gaan terughalen. IT zet dan de meest recent back-up terug; meestal van de vorige dag.
Veel bedrijven onderschatten echter wat een dag werk inhoudt: van het moment van de backup tot het moment van ontdekking van de ransomware. Wat je werkelijk hebt gedaan, welke data is gemuteerd en wat ervoor nodig is om het werk terug te krijgen. De schade is vooral groot als er veel papieren facturen zijn gescand: vaak zijn die al weggewerkt of vernietigd. Je kan er uiteraard ook voor kiezen om het losgeld te betalen, maar dan heb je natuurlijk geen garantie dat je je bestanden daadwerkelijk terugkrijgt.’
‘Facturen die per e-mail binnen komen, zijn een makkelijke ingang voor een virus. Immers, wanneer een medewerker crediteurenbeheer ook maar één verkeerde factuur opent, kan de computer al geïnfecteerd zijn en daarmee het netwerk. Omdat nepfacturen er tegenwoordig bijzonder echt uit zien, is het openen van een geïnfecteerd bestand gemakkelijk gedaan. Technisch gezien is dit de verantwoordelijkheid van IT. IT moet zorgen voor een goede beveiliging, maar het is ook een kwestie van de juiste rechten toewijzen.
Het komt vaak voor dat gebruikers meer rechten hebben tot bepaalde mappen en bestanden dan daadwerkelijk nodig is. Dit is vaak het geval wanneer een afdeling als gebruikersgroep wordt gezien en ze allemaal dezelfde rechten hebben, terwijl misschien maar drie van de tien medewerkers de rechten nodig heeft. Wanneer gebruikers mutatierechten hebben, dan vormt dat automatisch een risico. Bij gebruik van cloudsoftware is het risico kleiner omdat de afstand tot de database waarin alles staat opgeslagen groter is; er is geen directe koppeling anders dan via de zogeheten applicatielaag. Bovendien betekent outsourcen van werkzaamheden ook het outsourcen van risicomanagement.’
Steeds meer landen om ons heen verruilen het post-audit model voor het clearance model of een andere vorm van continuous transaction controls (CTC)....
Compliance speelt een grote rol in het purchasetopay proces. Van het aanvragen van inkooporders tot het betalen van facturen; men moet niet alleen...
Compliance is anno 2023 misschien wel complexer dan ooit. Van alsmaar strengere wet- en regelgeving tot aan grotere risico’s op het gebied van...