Vul het formulier in en klik op bevestigen om de brochure te ontvangen

Vul onderstaand formulier in om het materiaal te ontvangen.

[ninja_form id=2]

Laat je gegevens achter. Wij informeren je zodra er nieuwe data bekend zijn.

cursussen
docent

Auke Zwaan over cyberrisico in finance: ‘De rovers staan aan de poort, en één misstap kan enorme gevolgen hebben’

Waarom financials cyberrisico niet alleen aan IT kunnen overlaten

Cybersecurity wordt nog vaak gezien als een technisch vraagstuk voor IT. Maar de impact van digitale incidenten raakt allang niet meer alleen systemen en infrastructuur. Ransomware kan processen stilleggen, phishing kan leiden tot foutieve betalingen en datalekken kunnen de betrouwbaarheid van rapportages direct onder druk zetten.

Financials moeten digitale risico’s daarom beter leren begrijpen, waarschuwt Auke Zwaan, cybersecurity-expert, ethisch hacker en oprichter van Black Swan Cyber Defense. Voor controllers, accountants, CFO’s en risk professionals is cybersecurity volgens hem geen randonderwerp meer, maar een thema dat raakt aan governance, continuïteit en vertrouwen.

 

“De rovers staan aan de poort, en één misstap kan direct enorme gevolgen hebben voor je klanten, je aandeelhouders en de hele organisatie.”
– Auke Zwaan, cybersecurity-expert, ethisch hacker en oprichter van Black Swan Cyber Defense B.V.


Van fysieke kluis naar digitale roof

Voor Zwaan begint de urgentie van cybersecurity bij een eenvoudig beeld. Banken verkopen vertrouwen, stelt hij. Vroeger was dat iets fysieks. “In de tijd van het Wilde Westen was dat een fysieke aangelegenheid. Als je je cash geld thuis liet liggen of als je over straat ging met al je bezittingen, was de kans groot dat een paar rovers het van je afpakten.”

De oplossing was toen vaak een grote kluis, met bewaking en een organisatie eromheen die mensen het vertrouwen gaf dat hun geld daar veiliger was dan thuis. “De essentie daarvan is niet veranderd, maar het heeft zich wel van het fysieke naar het digitale domein verplaatst. En de rovers daarmee ook.”

Daar zit voor hem precies het verschil met vroeger. “Waar de rovers vroeger nog fysiek met een paard en een shotgun over de prairie moesten rijden, zijn er op dit moment miljoenen hackers die vanaf hun zolderkamer via internet een poging kunnen doen om zo’n digitale roof te plegen. Dat gaat 24/7 door.”

Door die enorme schaal is cybersecurity niet langer te ontwijken, benadrukt hij. De gevolgen raken veel verder dan IT alleen. “De rovers staan aan de poort, en één misstap kan direct enorme gevolgen hebben voor je klanten, je aandeelhouders en ook de hele organisatie zelf. Reputatie komt te voet, en gaat te paard. Toezichthouders weten dit maar al te goed, en ook daarom zie je tegenwoordig steeds meer wetgeving ontstaan waardoor dit niet langer vrijblijvend is. Niet meedoen is dus geen optie meer”, maakt hij duidelijk.

 

De grootste kwetsbaarheid zit dichterbij dan gedacht

Wie denkt dat de grootste cyberkwetsbaarheden vooral in de techniek zitten, kijkt te ver van de praktijk af, aldus Zwaan. Hackers zoeken altijd naar een zo groot mogelijke impact met zo weinig mogelijk moeite, legt hij uit. “Specifiek in finance zijn dat vaak de systemen waarin grote klantbestanden staan, waar boekhouding geregeld wordt of waar transacties overheen gaan. Wat ik echter veel tegenkom is dat juist de mensen die dagelijks met dit soort systemen werken denken dat cybersecurity wel wordt geregeld door de IT-afdeling.”

Dat is volgens hem maar deels waar. Natuurlijk heeft IT daarin een grote rol, maar het is onmogelijk om alles te detecteren. “Deze medewerkers zouden de modus operandi van een aanvaller op hun duimpje moeten kennen om zo een cyberaanval direct te herkennen, en te weten hoe en waar ze die moeten melden. Zij zijn de ogen en oren van de organisatie.”

 

Cyberrisico raakt direct de financiële functie
Ransomware, phishing en datalekken raken direct de continuïteit en betrouwbaarheid van financiële informatie. In de eendaagse training Cybersecurity en hacking voor financials leer je denken als een hacker, zodat je cyberdreigingen sneller herkent en bespreekbaar maakt. Essentieel voor risicobeoordeling, controle en advisering.
Bekijk het programma | Reserveer je plek

 

Je hoeft geen hacker te worden, maar leer wel denken als een hacker

In veel organisaties ligt cybersecurity formeel bij IT, terwijl finance verantwoordelijk is voor betrouwbare informatie, interne beheersing en continuïteit. Die spanning neemt Zwaan in de praktijk vaak waar. Hij grijpt daarbij terug op zijn tijd als ethisch hacker bij een bank. “Ik zei altijd: ‘Ik weet hoe ik een bank moet hacken, maar ik weet niet hoe jouw IT-systeem werkt.’ Daarmee bedoelde ik dat een gebruiker van een systeem vaak veel beter is in het herkennen van kleine afwijkingen, of gekke dingen in dit soort systemen.”

Daarom nodigde hij medewerkers regelmatig uit om samen mee te denken over de vraag hoe een hacker specifiek hun systeem of hun collega’s aan zou vallen. “Door samen die ‘hacking-pet’ op te zetten, konden we veel beter nadenken over reële risico’s, en bracht ik deze twee werelden bij elkaar.”

De kern van de regierol van finance is niet het beheersen van alle techniek, maar het herkennen van kwetsbaarheden en afwijkingen. “Als zij zorgden dat ze hun systeem goed in de gaten hielden, konden ze ook ons bellen als ze er iets geks in zagen gebeuren. Daar kan geen detectiesysteem tegenop.”

 

“Cybersecurity is echt een samenspel van IT en business.”

 

 

Soms maakt één maatregel al het verschil

Een van de belangrijkste lessen die Zwaan meegeeft, is dat cyberweerbaarheid niet altijd begint bij complexe technologie. Soms kunnen juist eenvoudige maatregelen het leven van een hacker heel moeilijk maken. “Dat is waarom ik altijd een hack uitleg ‘van A tot Z’,” legt hij uit. “Ik ben ervan overtuigd dat als je de stappen begrijpt die een hacker moet zetten om tot zijn doel te komen, je ook kunt bedenken wat de complete hack onmogelijk zou maken.”

Hij noemt het voorbeeld van Office-macro’s, die in finance jarenlang veel werden gebruikt. Cyberaanvallers maakten daar gretig gebruik van door een kwaadaardig stukje code, een macro, toe te voegen aan een Word- of Excel-bestand en mensen vervolgens zo ver te krijgen dat ze die uitvoerden. “Macro’s zijn voor de hele organisatie uit te zetten met één klik, maar dat vraagt wel om leiderschap dat daarvoor durft te kiezen en naar alternatieven zoekt. Ook als medewerkers zeggen dat ze anders hun werk niet goed meer kunnen doen.”

Een ander voorbeeld is het least privilege principle. “Is het slim om alle nieuwe medewerkers direct alle rechten te geven in je ERP-systeem? Waarschijnlijk niet. IT zorgt ervoor dat er rechten zijn die uitgegeven kunnen worden aan medewerkers, maar als jij die rechten vanuit de business aan iedereen geeft, heeft een hacker vrij spel.”

“En zo kan ik nog wel even doorgaan”, zegt hij. “Waar het op neerkomt is dat cybersecurity echt een samenspel is van IT en business, en dat door het bestuur soms harde maatregelen genomen moeten worden om hackers buiten de deur te houden en zo de continuïteit van de organisatie te waarborgen.”

 

Wat financials moeten weten over supply chain risk

Aanvallers die ransomware gebruiken om systemen te versleutelen, zoeken altijd naar maximale impact. Hoe meer ze kunnen versleutelen, hoe meer geld ze kunnen vragen, omdat ze het bedrijf zo lam kunnen leggen. De casus die Zwaan in deze context zelf het meest aan het denken zette, is de aanval op Kaseya, leverancier van IT-beheersoftware en cybersecurity-oplossingen.

“Toen hackers in 2021 Kaseya aanvielen en daarmee in één keer software konden overnemen die IT-leveranciers gebruiken om de IT-infrastructuur van hun klanten te beheren, opende dat mijn ogen. Nog nooit was voor mij zo duidelijk hoe supply chain risk tot uiting kan komen.”

Ook vijf jaar later is dat risico in zijn ogen nog altijd onderschat. “Ik denk dat we met zijn allen nog wel eens vergeten wat de impact kan zijn als bijvoorbeeld een grote ERP-leverancier zodanig aangevallen wordt dat hackers in alle klantsystemen kunnen meekijken.”

Lees ook: Grip op datakwaliteit en AI-agenten: waarom finance nu moet opstaan

 

Maak kennis met Auke Zwaan

Auke Zwaan is cybersecurity-expert, ethisch hacker en oprichter van Black Swan Cyber Defense B.V. Met meer dan tien jaar ervaring ondersteunt hij multinationals in binnen- en buitenland en de Nederlandse overheid bij het versterken van hun digitale weerbaarheid, onder andere op het gebied van pentesting, security monitoring, incident response en het inschatten en beheersen van cyberdreigingen.
Auke is regelmatig spreker op conferenties en staat bekend als een hacker die zelfs de lastigste beveiligingsthema’s op een duidelijke en toegankelijke manier kan uitleggen aan mensen zonder technische achtergrond. In zijn trainingen combineert hij praktijkvoorbeelden, actuele dreigingen en direct toepasbare inzichten die deelnemers meteen kunnen gebruiken. Lees meer over zijn expertise en cursussen.

 

Cyberrisico raakt direct de financiële functie
Ransomware, phishing en datalekken raken direct de continuïteit en betrouwbaarheid van financiële informatie. In de eendaagse training Cybersecurity en hacking voor financials leer je denken als een hacker, zodat je cyberdreigingen sneller herkent en bespreekbaar maakt. Essentieel voor risicobeoordeling, controle en advisering.
Bekijk het programma | Reserveer je plek

 

Bekijk meer nieuws