‘Witwaspolitie en banken waarschuwen voor ceo-fraude tijdens coronacrisis’ kopte het FD op 12 mei. Opvallend genoeg zijn het juist deze waarschuwende partijen die veelal zelf nog oogkleppen op hebben voor een oplossing voor dit probleem. Namelijk digitalisering en automatisering. Dit klinkt misschien wat raar in de oren, omdat dit type fraude online wordt gepleegd. Toch kunnen bedrijven er online voor zorgen dat er geen overhaaste betalingen meer worden gedaan aan fraudeurs.
Het krantenartikel legt goed uit hoe het precies misgaat bij veel organisaties: ‘Het massale thuiswerken maakt bedrijven kwetsbaar voor zogeheten ceo-fraude. Daarbij doen criminelen zich voor als de bestuursvoorzitter en dragen de financiële administratie op om grote geldbedragen weg te sluizen.’ Financiële administraties vallen juist in deze tijd voor dit soort capriolen, omdat werknemers noodgedwongen thuis moeten werken, daardoor in minder direct contact met hun collega’s staan en ze druk voelen om snel betalingen te doen. Allemaal factoren die leiden tot het maken van fouten.
>> LEES OOK: Eerste hulp bij cyberincidenten? Update het meldproces!
Mensen maken fouten
Nu is het heel natuurlijk dat mensen fouten maken, zeker gezien hackers tegenwoordig zeer geraffineerd te werk gaan in hun oplichtpraktijken. Inboxen worden gehackt, gedrag van ceo’s en collega’s wordt geobserveerd, allemaal ten doel om de overboeking zo normaal mogelijk te doen ogen. In tijden waarin de financiële gezondheid van bedrijven op het spel staat, voelen medewerkers de druk om zo snel mogelijk te handelen.
Daarbij werken veel mensen tegenwoordig vanuit huis, soms (deels) buiten de beschermde IT-infrastructuur van de werkgever. IT is zo veilig als de zwakste schakel en als jouw wifi-wachtwoord hallo123 is, dan is er een grote kans dat jij de zwakste schakel bent. Dit betekent easy access voor slechtwillende partijen van buitenaf.
Computers maken in principe nooit fouten
Dat is precies waar het misgaat: mensen maken fouten. Al helemaal wanneer iets snel moet gebeuren dan wordt zorgvuldigheid nog wel eens overboord gegooid. Computers maken in principe nooit fouten, tenzij een mens op de een of andere manier een vergissing heeft gemaakt bij het programmeren. Daarom moet de oplossing ook niet bij mensen gezocht worden, maar bij IT-mogelijkheden. Betalingen kunnen sneller en makkelijker gedaan worden met bepaalde software (waardoor er minder druk op medewerkers komt). Maar ook kunnen bepaalde autorisatiestromen beter worden gecoördineerd en afgedwongen. Zo is het mogelijk om van te voren te bepalen wie voor welke bedragen goedkeuring moet geven. Omdat vaak meerdere mensen hun persoonlijke goedkeuring moeten geven, worden foute betalingen sneller opgemerkt.
>> LEES OOK: Zo verminder je cybersecurity-kwetsbaarheden als gevolg van covid-19
Onnodige financiële schade
Zo gaat het FD artikel ook in op de 19 miljoen euro schade die bioscoopketen Pathé in 2018 leed door ceo-fraude. In dit geval moest er een betaling gedaan worden zonder grondslag van een factuur. Als dat wel zo was geweest dan hadden zij door digitaal te autoriseren ervoor kunnen zorgen dat ten minste vier ogen naar de betaling hadden gekeken. Bovendien is het met software mogelijk bepaalde factuurkenmerken automatisch te controleren, waaronder het btw-nummer in de btw-database, het KvK-nummer en adres in de KvK-database en het IBAN nummer in de relatiedatabase van de boekhouding. Zo kunnen organisaties spookfacturen herkennen en voorkomen zij dat ze per ongeluk geld overmaken naar een rekeningnummer dat afwijkt.
Bepaalde programma’s kunnen digitaal afdwingen dat bepaalde personen betalingen moeten goedkeuren. Medewerkers kunnen er op deze manier niet ‘even snel’ een factuur doorheen drukken. Bovendien is er een historie die precies laat zien wie welke actie gedaan heeft. Hierdoor is eenvoudig te bepalen wie iets over het hoofd heeft gezien, zodat dezelfde fout niet nog een keer wordt gemaakt. Uiteraard kan elk softwareprogramma in theorie gehackt worden. Daarom is het organisaties aan te raden zich in te lezen in internationale standaarden voor gegevensbeveiliging, zoals een goede serverinfrastructuur, beveiligde verbindingen, enzovoort.
In de digitale spiegel kijken
Ironisch genoeg zijn het banken – organisaties die over het algemeen achterlopen als het gaat om digitalisering en automatisering – die organisaties oproepen om zich te wapenen. Paniek zaaien alleen zal helaas niets uithalen. Het wordt tijd dat banken en andere bedrijven de angst voor verandering opzij zetten en hun ogen openen voor de veiligheid die digitale transformatie hen kan bieden.
Yeelen Knegtering, ceo en oprichter van softwarebedrijf Klippa
– Alles over cyber security
– Op weg naar een volwassen cyber security
– Een cyberverzekering is altijd zinvol!
Volg Security Management op LinkedIn