Vragen over rol accountant bij beveiliging Equifax
De grote cyberaanval bij kredietbureau Equifax leidt tot vragen bij analisten over de rol van de accountant bij het bewaken van IT-systemen.
Hackers hebben bij een aanval op de IT-systemen van Equifax toegang gekregen tot creditcardgegevens, huisadressen, geboortedata en andere informatie van mogelijk 143 miljoen Amerikanen, bijna de helft van de Amerikaanse bevolking. De Amerikaanse autoriteiten zijn een onderzoek gestart.
Recent publiceerde analistenwebsite Marketwatch rondom Equifax een artikel over de verantwoordelijkheid van de accountant bij het beschermen van IT-systemen. Accountant van Equifax is EY, dat in 2002 het stokje overnam van Arthur Andersen, het kantoor dat destijds ter ziele ging als gevolg van de Enron-affaire.
"Voordat EY er ook maar over nadenkt om de jaarcijfers te controleren, moet het zich ervan verzekeren dat directeuren de juiste tone at the top hanteren waar het gaat om controlemechanismen, waaronder de IT-systemen, om ervoor te zorgen dat Equifax haar belangrijkste activa - consumenteninformatie die het verkoopt aan banken en andere organisaties - goed beschermt", schrijft Francine McKenna van Marketwatch.
Rani Hoitash, professor aan Bentley University en IT-auditor, wijst erop dat een controle van cybersecurityrisico's in de VS buiten de scope ligt van het financiële verslag, maar voegt daaraan toe dat "auditors verplicht zijn om vroeg in het proces te kijken naar beleid en bedrijfspraktijken rondom IT-systemen die gebruikt worden bij de financiële rapportage van het bedrijf. Als daaruit blijkt dat er slecht wordt omgegaan met toegangsbeveiliging tot systemen of patch management, dan is het mogelijk dat dit niet alleen bij één systeem het geval is, omdat dit soort algemene IT-beveiliging vaak niet per systeem gemanaged of gecontroleerd wordt".
Volgens Marketwatch valt de controle van de IT-beveiliging van Equifax onder "diensten die gerelateerd zijn aan het uitvoeren van de audit of de controle van de geconsolideerde jaarrekening". Daarvoor rekende EY in 2016 een bedrag van 184.366 dollar, een klein deel van de in totaal 7,8 miljoen dollar die het kantoor vorig jaar aan Equifax in rekening bracht.
Gerelateerd
NCSC: bedrijven moeten zich tijdig voorbereiden op nieuwe cyberbeveiligingswet
In Nederland wordt aan de Europese NIS2-richtlijn invulling gegeven met de Cyberbeveiligingswet (Cbw), die naar verwachting in 2026 in werking treedt. Organisaties...
Onderzoek Grant Thornton: cyberincidenten nemen fors toe
Bedrijven doen veel te weinig aan cyberveiligheid. Bijna zeventig procent van de ondernemingen in Nederland heeft ervaring met cyberaanvallen. Vooral kleinere bedrijven...
Cyber en bedrijfsstilstand zijn grootste zorgen voor bedrijfsleven
Bedrijven staan wereldwijd onder toenemende druk van een risicolandschap dat complexer en onvoorspelbaarder is dan ooit. Waar volatiliteit en onzekerheid de enige...
ADR en NOREA presenteren framework om organisaties te helpen bij digitale weerbaarheid
De nieuwe Cyberbeveiligingswet stelt meer eisen aan Nederlandse organisaties op het gebied van digitale weerbaarheid. Het Cbw (NIS2) Control Framework moet organisaties...
Echtheid en de nieuwe wapenwedloop
Wat kun je nog vertrouwen, in een wereld waarin je met een handomdraai documenten vervalst of stemmen kloont? Professionele criminele groepen omarmen de mogelijkheden...