Hur revisorn Erwin Gritter säkrar ZMGroeps kund- och företagsdata

"De e-postmeddelanden som innehöll Dropbox-dokument visade sig inte komma från min klient.

I praktiken är revisorn eller skattespecialisten allt oftare en förtrogen än bara en finansiell eller skatteexpert. Detta upplever även Erwin Gritter, oberoende skattespecialist på ZMGroep sedan mer än 20 år tillbaka. Han konstaterar att det nuvarande digitala arbetssättet leder till en större risk för cyberbrottslighet. Enligt honom måste särskilt revisorer och skatteexperter vara tydliga med att deras klient- och företagsdata är väl skyddade.

Vi frågade honom om hur han hanterar konfidentiella uppgifter, vilka cyberrisker han ser och hur han täcker dem som skattespecialist. Skattespecialister är inte IT-specialister, men han förklarade att det är viktigt att se till att saker och ting är så säkra som möjligt.

Konfidentiella uppgifter om kunder

Gritter berättar om sitt arbete och de data som ingår: "Vi ger skatterådgivning och hjälper företag att skapa rätt finansiell struktur. Det innebär att vi känner till entreprenörernas ekonomiska förehavanden både privat och professionellt."

Han förklarar att detta innebär ett stort ansvar. "Först och främst hanterar vi alla kunddata konfidentiellt. Dessutom förstår vi att just dessa uppgifter inte får hamna på gatan, eftersom integriteten är extra viktig i det här fallet."

Världen för revisorer och skatteexperter har förändrats i det avseendet. För ungefär 25 år sedan fanns allt bara på papper, så man kunde bokstavligen hålla det under lås och bom, förklarar han. I dag är allt digitalt, så det kräver en annan typ av säkerhet. "Dessutom upplever många av våra kunder oss som deras förtrogna, för mycket mer än bara finansiell eller skattemässig expertis", tillägger Gritter.

Hur hanterar ni cybersäkerhet?

Han känner till riskerna med cyberbrottslighet, åtminstone i stora drag. "Man hör historier om företag som hålls som digital gisslan eller stängs ner, och det vill man naturligtvis undvika. Vi vill inte hamna i trubbel med vårt företag, men ännu viktigare är att vi inte vill att kunddata ska hamna på gatan."

Medvetenheten bland revisorer och skattespecialister ökar, anser han. Han beskriver hur finansiella data i synnerhet kan vara ett huvudmål för cyberbrottslingar.

"Det var därför jag outsourcade det till vår IT-chef. Bara för att jag känner till farorna betyder det ju inte att jag kan göra något med dem. Jag frågar honom regelbundet hur det går för oss. Jag frågar honom om vi är utsatta för risker med vårt sätt att arbeta, hur vi täcker dessa risker och om mer behöver göras för det." Det är hans IT-chef som hanterar detta på daglig basis och varnar honom för nya risker eller när sårbarheter är nära förestående.

Digitalisering underlättar, men gör oss mer sårbara

"Det digitala fungerar naturligtvis mycket enklare och snabbare, men det gör oss också mer sårbara", säger Gritter. Han syftar på den extra säkerhet som krävs. Mer tid går åt till regelverk och andra kringfrågor, vilket gör att vårt eget yrke försvinner lite längre bak.

"Vi gör i princip allt på nätet och via e-post. Det är mycket användarvänligt och bekvämt, men det medför också risker. Därför måste jag vara mer uppmärksam på de potentiella farorna, vilka regler som gäller och vilka lösningar som finns tillgängliga." Han skrattar och tillägger: "Ibland längtar jag fortfarande tillbaka till den tid då allt bara var utskrivet på papper."

Egen erfarenhet av cyberhot

På frågan om hans egen erfarenhet av cyberhot kommer han genast att tänka på en incident. Han beskriver hur hoten plötsligt uppstod för några år sedan, under ett förvärvsprojekt för en kund.

"Vi fick en massa e-postmeddelanden med Dropbox-dokument som vi skulle gå igenom. De gick mest till min kollega, men plötsligt fick jag dem också. Det var juridiska dokument och det är ju normalt min expertis, så det var inte alls misstänkt." Dokumenten visade sig dock inte ha kommit från kunden. Hackare hade lyckats hacka kunden och skickat dokument till Gritter från den e-postadressen.

En direkt förfrågan till företagets egen IT-chef gav lyckligtvis beskedet att inga problem hade uppstått. "Det verkade inte vara något fel på oss. Naturligtvis blev vi ännu mer försiktiga och säkrade oss ännu bättre mot sådana hot."

Han förklarar hur man som företagare behöver professionella lösningar för detta. "Du kan omöjligt ringa någon efter varje e-postmeddelande för att fråga om han eller hon verkligen har skickat meddelandet. Det är den motsatta världen; det borde vara mycket enklare att göra det med en bra säkerhetslösning. När det gällde det här direkta hotet kontaktade vi naturligtvis kunden för att kunna vidta omedelbara åtgärder."

Erfarenheter av Guardey

Gritter hittade den lösningen i Guardey. "Jag skulle beskriva det som viktigt, innovativt och utvecklande", svarar han när vi frågar honom om vad Guardey står för för honom.

"Programvaran hjälper oss att hålla hoten borta så mycket som möjligt. Dessutom varnar detekteringen oss när något kan vara på gång. Vår IT-chef tar sedan hand om det, så som team har vi det väl omhändertaget."

Han märker också att det finns ett tryck från branschorganisationer att komma igång med detta. "Både RB som är en yrkesorganisation för skattespecialister och SRA för revisorer påpekar regelbundet riskerna med cyberbrottslighet. De gör det till exempel i sina nyhetsbrev, där de påpekar vad som händer och håller företagen informerade."

Enligt honom finns det fortfarande mycket att vinna när det gäller cyberhot och lämpligt skydd mot dem. "Socialt kan vi ha en roll. Vi som skatteexperter och revisorer bör skydda både oss själva och våra kunder. Vi är deras förtrogna, både när det gäller skatte- och ekonomifrågor och mer än så. God säkerhet mot cyberbrottslighet är då bara något som kunderna som ett minimum bör förvänta sig av oss."