De Wet meldplicht datalekken heeft de advocatuur wakker geschud. Advocatenkantoren zijn zich steeds meer bewust van cybercrime en beginnen maatregelen te nemen – maar nog lang niet over de volle breedte. “De vraag is niet of digitale inbraak gebeurt, maar wanneer.”
Een van de meest populaire cursussen die advocatenkantoren de laatste maanden verzorgden voor ondernemers ging over de Wet meldplicht datalekken. Wie zoveel kennis in huis pretendeert, zal de digitale beveiliging zelf wel goed op orde hebben. “Maar bij de loodgieter lekt het dak ook vaak”, riposteert IT-advocaat Thomas van Essen van SOLV. Hij krijgt bijval van Olaf van Haperen, managing partner van Kneppelhout & Korthals. “Veel kantoren zijn zich onvoldoende bewust van de risico’s van cybercrime. Grote kantoren kunnen meer investeren in hun IT. Kleinere kantoren of eenpitters – en daar werkt toch 70 procent van alle advocaten – veel minder. Het zou voor kleinere advocatenkantoren verplicht moeten zijn hun IT uit te besteden.”
Beveiliging lijkt met de inwerkingtreding van de Wet melding datalekken iets nieuws. Maar de eis dat IT-systemen beschermd moesten zijn stond al in de Wet bescherming persoonsgegevens. Daar is met de nieuwe wet alleen een meldplicht aan een toezichthouder en een boete aan toegevoegd. “Het is dus wel raar dat je als advocatenkantoor nu pas gaat nadenken over beveiliging van je digitale systemen”, zegt Van Essen. De wet heeft wel veel kantoren wakker geschud.
Dat de problemen serieus zijn, blijkt wel uit een recent onderzoek van Files42. Dat bureau stelde dat zestien van de vijftig grootste advocatenkantoren van Nederland slecht zijn beveiligd tegen de meest eenvoudige vormen van cybercriminaliteit, waaronder twee kantoren uit de top-vijf.
Bedrijfsspionage
De risico’s van een digitale ‘inbraak’ kunnen aanzienlijk zijn. Van Haperen: “Stel een soort Panama Papers gebeurt bij een advocatenkantoor. Dat overleef je niet. Integriteit en betrouwbaarheid zijn immers het belangrijkste dat een advocaat heeft.” Van Essen: “Advocaten houden erg veel gegevens onder zich. Omdat geheimhouding verplicht is, moeten ze wel een extra stap zetten. Want wat kan er gebeuren? De pleitnota van Geert Jan Knoops in de Wilders-zaak lag onlangs op straat. Kantoren kunnen slachtoffer worden van bedrijfsspionage. Veel informatie waarover advocaten beschikken is aantrekkelijk voor criminelen en anderen, zoals adresgegevens, contracten en gegevens over fusies en overnames.” Een cyberinbraak is kostbaar: het kan leiden tot grote reputatieschade, een onderzoek naar het datalek zal moeten gebeuren door een extern – en duur – bureau en de toezichthouder kan boetes opleggen tot wel acht ton.
Het probleem is, zeggen Van Haperen en Van Essen, dat kantoren zich vooral concentreren op de voor- en achterdeur van hun digitale systemen: die moeten gesloten blijven voor hackers en andere criminelen. “Dan krijg je dat gedoe met wachtwoorden met hoofd- en kleine letters. Of je moet je wachtwoord iedere maand veranderen, iets wat maar weinig kantoren verplichten aan hun medewerkers. Het enige veilige is: lange wachtwoorden. Geen wachtwoorden maar wachtzinnen.”
Maar het is onvoldoende. Met man en macht proberen te voorkomen dat derden binnendringen zou niet de focus moeten zijn. Wel: versleuteling. “Het gaat niet om de beveiliging op zich, het gaat om de beveiliging van je data”, zegt Van Essen. “Als inbrekers toch binnen zijn, dan kunnen ze niks met je versleutelde documenten.” Werken in de cloud kan daarom ook een antwoord zijn. Dat de advocatuur daar veel weerstand tegen heeft, begrijpt Van Essen niet. “Cloudproviders zitten juist op beveiliging, dat is hun core business. Een eigen server is een minder goed idee, tenzij je een heel goed IT-team hebt.” Daarom is het zo opmerkelijk dat veel advocaten belangrijke documenten nog steeds via de mail versturen. “Die kunnen beter worden geplaatst in een soort box, waar de ontvanger ze kan uploaden. Overigens niet in Dropbox of Google Drive, want die zijn niet veilig genoeg”, vindt Van Essen.
Verzekeren
Advocatenkantoren zijn zich volgens Sjaak Schouteren, manager Cyber Risk Solutions bij risicoadviseur Aon, wel méér bewust van cyberrisico’s dan andere zakelijke dienstverleners. “Dat bewustzijn blijkt wel uit het feit veel advocatenkantoren zich tegen dergelijke risico’s verzekeren.”
Schouteren benadrukt dat advocaten ‘chantabel’ kunnen zijn als criminelen in bezit komen van belangrijke documenten. En dat is niet ondenkbeeldig. “Veel voorkomend is ransom ware. Als je een phishing mailtje opent, dan verspreidt zich een virus. Je hebt geen toegang meer tot je systeem, er verschijnt alleen een pop up waarop staat dat je een flink bedrag moet betalen. Zolang je het niet doet, kun je niet werken en geen declarabele uren schrijven. Simpelweg de backup van gisteren terugzetten is niet afdoende. Je zult al je systemen moeten onderzoeken om te kijken of het virus echt weg is. Daar zijn veel interne en externe kosten mee gemoeid. En de vraag is niet of een cyber incident zich voordoet, maar wanneer. Je kunt je niet wapenen tegen virussen waarvan je het bestaan niet eens kent. Maar vergeet ook zeker de mens niet, die vaak nog de zwakste schakel is.”
Is dat geen bangmakerij? Er zijn toch nog geen grote ongelukken gebeurd? Van Haperen: “Dat weten we niet. Kantoren hebben geen systemen om lekken te ontdekken. Vergeet overigens niet dat het verliezen van je telefoon of usb-stick al onder de wet valt, ook dat is een datalek. Kantoren moeten protocollen hebben over wat ze moeten doen bij een datalek, ze moeten dan een privacy impact analysis uitvoeren.”
Of de Orde dat gaat controleren, daarover heeft Van Haperen zijn twijfels. “Ook de Orde weet te weinig van dit onderwerp. Toen ons kantoor laatst werd onderworpen aan de dekenaudit, kwam ook de beveiliging aan bod. Ons pasjessysteem zag er goed uit, vond de deken. Maar dat betrof alleen de fysieke veiligheid. Het enige dat werd vastgesteld over onze IT-veiligheid was: de IT is uitbesteed. Ik wil maar zeggen: de Orde kan de digitale beveiliging niet eens beoordelen.”
Kritische deken
Kneppelhout & Korthals zelf zal een kritische deken voor zijn. De IT is uitbesteed aan een gespecialiseerde en gecertificeerde private cloud provider, met de afspraak dat de data in Nederland blijven. Het kantoor werkt met versleuteling, ook op de laptops en tablets die de advocaten meenemen naar bijvoorbeeld een lezing. Er is een streng wachtwoordbeleid en veel informatie is extra afgeschermd. “Het is niet nodig dat elke advocaat bij alle data kan.” En: het kantoor heeft een cyberpolis afgesloten. De risico’s van cybercrime vallen niet onder de gewone beroepsaansprakelijkheidsverzekering.
Schouteren: “Mijn indruk is veel advocatenkantoren goed op de hoogte zijn van de verzekeringsoplossingen en ook een cyberpolis afsluiten. Dat wil nog niet zeggen dat er voldoende maatregelen worden getroffen om risico’s uit te bannen. Er ontstaat gelukkig wel meer en meer het besef dat het niet alleen een probleem van IT is. Als wij langskomen zeggen we tegen het hoofd IT: zorg dat de managing partner er ook bij zit.”
Dat het daar nog niet tussen de oren zit, heeft Schouteren ook wel ervaren. “De bedrijfshulpverlener weet heel goed wie een geel hesje aan moet als zich een calamiteit zoals brand voordoet. Maar bij een cyberincident weet men dat niet. Maar dat zouden advocatenkantoren wel moeten weten.”
