Hoe beveilig je een advocatenkantoor tegen cyberaanvallen?

j

Gepubliceerd

September 10, 2019

Auteur

Coen Bröcker

}

Leestijd

7 minuten

Advocatenkantoren worden routinematig vertrouwd om aanzienlijke hoeveelheden gevoelige gegevens te verzamelen en te bewaren, waaronder persoonlijke informatie, intellectueel eigendom en commercieel gevoelig materiaal. Dit heeft niet alleen betrekking op hun eigen praktijk, maar ook op die van hun klanten en derden. De impact van een cyberaanval kan verreikend zijn. Cyberaanvallen op advocatenkantoren komen verhoudingsgewijs veel voor. Begin dit jaar kondigde een hackersgroep genaamd The Dark Overlord aan dat het een advocatenkantoor had gehackt. Groot-Brittannië kreeg een aantal jaar geleden te maken met een felle reeks cyberaanvallen tegen advocatenkantoren. Gevoelige informatie werd gestolen en criminelen trachten kantoren miljoenen afhandig te maken. Het is funest voor een advocatenkantoor als informatie in verkeerde handen valt. Het is zaak te zorgen voor een ijzersterke beveiliging tegen cyberaanvallen!

Met welke soorten cyberaanvallen krijgt een gemiddeld kantoor te maken? Wat zijn de risico’s en hoe zorgt u voor goede bescherming? In deze blog gaan we verder in op deze punten.

Verschillende soorten cyberaanvallen 

Er zijn verschillende soorten cyberaanvallen waar u mee te maken kunt krijgen. Meestal heeft u het niet eens door als u aangevallen wordt. Slechts in sommige gevallen ligt het gehele systeem plat. Hieronder bespreken we een aantal varianten van cyberaanvallen waar u in de advocatuur mee te maken kunt krijgen.

Data lekken

Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden. Een gestolen geprinte klantenlijst kan echter evengoed een datalek vormen. Bedrijfsgegevens die illegaal verkregen zijn, over marktstrategie of een productieproces betreffen kostbare informatie, maar vallen echter niet onder een datalek in de zin van de AVG. Een gestolen of verloren bedrijfstelefoon kan mogelijk een datalek zijn als deze contactgegevens, e-mails e.d. van cliënten bevat. Wat in de regel natuurlijk zo is. Het verliezen van een privételefoon echter is géén datalek. De AVG is namelijk niet van toepassing op de verwerking van persoonsgegevens voor persoonlijke of huishoudelijke doeleinden. Een ding is wel zeker bij een datalek. Deze moeten bij de toezichthouder worden gemeld! Doe je dit niet, dan riskeer je fixe een boete. Melding dient binnen 72 uur na ontdekking plaats te vinden.

Phishing (of gehackte e-mailadressen)

Phishing vindt plaats via de e-mail. U ontvangt vast wel eens vreemde e-mails van ‘uw bank’, waarin aangegeven wordt dat uw pinpas aan vernieuwing toe is. Ook advocatenkantoren krijgen te maken met phishing. We hebben voorbeelden gezien van e-mails die beweren van een partner te komen naar een junior advocaat die deze verzoekt om betalingen naar een account te doen of bepaalde informatie naar een adres te sturen. Omdat er bekende emailadressen worden gebruikt, is men snel geneigd hier gehoor aan te geven. Wees daarom altijd alert bij dergelijke e-mails. Ze zijn soms niet van echt te onderscheiden.

Ransomware

Ransomware is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens aan een gebruiker geld vraagt om de computer weer te ‘ontgrendelen’ middels een tegen betaling verstrekte code. Ransomware aanvallen kunnen een advocatenkantoor diep in de kern treffen. Niet alleen is er informatie gestolen, u wordt gechanteerd om uw eigen documenten terug te krijgen. Documenten die in veel gevallen gevoelige informatie over cliënten bevatten. Mits u over goede back-ups beschikt, hebt u in geval van een geslaagde ransomware attack vaak niet veel keuze dan te betalen: de informatie is immers al gestolen.

De hierboven weergegeven lijst is uiteraard niet limitatief en bevatten over het algemeen attacks waar u wat van merkt. Van de meeste merkt u echter niets. Ze komen vaak niet eens aan het licht! Dit betekent echter niet dat de data die buitgemaakt wordt niet misbruikt wordt. Zorg daarom voor regelmatige ICT-beveiligingsassessments en plaats sentries in uw netwerk die uw dataverkeer monitoren. Een goede IT-dienstverlener kan u hierbij helpen.

 

De risico’s voor een advocatenkantoor 

Aan (geslaagde) cyberaanvallen zijn aanzienlijke risico’s verbonden voor advocatenkantoren. Hieronder bespreken we een aantal zaken waar u, na een geslaagde aanval, tegenaan kunt lopen.

Aansprakelijkheidskwesties
Is er data gelekt over een client? Dan bent u als advocatenkantoor vatbaar voor een aansprakelijkheidsprocedure. U hebt de gevoelige informatie immers niet goed genoeg gewaarborgd.

Sancties van de Autoriteit Persoonsgegevens
Heeft u uw beveiliging niet goed op orde waardoor u vatbaar bent voor cyberaanvallen? Dan kan het zijn dat u sancties opgelegd krijgt door de Autoriteit Persoonsgegevens: zij houden toezicht op de naleving van wettelijke regels voor bescherming van persoonsgegevens. Zeker wanneer uw praktijk zich volledig richt op natuurlijke personen, is dit een risico. Denk aan strafrechtkantoren of letselschadekantoren.

Diefstal
Door de cyberaanvallen kan het zijn dat er geld gestolen wordt van de rekening van uw kantoor. In ergere gevallen wordt er geld gestolen van een derdenrekening.

Niet kunnen werken
Een cyberaanval kan ervoor zorgen dat uw systeem plat ligt voor een aanzienlijke periode. Alle servers moeten immers weer beveiligd worden. IT-specialisten zijn hier soms dagen tot weken mee bezig. In deze periode kan het werk niet naar behoren worden uitgevoerd…

Hoe zorgt u voor ijzersterke beveiliging tegen cyberaanvallen?

Al het bovenstaande wilt u als advocaat uiteraard voorkomen. Nu is het zo dat er verschillende opties zijn om te zorgen voor sterke beveiliging tegen cyberaanvallen. Hieronder bespreken we een aantal belangrijke zaken.

Solide IT-basis (cloud based)

Of het nu gaat om een klein of groot advocatenkantoor: een solide IT-basis is enorm belangrijk. Met de juiste IT, bent u beter beschermd tegen cyberaanvallen. Tegenwoordig kunnen zowel public als private clouds verregaand beveiligd worden. Een regelmatige ‘check up’ is hierbij uiteraard van belang: ook hackers komen steeds met nieuwe manieren om cyberaanvallen uit te voeren.

Extra maatregelen voor beveiligen tegen cyberaanvallen

Naast het hebben van een goede IT-basis, is er een aantal andere (noodzakelijke) tips voor het voorkomen van cyberaanvallen:

  • Beperkte toegang tot het netwerk en databases verschaffen: zorg ervoor dat uw werknemers enkel toegang hebben tot de dossiers waar zij daadwerkelijk aan werken. Op die manier dekt u zich extra in.
  • Encrypten is key: encryptie is belangrijk om ervoor de zorgen dat u niet in de handen valt van cybercriminelen.
  • Maak back-ups van alle data: wanneer u slachtoffer bent geworden van een cyberaanval, kan het zijn dat uw systeem een tijdje uit de lucht is of dat bestanden niet toegankelijk zijn. Als u back-ups heeft; kunt u gemakkelijker weer aan het werk.
  • Houd de apparatuur van medewerkers in de gaten: verschaft u laptops of smartphones ‘van de zaak’ aan werknemers? Zorg dan dat u deze apparatuur in de gaten houdt. Zorg voor regelmatige updates van het operating system, programmatuur en virusscanners.
  • Gebruik sterke wachtwoorden: Voor alle apparaten en accounts. Er zijn password tools die u hierbij kunnen helpen waardoor u niet onmogelijk veel sterke wachtwoorden hoeft te onthouden.
  • Informeer werknemers: houd zo nu en dan een informatiebijeenkomst over (de risico’s van) cyberaanvallen. Zorg dat een specialist uw werknemers laat weten waar zij op moeten letten en wat ze moeten doen bij een vermoeden.

 

Laat uw kantoor bijstaan door specialisten

Met name organisaties die met privacygevoelige informatie werken zijn verplicht een Functionaris gegevensbescherming aan te stellen. Deze persoon houdt toezicht op de toepassing en naleving van de AVG en werk nauw samen met de IT-dienstverlener. Meestal wordt iemand binnen de organisatie opgeleid en aangesteld maar tegenwoordig kun je ook een expert inhuren.

Het belang van ijzersterke beveiliging tegen cyberaanvallen is aanzienlijk voor advocatenkantoren. Hoe zorgt u er echter voor dat u dit op orde krijgt? Hoe wordt de solide IT-basis gelegd waarmee dit kan? U bent advocaat, geen ICT’er… In dit kader is het dus belangrijk om samen te werken met goede specialisten.

Stackbee richt zich specifiek op IT voor advocatenkantoren. We hebben ruim 20 jaar ervaring in het beveiligen van grote netwerken tegen cyberaanvallen. Neem contact op en laat u adviseren!