vak & mens
Cybercrime is een groeiend probleem, ook voor advocaten. Basishygiëne en cyberweerbaarheid zijn volgens deskundigen minstens zo belangrijk als beveiliging. ‘Op een moment van onachtzaamheid ben je aan de beurt.’
‘We hebben last van een data-incident dat een klein aantal opslagservers raakt,’ zo meldt het Londense hoofdkantoor van Allen & Overy in een statement op 9 november vorig jaar. Het werk van de vijfduizend advocaten en andere werknemers op de wereldwijd 28 vestigingen kan gewoon doorgaan, zo bezweert de multinational, zij het ‘met enige hinder veroorzaakt door maatregelen om het incident binnen de perken te houden’. Cliënten van wie data in het incident betrokken zijn, zullen daarvan op de hoogte worden gesteld.
Kort voor het verschijnen van het raadselachtige statement hebben cyberjournalisten op sociale media onthuld dat de juridische reus is gehackt door LockBit, de meest geavanceerde cybercrimebende van dit moment, opererend vanuit Rusland. Op het darkweb prijkt A&O op de lijst met slachtoffers. Als ze voor 28 november niet betalen, dan dreigen de gijzelaars buitgemaakte documenten te openbaren. Eén dag voor het verstrijken van de deadline verdwijnt A&O van de lijst. Er worden geen geheime documenten gepubliceerd. Commentatoren wereldwijd trekken de conclusie dat het concern losgeld zal hebben betaald, maar A&O zelf houdt de kaken stijf op elkaar, ook na een internationale politieactie in februari, die LockBit een zware slag toebrengt. Zowel de Amsterdamse als de Londense woordvoerder van A&O mag niets over de kwestie melden en verwijzen naar het statement van 9 november: een data-incident dat zich daarmee al maanden voortsleept. Of nooit heeft plaatsgevonden. Wie het weet, mag het zeggen.
Zwijgen, ontkennen en als, het niet anders kan, bagatelliseren: het lijkt een houding die ook sommige Nederlandse advocatenkantoren aannemen. Cybercrime is een groeiend probleem. Internationaal zijn ook andere grote advocatenkantoren populaire targets gebleken. Eerder werden bijvoorbeeld DLA Piper en Deloitte getroffen en Bloomberg meldde vorig jaar dat tachtig grote, Amerikaanse advocatenfirma’s zouden zijn gehackt vanuit China.
Hacks
Er valt geen reden te bedenken waarom de grensoverschrijdende cyberbendes Nederlandse advocaten zouden willen ontzien. De Autoriteit Persoonsgegevens registreert al meer dan twintigduizend meldingen per jaar, waarbij persoonsgegevens zijn buitgemaakt. Mkb-bedrijven, waaronder de meeste advocatenkantoren, zijn extra kwetsbaar, omdat ze minder budget hebben voor professionele IT-beveiliging. Maar hoeveel meldingen de privacywaakhond krijgt vanuit de balie kan de woordvoerder niet nagaan. Ook de NOvA krijgt geen meldingen van hacks. De dekens houden toezicht op de kantoren. ‘Cybersecurity hoort bij het toezicht,’ bevestigt de Amsterdamse deken Jacqueline Schaap, ‘verder horen kantoren ons op de hoogte te stellen als er iets gebeurt. In onze regio zijn de meeste internationale kantoren, maar we krijgen bijna nooit meldingen. De vorige deken heeft er twee jaar geleden één gehad.’
Ook het nieuwsarchief levert maar weinig op. De redactie van Quote ontving drie jaar geleden rare mailtjes vanuit de gehackte mailservers van twee advocatenkantoren: eenmanskantoor Quist uit Dordrecht en Wille Donker advocaten uit Bodegraven. Beide kantoren wilden toen tegen Quote niet reageren en voor dit artikel nu nog steeds niet. De redactie van het Advocatenblad ontving onlangs een phishingmail vanuit een gekraakte mailbox van Turnaround Advocaten uit Utrecht. Ook dat kantoor wil geen nadere uitleg geven. ‘Het is te pijnlijk,’ zegt Alexander Freund, Senior Information Security Consultant bij adviesbureau ICTRecht. ‘Advocaten beheren bijna altijd gevoelige informatie. Cyberbeveiliging ligt in het verlengde van hun beroepsgeheim. Dat besef is er natuurlijk, maar hoe de beveiliging technisch geregeld en bijgehouden moet worden is een uitdaging, zeker voor kleinere kantoren.’
‘Hoe de beveiliging technisch geregeld en bijgehouden moet worden is een uitdaging, zeker voor kleinere kantoren’
‘Er heerst een enorme schaamte bij slachtoffers,’ beaamt advocaat Jeroen Sprangers, partner bij REIN Advocaten & Adviseurs. Het kantoor met vestigingen in Groningen, Assen en Emmen staat regelmatig gehackte bedrijven bij. ‘We hebben samen met de politie en de banken onlangs nog een paar ton losgeld terug weten te halen uit Oost-Europa.’ Zeven jaar geleden werd het kantoor zelf geraakt. Een medewerker klikte op een link in een op het oog normale mail van een leverancier. Razendsnel werden cruciale systeembestanden gegijzeld. ‘Je bent twee, drie uur werk kwijt en je kunt op dat moment ook niet verder. Gelukkig was het op een maandagmorgen. Een collega moest wel naar een kort geding, maar die had zijn stukken gelukkig al geprint. We besloten het losgeld niet te betalen en hebben heel hard gewerkt om vanuit onze back-ups alles zo snel mogelijk weer te repareren.’
Hoewel er geen cliëntgegevens waren buitgemaakt, besloot het kantoor naar buiten open kaart te spelen. ‘Als er inbrekers actief zijn, sein je elkaar als ondernemer toch ook in? Ik heb onze ervaringen vaak gedeeld, ook op verzoek van het ministerie van Justitie en Veiligheid. We willen andere kantoren waarschuwen. Maar de reactie van collega’s is vaak: dat overkomt ons niet, want wij hebben alles goed beveiligd. Ik vind dat lariekoek. Als men wil inbreken, dan breekt men in. Als zelfs het Pentagon gehackt is, dan kan het de beste overkomen. De kans is eigenlijk heel groot. Gelukkig zijn er heel veel bedrijven in Nederland en de advocatuur is maar een kleine branche. Maar het moet zich veel vaker voordoen dan we weten.’
Trainingen
Absolute veiligheid bestaat niet, beaamt Freund van ICTRecht. Hij werkte zelf jaren als advocaat bij Clifford Chance. Toen cybercrime zich een paar jaar geleden ontpopte tot een miljoenenbusiness, besloot hij zich te specialiseren als consultant. ‘Bij grote kantoren is er zeker aandacht voor het onderwerp, hoewel oudere partners aan het eind van hun loopbaan soms aanhikken tegen grote investeringen op dat gebied. Het zal hun tijd wel duren en ze hebben soms ook een kennisachterstand op dat vlak.’
Vergeleken met branches als de zorg, het onderwijs, gemeenten en het notariaat blijven de advisering en dienstverlening vanuit ICTRecht aan advocaten tot nu toe achter. Misschien komt dat omdat er in Nederland voor zover bekend nog geen grote ongelukken zijn gebeurd. De lijst met gehackte gemeentes, universiteiten en ziekenhuizen is lang en de Koninklijke Notariële Beroepsorganisatie leerde zijn lesje met het DigiNotar-debacle. ‘We geven trainingen aan notariskantoren in het kader van hun nieuwe gedragscode Informatiebeveiliging. Voor de advocatuur is zo’n gedragscode er nog niet.’
Ook de recente commotie rond de uitgelekte opnames van gesprekken tussen Peter R. de Vries en Khalid Kasem heeft de discussie daarover nog niet aangezwengeld. De vraag hoe de audiobestanden van de telefoon van Peter R. de Vries in handen kwamen van de zogenaamde ‘drie musketiers,’ die ze doorspeelden naar het AD, is nog onbeantwoord. In de media is geopperd dat de telefoon zelf of de elders opgeslagen geluidsopnames ergens in de cloud zouden kunnen zijn gehackt. ‘Ik kan en mag er helaas niks over melden,’ reageert advocaat Royce de Vries. ‘Er is geen datalek op ons kantoor vastgesteld. Dat geldt zowel voor mijn vorige kantoor als De Vries Van Spanje.’
Toch kan het juist ook fout gaan in het grijze gebied van apparaten rond het beveiligde systeem: mailtjes die binnenkomen en op de telefoon of tablet worden geopend, camera’s, printers, intercoms, slimme kantoorverlichting, ijskasten, cv-installaties en andere randapparatuur die wordt aangesloten, mensen die thuiswerken of op locatie. Het wordt steeds moeilijker om alles te beveiligen en bij te houden. ‘Ook kleinere kantoren werken tegenwoordig vanuit de cloud,’ aldus Freund, ‘denk aan Microsoft 365. Dat is niet per se onveiliger, als je maar weet wat je doet. Veel advocaten werken vanuit hun inbox, onbeveiligde e-mail met belangrijke documenten als bijlage eraan. Je moet mensen trainen in basishygiëne zoals encryptie en documenten opslaan in beveiligde mappen.’
‘Ik heb zoals iedereen regelmatig vergaderingen bij een Van der Valk,’ vertelt Sprangers, ‘als ik dan gesprekspartners gewoon de open wifi daar zie gebruiken, val ik van mijn stoel. En al die apparaten die thuis automatisch synchroniseren. De gedachte dat een document van een cliënt zo digitaal rond gaat zweven door de cloud is doodeng.’
Spelen bij de grote kantoren zakelijke belangen en bedrijfsgeheimen – koersgevoelige informatie, overnamebesprekingen, patenten, aanbestedingen – andere rechtsgebieden draaien weer om andere geheimen. En ook hier is zo langzamerhand alles gedigitaliseerd, ook in de uitwisseling van stukken met de griffies van de rechtbanken en gerechtshoven. De fax en de dozen met ordners hebben plaatsgemaakt voor een advocatenportaal op mijnrechtspraak.nl, waar je met de advocatenpas en een identificatiekastje kunt inloggen. Zijn bijvoorbeeld digitale strafdossiers voldoende beveiligd? ‘Er zijn ons geen gevallen bekend van problemen met dat systeem,’ zegt strafpleiter Dennis Wolters, voorzitter van de Nederlandse Vereniging van Strafrechtadvocaten. Cliënten in voorarrest krijgen de stukken nog op papier, maar bij dossiers groter dan vijf ordners mogen ze een digitale versie bijhouden op een laptop. ‘De vertrouwelijkheid van het dossier is relatief, want de cliënt kan het delen met wie hij wil en een eventuele celgenoot heeft ook toegang. Maar ik denk dat een gemiddeld strafdossier ook niet interessant is voor een cybercrimineel.’
‘Zorg dat je bijblijft. En dan is het maar een beetje hopen en geluk hebben dat het aan je voorbijgaat’
Zijn eigen kantoor, Wolters Strafrechtadvocaten, werd een paar jaar geleden wel gehackt. ‘Op een moment van onachtzaamheid ben je aan de beurt. Een phishingmailtje dat een collega opende. Het ging de hackers niet om de informatie, maar om het systeem plat te leggen. Dat je er niet meer in kunt. We hebben het losgeld niet betaald en gewoon ons gezond verstand gebruikt en alles laten terugplaatsen vanuit de back-ups. Zorg dat je bijblijft, is mijn advies, en dan is het maar een beetje hopen en geluk hebben dat het aan je voorbijgaat.’
Kunstmatige intelligentie
In de wapenwedloop tussen criminele hackers en beveiligers is AI het nieuwe wapen. Hackers gebruiken het om bedrijven op het internet te scannen op zoek naar zwakke plekken, zo legt Freund uit. ‘De businessmodellen veranderen. Vroeger kon je zeggen: wij zijn niet interessant voor hackers, maar dat geldt allang niet meer. Ze leggen je business plat zodat jij een continuïteitsprobleem hebt. Maar de laatste tijd nemen ransomwareaanvallen licht af en proberen hackers weer echt binnen te komen. Ze dreigen met het publiceren van buitgemaakte informatie. Advocatenkantoren zijn hier extra kwetsbaar voor. Absolute veiligheid bestaat niet. Wij signaleren een shift van cyberveiligheid naar cyberweerbaarheid: zo snel mogelijk kunnen herstellen van een aanval. En ook monitoring en detectie om dreigingen te zien aankomen. Kunstmatige intelligentie kan leiden tot toename van risico’s. Bijvoorbeeld betere phishingmails, qua taalgebruik en opmaak niet meer van echt te onderscheiden. Maar AI helpt ook bij slimme detectie en monitoring. Het werkt twee kanten op.’
Sinds 2017 bundelen tweeëntwintig grote Nederlandse kantoren hun krachten binnen de Information Sharing and Analysis Center (ISAC) om cybersecurity-uitdagingen gezamenlijk aan te pakken. Dennis Langhorst, Chief Information Security Officer (CISO) bij NautaDutilh, was één van de initiatiefnemers voor deze samenwerking. ‘We komen maandelijks bij elkaar en communiceren tussendoor indien nodig via directe kanalen. De meeste kantoren maken gebruik van dezelfde juridische applicaties en wisselen informatie uit over kwetsbaarheden en dreigingen van die applicaties. Naast alle overige beveiligingsmaatregelen proberen we door goed samen te werken de risico’s nog verder te beperken. Door elkaar adequaat te waarschuwen, kunnen maatregelen tegen nieuwe dreigingen sneller worden genomen.’
Het lidmaatschap van de Legal-ISAC is voorbehouden aan de grote Nederlandse kantoren met een fulltime ICT’er in dienst. Maar ook kleine kantoren kunnen zich beschermen tegen cyberdreigingen. ‘Kleine kantoren verdrinken regelmatig in de externe adviezen en beveiligingsnormen. Maar als de basis niet op orde is, heeft verdere beveiliging weinig zin. Begin daarom met de fundamenten: implementeer sterke authenticatiemethoden, zoals tweefactorauthenticatie. Voer alle kritieke updates voor internettoegankelijk applicaties binnen 24 uur uit, omdat aanvallers actief zoeken naar systemen die nog niet geüpdatet zijn. Beperk toegangsrechten strikt tot wat absoluut noodzakelijk is. Zorg voor een goede back-up en test regelmatig of deze kan worden hersteld. Investeer ten slotte in trainingen om het bewustzijn en de kennis van alle medewerkers te verhogen.’
Met dat laatste voorkom je dat menselijke fouten je dure en bijgewerkte veiligheidssysteem alsnog lekprikken. ‘Wij laten regelmatig penetratietesten doen,’ vertelt Sprangers. Eén keer stuurden ze binnen anderhalf uur een selfie van twee lachende heren met hun laptop in ons serverhok. Toen had je nog servers op locatie. Die white hat hackers hadden zich bij de receptie gemeld als IT-installateurs en konden gewoon doorlopen. Dan is de techniek prima, maar de menselijke factor blijft een risico.’