ZE ZIJN AL BINNEN!

Mocht bij u nog de illusie leven dat een cyberaanval op uw kantoor niet kan voorkomen, dan moeten wij u helaas meedelen dat dit slechts wishful thinking is[1]. Elke muisklik wordt vastgelegd. Ook uw kantoor kan interessant zijn voor een cyberaanval. Is het niet voor informatie waarover uw kantoor beschikt, dan mogelijk om via uw kantoor andere interessante bedrijven te infiltreren of om uw kantoor geld afhandig te maken. Het is “de dreiging” van vandaag en van de toekomst.

Als advocaat beschikt u over veel privacy gevoelige informatie. Als geprivilegieerd geheimhouder verwachten cliënten dat u de vertrouwelijkheid van die gegevens, waaronder die van digitale gegevens, waarborgt. U bent verantwoordelijk voor een veilige opslag van de verstrekte informatie, ook als u derden hebt ingeschakeld om dit te regelen. Een saillant detail in dit kader is dat de meeste serviceproviders de aansprakelijkheid betreffende de veiligheid van uw netwerk(verbindingen) uitsluiten dan wel vergaand beperken.

WAT IS CYBER?
Het begrip cyber is het afgelopen jaar steeds nadrukkelijker op de voorgrond getreden en is anno 2016 niet meer weg te denken uit het publieke debat in het bedrijfsleven. Maar wat omvat het veel gebruikte begrip cyber nu eigenlijk? Als men heden ten dage het begrip cyber in de mond neemt, doelt men vaak op “cybercrime”. Dit is criminaliteit waarbij gebruik wordt gemaakt van het internet en/of telecommunicatienetwerken, ofwel criminaliteit met ICT als middel én doelwit. Als gevolg van cybercriminaliteit kan er sprake zijn van het lekken van informatie. Bij een lek zal een cliënt u aanspreken, niet uw provider.

Er is sprake van een cyberincident als er inbreuk wordt gemaakt op het netwerk van uw kantoor. Daarnaast spreekt men van een datalek wanneer er daadwerkelijk beveiligde persoonsgegevens worden geopenbaard. Gegevens vallen in handen van derden die geen toegang tot die gegevens zouden mogen hebben of ter beschikking gestelde persoonsgegevens worden/blijken op een onrechtmatige wijze verwerkt.

Vaak gaat het om een beveiligingsprobleem, maar ook nalatigheid van een medewerker (bijvoorbeeld het zenden van informatie naar een verkeerd e-mailadres, het verliezen van een USB-stick of mobiele telefoon etc.) kan tot een datalek leiden.

Dagelijks lezen we berichten in de media over cyberincidenten. Alleen al in Nederland kost cyber  € 10 mrd per jaar[2].

Waar dient u aan te denken bij cyberincidenten:  

  • phishing
    bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer;
  • malware
    elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Malware wordt gedefinieerd door middel van zijn kwade opzet. Software die onopzettelijk kwaad veroorzaakt valt hier dus niet onder;
  • DDOS-aanvallen
    zijn pogingen om een computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker. De poging(en) om het doelwit onbruikbaar te maken wordt vanuit meerdere computers tegelijk uitgevoerd. De eigenaren van de computers die de aanvallen uitvoeren hoeven zich niet bewust te zijn dat hun computer hiervoor wordt gebruikt.
  • hacking
    het door onbevoegde derden zonder toestemming binnendringen van een computernetwerk door de beveiliging te doorbreken. Niet altijd met de bedoeling om illegaal informatie toe te eigenen, maar veelal om aan te tonen dat het netwerk onvoldoende beveiligd is;
  • spam
    het ongewenst ontvangen van electronic mail of ongewenste (vaak commerciële) informatie in nieuwsgroepen;
  • afpersing 
    het van buitenaf binnendringen van het netwerk van uw kantoor met als doel financieel nadeel toe te brengen.  Dat kan door een virus te verspreiden, waardoor het netwerk van uw kantoor geheel wordt geblokkeerd, waarna uw kantoor vervolgens een “ransom-mail” ontvangt met de mededeling dat het netwerk weer zal worden vrijgegeven na voldoening van een in het mailbericht genoemd bedrag. Een andere vorm is het dreigen vertrouwelijke informatie vrij te geven.

Wat de oorzaak van “lekkage” ook is (of dit nu een menselijke fout, een systeemfout of een cyberaanval betreft) het feit dat vertrouwelijke informatie op straat  komt te liggen, zorgt ervoor dat uw kantoor op diverse gebieden schade lijdt. Het kan de betrokkenen duperen en uw  reputatie aantasten. Al met al een aanzienlijke schade- en kostenpost die zelfs de continuïteit van uw kantoor in het geding kan brengen.

Feitelijk is deze schade- en kostenpost tweeledig te kwantificeren:

  • eigen schade
    schade voor uw kantoor en bedrijfsvoering (bijv. kosten herstel software, notificatiekosten, kosten public relations etc.);
  • schade van contractuele wederpartijen en/of derden
    Een praktisch voorbeeld: u adviseert een cliënt over een overname. Door een lek komen bedrijfsgevoelige gegevens in de media. Dit beïnvloedt de overnameprijs van uw cliënt in negatieve zin. Uw cliënt houdt u verantwoordelijk en stelt u aansprakelijk.

WET MELDPLICHT DATALEKKEN
Per 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden en is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Vrijwel alle ondernemingen in Nederland zijn vanaf 2016 verplicht om melding te doen bij de Autoriteit Persoonsgegevens als er sprake is van een ernstig datalek. Melding dient zonder onnodige vertraging en in ieder geval binnen 72 uur na ontdekking plaats te vinden. Er dient niet alleen te worden gemeld om wat voor lek het gaat en welke (mogelijke) consequenties een dergelijk lek zal hebben, maar ook welke maatregelen zijn en/of worden genomen om de situatie te herstellen. Daarnaast dient in de meeste gevallen ook diegene wiens persoonsgegevens zijn gelekt geïnformeerd te worden over het incident.

Overtreding van de wet kan leiden tot oplegging van een boete. Er zijn drie boetebandbreedtes[3] welke afhankelijk zijn van het soort overtreding. De verschillende boetebandbreedtes kunnen cumulatief werken. De bestuurlijke boete van de hoogste categorie bedraagt per 1 januari 2016 maximaal EUR 820.000,-  dan wel een boete voor ten hoogste 10% van de jaaromzet[4].
Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval.

MAAR WIJ ZIJN TOCH AL VERZEKERD?
In gesprekken met uw beroepsgroep komt nog regelmatig de opvatting naar voren dat men er vanuit gaat dat de bestaande verzekeringen afdoende dekking bieden voor dit nieuwe risico. Helaas is de realiteit een andere. Bij veel bestaande verzekeringen worden cyberrisico’s slechts deels gedekt.

Aansprakelijkheidsverzekeringen 
De bestaande aansprakelijkheidsverzekeringen, zoals de beroepsaansprakelijkheidsverzekering (BAV), de aansprakelijkheidsverzekering bedrijven (AVB) en de bestuurdersaansprakelijkheidsverzekering (D&O) bieden doorgaans (slechts) dekking voor de schade van derden (o.a. cliënten)en niet voor eigen schade aan uw kantoor. Zij bieden veelal geen dekking voor zuivere vermogensschade, terwijl dit een veel voorkomende schadecomponent is in geval van cyberincidenten (denk aan extra kosten, verlies van geldelijke waarden, inkomsten en gederfde winst).

Materiële verzekeringen (Brand, Computer en Fraude) en
Special Contingency (Kidnap & Ransom)

Deze verzekeringen kennen veelal specifieke oorzaken, die de verzekering in werking doen treden. De vraag is of deze verzekeringen in werking zullen treden in geval van een cyberincident. In het algemeen kan gesteld worden dat cyber geen genoemde oorzaak is, op grond waarvan  gevolgschade van een cyberincident slechts beperkt gedekt is.

Toegegeven dat  bestaande verzekeringen mogelijk gedeeltelijk dekking bieden voor delen van de schadelijke gevolgen van een cyberincident, zijn o.a. de volgende kosten ongedekt:

  • kosten voor incidentmanagement;
  • kosten wegens bedrijfsstilstand ten gevolge van een cyberincident;
  • notificatiekosten ter zake een datalek;
  • kosten voor forensisch onderzoek naar de oorzaak en dader;
  • de mogelijk door de Autoriteit Persoonsgevens op te leggen boete;
  • kosten ter beperking van schade als de “error & omissions ” van de IT-afdeling van uw kantoor.

Daarnaast geldt nog dat in geval er dekking dient te worden gezocht onder verschillende bestaande verzekeringen er op een zeer ongewenst moment van crisis, discussie kan ontstaan tussen verschillende verzekeringen en risicodragers of en zo ja welke schadecomponenten mogelijk gedekt zullen zijn onder een specifieke verzekering. Dit leidt tot een ongewenste vertraging op een moment dat juist handelen geboden is.

UW KANTOOR?
Op welke plek staat het beheersen van cyberrisico’s binnen uw kantoor op de agenda? Hopelijk luidt uw antwoord dat dit onderwerp prominent bij uw bestuur op de agenda staat. Immers, dit onderwerp is onlosmakelijk verbonden met de continuïteit van uw onderneming.

Omdat cyber continue onderhevig is aan verandering vraagt dit onderwerp om een dynamische benadering van uw kantoor waarbij wendbaarheid, flexibiliteit en lerend vermogen cruciaal zijn om de eventuele impact van dit risico voor uw kantoor, cliënten en andere stakeholders zoveel mogelijk te mitigeren.

Het advies luidt om periodiek uw situatie te analyseren. In de uit te voeren risicoanalyse dient u niet alleen de interne organisatie van uw kantoor te betrekken, maar dient zeker ook aandacht besteed te worden aan de contractuele relaties met uw IT-leveranciers. De ervaring leert dat contracten met IT-leveranciers vaak verouderd zijn en in geval van crisis of incidenten tot onaangename verrassingen kunnen leiden.

Zorg ervoor dat te nemen maatregelen[5], zoals die uit een uitgevoerde risicoanalyse naar voren komen, ook daadwerkelijk worden geïmplementeerd in uw dagelijkse processen. Bespreek binnen uw kantoor wie verantwoordelijk is voor dit onderwerp, zodat de juiste personen zich daarvan bewust zijn en adequaat kunnen handelen als de situatie daar om vraagt.

Het inrichten van een actief crisismanagementplan helpt uw kantoor de risico’s voortvloeiende uit incidenten beter te beheersen en daardoor kan schade  worden beperkt. In geval van een incident is de eerste 24 uur de belangrijkste fase. Een actief crisismanagementplan maakt dat u als kantoor in deze fase niet verlamd raakt, maar adequaat kunt reageren. Om te beoordelen of uw kantoor(organisatie) voldoende voorbereid is op een cyberincident of in geval van crisis adequaat zal reageren hoeft u niet te wachten tot u wordt overvallen door een dergelijk incident. Het uitvoeren van een onaangekondigde crisissimulatie zal uw kantoor nodige heldere inzichten kunnen bieden.

Daarnaast zou het afsluiten van een cyberverzekering een middel kunnen zijn om de financiële risico’s te kunnen beheersen, wanneer u onverwachts geconfronteerd wordt met een cyberincident en de daaruit voortvloeiende schade.

Mocht u behoefte hebben aan ondersteuning en/of advisering om de risico’s voorvloeiend uit de bedreiging van vandaag en van de toekomst op adequate wijze te mitigeren dan is Aon u graag van dienst.

Mr. Judith Macco, Mr. Willem Hoekstra en Katja Gitmans zijn werkzaam bij Aon Professional Services. Deze afdeling van Aon legt zich toe op de risico’s van professionele dienstverleners als accountants, advocaten en notarissen. 

 


[1] Zie de Norton Symantec Security Survey (intern doc Aon November 2015).

[2] Financieel dagblad 4 april 2016 Krantenartikel: Computers overheid zwakste plek’’ bij Rob de Lange “Vooral publieke sector gevoelig voor cybercriminaliteit “

[3] Boetebeleidsregels Autoriteit Persoonsgegevens 2016 http://wetten.overheid.nl/BWBR0037543/geldigheidsdatum_07-01-2016.

[4]  Artikel 23 vierde lid Wetboek van Strafrecht jo. artikel 23 zevende lid van het Wetboek van Strafrecht jo. art. 66 Wet bescherming persoonsgegevens.

[5] Denk bijvoorbeeld aan: het regelmatig doorvoeren van software up-dates, goede firewalls, gebruik van versleutelde e-mailberichten etc.

Downloads

 Link

Aon

Meer informatie

Voor vragen over dit onderwerp kunt u contact opnemen met Anton Lintel via telefoonnummer 020-4305265

Button Text