Deze bedreigingen kunnen cliëntgegevens in gevaar brengen en de reputatie van een advocatenkantoor te grabbel gooien. Het is voor advocatenkantoren dan ook meer dan ooit afdoende te investeren in cybersecurity om gevoelige informatie te beschermen en te voldoen aan wettelijke en regelgevende vereisten. Maar hoeveel moet een advocatenkantoor investeren en welke maatregelen moet men overwegen?

Het specifieke bedrag dat een advocatenkantoor moet investeren in cyberbeveiliging hangt af van factoren zoals de omvang van het kantoor, het soort cliënten dat het bedient en de aard van de praktijk. Er is geen exact getal, maar wie gaat graven komt in Amerika bijvoorbeeld op basis van diverse adviezen - en op basis van de gedragscode van de ABA (American Bar Association) - percentages tegen van rond de 1-3% van de jaarlijkse inkomsten die worden uitgetrokken voor cybersecurity.

Daarbij moet gezegd worden dat de ABA dit percentage zelf niet oplegt, maar in haar gedragscode wel - net als de NOvA - de vertrouwelijkheid breed beschrijft: “A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relating to the representation of a client.” Digitale gegevens vallen hier vanzelfsprekend ook onder.

1-3% lijkt misschien een aanzienlijke investering, maar de kosten van een datalek kunnen veel hoger uitvallen, zowel in de zin van financiële als van reputatieschade.

Welke maatregelen moet een advocatenkantoor overwegen als het gaat om cybersecurity?

Hier zijn enkele suggesties:

Firewall

Een essentieel hulpmiddel voor de bescherming tegen aanvallen van buiten. Ze kunnen kwaadaardig verkeer detecteren en blokkeren, waardoor ongeautoriseerde toegang tot het bedrijfsnetwerk en gevoelige klantinformatie wordt voorkomen.

Spamfilter

Het spamfilter is al lang niet meer bedoeld om opdringerige reclame buiten de deur te houden, maar een goed spamfilter is ook in staat om bijvoorbeeld phishingmails te herkennen en te blokkeren.

SOC-SIEM

Een SOC-SIEM oplossing (Security Operations Center - Security Information Management System) is een combinatie van software die elke beweging en verandering op uw netwerk monitort, aangevuld met security specialisten die hierop ingrijpen bij verdachte situaties. Naast een goed slot op de deur, is het dus ook een proactieve bewaker in het pand, bij wijze van spreken.

Encryptie

Encryptie is een krachtig hulpmiddel voor de bescherming van gegevens die zijn opgeslagen op computers en mobiele apparaten. Het zorgt ervoor dat zelfs als gegevens worden gecompromitteerd, deze onleesbaar zijn voor onbevoegden.

Multi factor authenticatie

Een gebruikersnaam en wachtwoord zijn een goede beveiliging (mits het wachtwoord sterk genoeg is), maar nog krachtiger is het wanneer een derde factor wordt toegevoegd. Bijvoorbeeld een extra bevestiging van de inlogpoging via een app. Stel dat de gebruikersnaam en wachtwoord dan toch op straat komen te liggen, dan is de derde factor altijd nog een sterk wapen tegen ongeautoriseerde inlogpogingen, zodat u tijdig uw wachtwoord kunt wijzigen.

Veilige oplossingen voor toegang op afstand

Met de opkomst van werken op afstand, is het essentieel voor advocatenkantoren om veilige oplossingen te hebben voor werknemers om op afstand toegang te krijgen tot het netwerk en de gegevens van het bedrijf. Hierbij kan de opsomming van de eerder genoemde oplossingen worden overwogen, aangevuld met zogenaamde Conditional Access regels. Bijvoorbeeld: vanaf het kantoornetwerk is een multi factor authenticatie niet nodig, maar vanaf een andere locatie wel.

Regelmatige beveiligingstraining

De opleiding van werknemers is een belangrijk aspect van cyberbeveiliging. Door medewerkers met regelmaat een beveiligingstraining te laten volgen, kan het bewustzijn van potentiële bedreigingen verhogen, waardoor het risico op een beveiligingsincident wordt verminderd. Wel is het zo dat de verantwoordelijkheid voor de veiligheid nooit bij de werknemer mag worden neergelegd, het is beter om als bedrijf omstandigheden te creëren waardoor de medewerker überhaupt niet in de problemen kán komen.

Penetratietests

Dit zijn belangrijke hulpmiddelen om zwakke plekken in de beveiliging van het bedrijf te identificeren en aan te pakken. Regelmatige tests kunnen het bedrijf helpen potentiële bedreigingen voor te blijven, en ervoor zorgen dat de getroffen cyberbeveiliging maatregelen doeltreffend zijn.

Voor als het toch misgaat

Incident response plannen

Hoe degelijk de cybersecurity maatregelen van een bedrijf ook zijn, er is altijd de mogelijkheid van een beveiligingsincident. Met een incident response plan kan een bedrijf snel en effectief reageren om de schade te beperken. Tip: print dit plan uit en bewaar het fysiek in plaats van digitaal. Als u niet meer bij uw data kunt door een hack, dan kunt in ieder geval nog uw plan raadplegen.

Cybersecurity verzekering

De premies lopen de laatste tijd sterk op door het grote aantal incidenten, maar toch is een verzekering het overwegen waard. Afhankelijk van de verzekering en de premie kunt u via de verzekeraar namelijk niet alleen een deel van de kosten vergoed krijgen, maar de meeste verzekeraars bieden ook ondersteuning (via partners) in het geval van een hack. De premies kunnen zoals gezegd hoog zijn, maar de kosten van een hack zijn nog veel hoger. Denk hierbij namelijk niet alleen aan eventueel losgeld, maar ook aan het verlies aan productiviteit voor enkele maanden.

Kortom, advocatenkantoren moeten investeren in cyberbeveiliging om gevoelige informatie te beschermen en te voldoen aan de eisen van beroepsorganisaties. Het specifieke bedrag zal dus variëren per kantoor, maar 1-3% kan als vuistregel aangehouden worden.

Blijf op de hoogte over cybersecurity

Het is daarnaast ook belangrijk voor advocatenkantoren om op de hoogte te blijven van de nieuwste ontwikkelingen op het gebied van cybersecurity. Kijk daarom bijvoorbeeld ons webinar terug met ICT Concept en ESET over cybersecurity, en neem contact met ons op voor een passend advies over security voor uw kantoor.

 

 


Tom Jansen

Tom Jansen

Marketing Manager Lexxyn Groep

Als Marketing Manager is Tom verantwoordelijk voor alle marketing en communicatie van Lexxyn Groep. Met een technische en communicatie achtergrond schrijft hij met name over de technologische en bedrijfskundige ontwikkelingen die interessant zijn voor de juridische sector.