Cybercrime is nog altijd een onduidelijk onderwerp voor juridische kantoren, zo blijkt uit het interview tussen Eric Wijers (Lexxyn Groep / ICT Concept Groep) en Erik Stoffels (Mutsaerts verzekeringen). Ondanks het kleine aantal cybercrime gevallen in deze sector, is alertheid voortdurend gevraagd. ‘Voorkomen is key en als er dan toch iets gebeurt, kun je maar beter zijn ingericht om snel te acteren op genezing.’
‘Advocatenkantoren zijn maar zelden het doelwit van een individuele cyberaanval. Met voorkomen én genezen houden we dat zo.’
We ontmoeten Eric Wijers en Erik Stoffels op het Lexxyn hoofdkantoor waar zij samen het gesprek aangaan over cybercrime in de advocatuur. Eric Wijers licht toe: ‘We zijn beiden specialist op het gebied van cybercrime, maar dan wel in totaal verschillende hoedanigheden. Wij zijn continue bezig met het voorkomen van een cyberaanval, waar Erik met cyberverzekeringen het geneesmiddel is in het geval het toch misgaat.’ Erik Stoffels: ‘Onze visies op cybercrime sluiten naadloos op elkaar aan en dat verhaal willen we samen vertellen.’
Links: Eric Wijers, Lexxyn Groep / ICT Concept - Rechts: Erik Stoffels, Mutsaerts
Kwetsbaarheid
‘Cybercrime is niet tastbaar, waardoor het al snel gebagatelliseerd wordt, ook in de juridische sector,’ begint Erik Stoffels. ‘De echte risico’s zijn onbekend, evenals het doel van een cyberaanval. Hierdoor wordt vaak gedacht dat zij geen doelwit zijn, zeker door kleine kantoren. Maar niets is minder waar: juist de kleine kantoren zijn het meest kwetsbaar, ondanks dat juridische professionals ongelofelijk accuraat omgaan met privacygevoelige data. Dit in vergelijking tot bijvoorbeeld het MKB.’
Doel van een aanval
Eric Wijers haakt in: ‘De intentie achter een hack is meestal om met zo min mogelijk handelingen veel geld afhandig te maken of om data te verzamelen welke ook weer geld waard zijn. Denk aan het verkrijgen van adressen of aan Bitcoin chantage. Andere doelen zijn identiteitsfraude of een aanval om de rechtsgang te verstoren. Er wordt hierbij niet gekeken naar wat er gehaald kan worden, maar of er iets gehaald kan worden. Cybercrime aanvallen zijn bijna nooit persoonlijk gericht op een bedrijf.’
‘Het grootste risico zit tussen de rugleuning en het beeldscherm.’
Voordeur op slot
Gelukkig blijken aanvallen op juridische kantoren nog steeds op één hand te tellen. Het is volgens de heren hard werken om bij deze kantoren binnen te komen. De digitale voordeur zit aardig goed op slot. Zeker in vergelijking met het MKB volgens Eric Wijers: ‘Bedrijven in die sector zeggen: ‘Het zal zo’n vaart niet lopen’, maar klikken tegelijkertijd wel overal op. Doordat de juridische sector van oudsher met privacygevoelige informatie werkt, gaat zij hier kritischer mee om. Deze sector is minder roekeloos als het gaat om data. Juridische professionals zijn voorzichtig in het veilig gebruik van data en verwachten ook een veilige IT-omgeving waarop zij met deze gegevens werken.’
Erik Stoffels vervolgt: ‘De juridische branche is sterk in het voorkomen van problemen. Enerzijds door de accurate omgang met informatie en anderzijds omdat kantoren meer eisen van hun IT-infrastructuur. Toch is het raadzaam een geneesmiddel in huis te hebben voor het geval het toch misgaat. Mocht er iets gebeuren dan is de (reputatie)schade niet te overzien. Een cyberverzekering is een dergelijk geneesmiddel dat vanwege het lage risico in deze beroepsgroep ook nog erg betaalbaar is.’
Zijn er dan concrete voorbeelden bekend van het gegeven dat de juridische sector accuraat met data omgaat? Volgens Eric Wijers investeert de juridische sector meer in een professionele IT-infrastructuur en -beheer dan het MKB. Windows 7 is hierbij een goed voorbeeld. Deze versie wordt vanaf 2020 niet meer ondersteund, waardoor het automatisch ook minder veilig is om mee te werken. ‘We zien in het MKB een hele andere reactie dan in de juridische sector. Waar veel MKB-bedrijven pas actie ondernemen als het volgend jaar fout gaat, zeggen juridische kantoren: ‘Maak maar een voorstel en voer maar uit.’
‘Kantoren kunnen winst behalen door intern hun medewerkers te trainen op de risico’s en het beperken ervan’.
Achterdeur open
Ondanks deze positieve conclusies loopt deze branche toch een reëel risico, zeker als je je bedenkt dat het grootste risico tussen de rugleuning en het beeldscherm zelf zit. Ook al zit de digitale voordeur goed op slot, de achterdeur - de mensen zelf - laat soms te wensen over. Eric Wijers: ‘Dat is een kwestie van goed beveiligen, maar bovenal van opvoeden. Kantoren kunnen nog winst behalen door intern hun medewerkers te trainen op de risico’s en hoe zij deze zelf kunnen beperken. Dit geldt niet alleen voor het dagelijks gebruik van privacygevoelige informatie, maar ook voor het schakelen na een cyberaanval.’
Erik Stoffels: ‘In geval van een datalek zien we dat organisaties met een cyberverzekering vaak proberen om dit zelf op te lossen. Wij blijven voortdurend benadrukken dat het bellen van het noodnummer de eerste stap is. Dan wordt direct een cyberspecialist ingeschakeld die de juiste stappen zet om te schade te beperken. Ook dat is opvoeden, maar dan op het aspect van genezen.’
‘Een cloud omgeving is geen glazen kooi.’
Vingerwijzen
Wat zijn de risico’s nu eigenlijk? Eric Wijers: ‘We zien vooral veel virussen en DDoS aanvallen die nogal wat schade aanrichten, maar als je omgeving goed is ingericht, dan ben je daar als kantoor al op voorbereid. Komen we toch weer terug op menselijke handelingen, dat zijn de grootste kwetsbaarheden voor kantoren.’ Eric Wijers neemt een phishingmail als voorbeeld. Als deze in de inbox verschijnt en de gebruiker klikt erop dan wordt er snel gewezen naar de systeembeheerder. ‘Precies de reden dat mensen de risico’s ook bagatelliseren. Zij gaan ervan uit dat als ze een IT-er in dienst hebben en in de cloud werken, ze als kantoor in een glazen kooi zitten. Maar ze vergeten dat deze kooi is voorzien van kwetsbaar glas, namelijk de medewerkers. Zij zijn verantwoordelijk voor de grootste datalekken.’
Erik Stoffels: ‘Ik denk dat brancheorganisaties een prominentere rol kunnen innemen op het gebied van veilig communiceren. Wat veilig is? Nou, bestanden mailen in ieder geval niet, laat staan versturen via WeTransfer. Ondanks het hoge risico, weten veel juridische experts dit niet.‘
Back-up
Eric Wijers: ‘Het is belangrijk dat een kantoor zich bewust is van deze risico’s en maatregelen neemt om problemen te voorkomen. Een IT-er kan, ter voorkoming, veel kopzorgen rondom veilig werken wegnemen door het nemen van adequate, preventieve maatregelen. Denk hierbij aan een virusscanner, werken in een veilige cloud omgeving, het versleuteld versturen van e-mails en bestanden, professioneel wachtwoord beheer, maar ook een back-up. Eric Wijers: ‘Veel kantoren denken dat er in de cloud geen back-up meer nodig is, maar niets is minder waar.’
Vangnet
Een goede IT-infrastructuur werkt, zo blijkt uit het gesprek, als een vangnet. Het zorgt dat je als kantoor ‘hygiënisch’ kunt werken. Toch is de kans aanwezig dat je bij een hack alles kwijt bent en gedurende een lange tijd niet bij je bestanden kunt. Eric Wijers: ‘Wij creëren altijd bewustwording door de vraag te stellen: ‘Oké alles is weg, je bestanden, mails, data. En dan? Wat mis je het meest en hoe ver wil je terug? Vanuit daar kijken we naar de mogelijkheden voor een back-up en hoe we welke data kunnen beveiligen. Office 365 synchroniseert je bestanden tussen apparaten, maar maakt geen back-up. Dus je bestanden staan dan wel in de cloud, maar als ze daar worden verwijderd zijn ze ook gewoon weg. Als er dan toch iets gebeurt, dan is een cyberverzekering aan te raden. Hiermee wordt de financiële en reputatieschade enorm beperkt.’
Waarom verzekeren?
‘Dat het aantal incidenten meevalt, wil niet zeggen dat het nooit gebeurt,’ zo vertelt Erik Stoffels. Op een phishing mail klikken is zo gebeurd, evenals het verliezen van een USB-stick of het versturen van een foutieve e-mail. Dan wil je niet alleen dat de schade is gedekt, maar ook dat iemand direct de eerste juiste stappen zet om de schade te beperken. ‘Het grootste probleem na een incident is vaak dat de IT-omgeving platligt. Als je een cyberverzekering hebt, helpt een incidentmanager je direct en schakelt met de juiste specialist om dit op te lossen. De incidentmanager geeft ook aan wat je vooral wel en wat je juist niet moet doen. Zeker bij kleine kantoren kan dit uitkomst bieden.’
Reputatieschade
‘Bovendien is de grootste angst bij kantoren dat hun imago een deuk oploopt. De relatie met cliënten draait om vertrouwen. Het is dus zaak om als kantoor je reputatie hoog te houden. Een cyberverzekering is erop ingericht om dermate professioneel en snel te schakelen dat de reputatieschade geminimaliseerd wordt,’ vervolgt Erik Stoffels.
‘Voor je het weet is een klein probleem een groot probleem met een aanzienlijke kostenpost en reputatieschade.’
Premies
Het voordeel is dat de premies voor een cyberverzekering in de juridische sector erg laag zijn vanwege het lage aantal incidenten. Daarnaast kent een cyberverzekering geen eigen risico op het gebied van incidentmanagement, wat wil zeggen dat er geen beperking is om hulp in te schakelen. Erik Stoffels: ‘We willen natuurlijk de drempel om direct contact te zoeken niet onnodig hoog maken, hoe klein een incident ook lijkt. Voor je het weet is een klein probleem een groot probleem met een aanzienlijke kostenpost en reputatieschade.’
Confrontatie
Erik Stoffels sluit af: ‘We blijven ons hardmaken om bewustwording te creëren rondom cybercrime. Je kunt er namelijk altijd mee geconfronteerd worden. Daarom is het zaak je IT-omgeving op orde te hebben, je medewerkers te trainen op veilig werken en communiceren, maar zeker ook eens uit te kijken naar een verzekering, mocht het mis gaan en je (reputatie)schade wilt voorkomen. Voorkomen is beter dan genezen, maar als het dan toch gebeurd is het fijn te weten dat je er niet alleen voorstaat.’
Over Mutsaerts Verzekeringen
Als onafhankelijk adviseur en verzekeringsmakelaar is Mutsaerts gespecialiseerd in verzekeringsoplossingen voor de juridische sector. Sinds 2007 ontwikkelen wij onder het label M-verzekeringen exclusieve verzekeringen die afgestemd zijn op de risico’s en wensen van de juridische sector. Wij adviseren over: partnerverzekeringen zoals AOV & ORV, aansprakelijkheidsverzekeringen, kantoorverzekeringen, DGA pensioen en levensverzekering, werknemersverzekeringen en pensioen voor werknemers. Meer informatie op www.mutsaerts.nl
