Digitale veiligheid is al lang geen bijzaak meer voor juridische kantoren. In de Legal IT Talks van dinsdag 2 november gingen we in gesprek met Joachim van Vlijmen (FYRM. Advocaten), Lennie de Haan (ICT Concept) en Mark Wijnhoud (ICT Concept) over digitale veiligheid voor de juridische praktijk.
Kijk het hele webinar terug
Bewustwording verhogen
De belangrijkste vraag is natuurlijk, hoe krijgen we de bewustwording bij medewerkers op het gebied van beveiliging en verantwoordelijk omgaan met informatie omhoog. Dit begint volgens Joachim met gedragsverandering. Hij verwijst daarbij naar een uitspraak van Jean Monnet. Die zegt dat mensen verandering pas accepteren als de crisis al uit is gebroken. Maar dan ben je bij cyber security vaak al te laat en de gevolgen zijn dan groot.
Medewerkers kunnen dus middels periodieke bijeenkomsten bewust worden gemaakt van de risico’s, maar dat is niet altijd genoeg. Zo kan er bijvoorbeeld ook gedacht worden aan het sturen van interne phishing tests. Belangrijk bij iedere vorm van bewustwording is volgens Joachim dat medewerkers waarbij het toch misgaat, niet in het verdomhoekje worden gezet. Er moet een cultuur gecreëerd worden waarin fouten maken mag, en mensen niet bang hoeven te zijn om een fout toe te geven. Pas als die cultuur er is, heeft het echt omhoog brengen van de bewustwording zin.
Voorkomen is beter dan genezen
Volgens Mark Wijnhoud is het ook belangrijk te kijken naar wat je als organisatie kunt doen om die menselijke fouten te voorkomen. Er kan dan aan de ene kant gedacht worden aan beleid (geen vreemde opslagmedia gebruiken, geen printjes op de printer laten liggen et cetera), maar technische voorzorgsmaatregelen kunnen tevens een hoop ellende voorkomen.
Werkplekken dienen bijvoorbeeld uitgerust te zijn met een goede virusscanner, encryptie, monitoring en logging. Toegang tot systemen moet geregeld worden met behulp van twee factor authenticatie, enkel een wachtwoord is niet genoeg. Toch komt hij in de praktijk vaak situaties tegen waarbij er privé apparaten worden gebruikt om in te loggen op zakelijke systemen, bijvoorbeeld om thuis te werken. Omdat deze privé systemen vaak niet op dezelfde manier beveiligd zijn als zakelijke apparaten, vormen deze een groot risico voor het kantoor, mede ook omdat hierop niet gemonitord kan worden vanwege de AVG.
Thuiswerken met slecht beveiligde hardware wordt daarmee een achilleshiel, ook als je in een goed beveiligde cloudomgeving werkt van bijvoorbeeld ICT Concept, kan het apparaat waarmee je inlogt op die cloud opeens een risico vormen. De business case om medewerkers die thuis willen werken dan toch een goed beschermde laptop te geven, ten opzichte van potentiële veiligheidsrisico's van het met slecht beveiligde apparatuur werken, wordt dan opeens heel simpel.
Als het dan toch misgaat
In het webinar wordt ook uitgebreid stilgestaan bij wat je moet als het dan toch misgaat. Medewerkers die koppig tegen de gemaakte afspraken ingaan, die toch zakelijke inloggegevens op privé platformen gebruiken, een ongeluk blijft in een klein hoekje zitten. Lennie geeft een paar tips.
“Als een apparaat naar uw idee gecompromitteerd is, verbreek dan zo snel mogelijk de netwerkverbinding van het apparaat, maar laat alle getroffen apparaten zelf wel aanstaan. Op die manier gaat er geen bewijsmateriaal verloren, en kan de eventueel aanwezige logging software zo lang mogelijk informatie blijven verzamelen over het voorval. Pak vervolgens het Incident Response Plan erbij en loop de stappen af die u vooraf voor dit soort scenario’s met elkaar hebt besproken.
In een goed plan staan de te nemen stappen en de te bellen contactpersonen, zoals een functionaris gegevensbescherming, de systeembeheerder, de advocaat en indien nodig de Autoriteit Persoonsgegevens als het een melding plichtig incident is. Een goed Incident Response Plan wordt bovendien fysiek bewaard en niet digitaal: als de digitale systemen namelijk bijvoorbeeld met ransomware versleuteld zijn, kunt u hier niet meer. Een geprint plan is niet te hacken”.
Naast training, testen, logging en digitale voorzorgsmaatregelen geven de gasten in het webinar nog meer praktische tips die voor IT-beveiliging in de juridische praktijk van belang zijn. Kijk dus nu het hele webinar terug voor alle details, en neem contact op met ICT Concept voor persoonlijk advies over uw IT-beveiliging.