Hoe goed de cyberbeveiliging ook op orde is, cyberincidenten komen voor in iedere organisatie. Het treffen van voorzorgsmaatregelen is dan ook niet voldoende. Minstens zo belangrijk is dat er op een juiste manier wordt omgegaan met een incident als het zich eenmaal voordoet. Daarbij spelen ook juridische afwegingen een rol. Hoe zit het bijvoorbeeld met meldplichten? En hoe wordt omgegaan met afpersing door cybercriminelen? In het tweede deel van deze artikelserie een gesprek over de juridische aspecten van een cyberincident met Erik Jonkman en Simon Sanders, beiden advocaat bij CMS.
Het is een dynamische dag in de cyberpraktijk van CMS op het moment dat dit interview wordt afgenomen. “Een verse ransomware-aanval en een stel gehackte mailaccounts”, inventariseert Jonkman. Het ‘Privacy & Cybersecurity’-team van CMS stond de afgelopen jaren honderden cliënten bij na de meest uiteenlopende cyberincidenten. Cyberincidenten variërend van platgelegde distributiecentra tot medewerkers die er vandoor gingen met extreem gevoelige bedrijfsgegevens. “De meest bizarre situaties doen zich af te toe voor, saai is het in ieder geval zelden”, bevestigt Sanders.
Juridisering
De inschakeling van een jurist is meestal niet de eerste reflex van een getroffen organisatie. Sanders: “Volkomen begrijpelijk, een cyberincident begint immers vaak als een ICT-gerelateerd issue.” Toch heeft een incident al gauw een bredere impact op de bedrijfsvoering, waarbij ook juridische vragen opspelen. Jonkman: “Zo zien we duidelijk een groeiend besef dat cybersecurity een steeds juridischer onderwerp wordt. De oorzaken hiervan zijn ons inziens de introductie van de nieuwe cybersecuritywetgeving NIS2 en de opkomst van cyberverzekeringen.” “Tot enkele jaren geleden was zo’n cyberverzekering een relatief goedkope manier om een organisatie te beschermen tegen de financiële impact van een incident, maar sinds de aanhoudende golf van ransomware-aanvallen is de markt ingrijpend veranderd”, legt Jonkman uit. “Veel verzekeraars stelden tegenover zeer lage premies nauwelijks serieuze beveiligingseisen, met onhoudbare consequenties toen het aantal claims vervolgens de pan uitrees.” Sanders vult aan: “Een goede zaak overigens, die aangescherpte eisen vanuit cyberverzekeraars. We zien namelijk dat daar in de markt een disciplinerende werking van uitgaat qua stijgende beveiligingsniveaus die – ironisch genoeg – soms kennelijk meer impact heeft dan wetgeving.”
‘Hotline’
De cyberverzekeringsmarkt is voor CMS een belangrijke bron van inkomsten. Dit advocatenkantoor is door veel cyberverzekeraars namelijk aangewezen als zogeheten ‘incident response coördinator’. Verzekerden die getroffen worden door een incident, kunnen via een noodnummer 24/7 hulp inroepen. Hoe werkt dit in de praktijk? Het team van Jonkman inventariseert bij een binnenkomende melding binnen één uur kort de situatie om te beoordelen welke hulp en acties noodzakelijk zijn. Ze beschikken daarvoor over een groot netwerk van deskundigen die, net als zij, voortdurend ‘stand by’ zijn voor een incident. Denk bijvoorbeeld aan IT-forensisch onderzoekers, onderhandelaars en crisiscommunicatie-experts. Sanders: “En we voorzien natuurlijk in juridisch advies. Bijvoorbeeld over het wel of niet melden van een datalek.”
Over de vraag: ‘Welke cyberincidenten zijn het meest complex om te coördineren?’, hoeft Sanders niet lang na te denken. “Dat is zonder twijfel ‘ransomware’, althans wanneer die de reguliere bedrijfsvoering platlegt. Een dergelijke situatie wordt vaak snel opgemerkt door zowel de binnenals buitenwacht. Medewerkers kunnen immers hun werk niet uitvoeren en daar krijgen vervolgens ook afnemers en leveranciers last van. In zo’n situatie is het dan ook van cruciaal belang om een cliënt vanaf het eerste uur te helpen om een strakke regie te voeren over de situatie om chaos te voorkomen. Zo is het essentieel om direct in beeld te krijgen welke ‘stakeholders’ er zijn en hoe je rekening kan worden gehouden met hun belangen bij de omgang met het incident. Ook vanuit juridisch oogpunt is dit belangrijk, bijvoorbeeld om achteraf verantwoording te kunnen afleggen aan toezichthouders teneinde eventuele schadeclaims van derden zo veel mogelijk te beperken.”
Onderhandeling
Jonkman onderschrijft de uitdagende dynamiek van een ransomware-incident. “Een belangrijke werkstroom bij gijzelsoftware is bovendien het communiceren met de aanvaller.” Achter dergelijke aanvallen schuilen meestal professionele criminele organisaties. CMS adviseert om nooit op eigen houtje contact te zoeken, maar altijd gespecialiseerde onderhandelaars in te schakelen. “Dat betekent overigens nog niet dat wordt ingegaan op een losgeldeis”, legt Jonkman uit. “Omdat dit soort criminelen vaak ook grote hoeveelheden data buitmaken, lukt het soms om via chatverkeer met de aanvaller een beter begrip te krijgen van wat er zoal is gestolen. Dergelijke informatie kan cruciaal zijn voor de verdere besluitvorming rondom een incident.”
VEEG SERVERS NIET SCHOON”
Discussie
Over het betalen van losgeld aan cybercriminelen woedt al jaren een felle maatschappelijke discussie. Hoewel het in Nederland in principe niet verboden is om losgeld te betalen, wordt het door de overheid sterk ontraden omdat hierdoor het criminele verdienmodel in stand wordt gehouden. Hoe staat CMS in deze maatschappelijke discussie? Sanders: “Een stuk pragmatischer. Niemand wil worden afgeperst, maar we staan dikwijls cliënten bij die zich een principiële opstelling helemaal niet kunnen veroorloven. Bijvoorbeeld omdat een betaling van losgeld in ruil voor ontsleuteling de enige financieel haalbare manier is om tijdig op te krabbelen en weer omzet te draaien.”
Hypocriet
Ook andere afwegingen kunnen een rol spelen, vaak met een juridische achtergrond. Een beproefde methode van cybercriminelen is bijvoorbeeld om voorafgaand aan een ransomware-aanval grote hoeveelheden gegevens te kopiëren. Denk hierbij aan bedrijfsvertrouwelijke informatie, maar ook gevoelige persoonsgegevens zoals kopieën van identiteitsdocumenten. Jonkman: “Het oogt dan misschien stoer om te roepen dat je weigert om jezelf te laten afpersen, maar het zijn vervolgens je relaties en medewerkers die daadwerkelijk met de gebakken peren zitten als hun gegevens worden verspreid met alle nare gevolgen van dien.” Bovendien vindt Jonkman de principiële weigering om losgeld te betalen doorgaans hypocriet, omdat vaak blijkt dat het incident een rechtstreeks gevolg is van een gebrek aan een goede basisbeveiliging. “In plaats van hoog van de toren te blazen na een incident, had zo’n organisaties zich in dat geval misschien al wat eerder principieel moeten opstellen, namelijk toen men de keuze had voor het inrichten van deugdelijke beveiliging.” Op de vraag of NIS2 impact heeft op het managen van een incident, antwoordt Sanders bevestigend. “NIS2 introduceert bijvoorbeeld nieuwe meldplichten waarbij de sectorale toezichthouder (zoals de Inspectie voor de Leefomgeving en Transport) binnen 24 uur op de hoogte moet worden gesteld van een significant incident. In sommige gevallen moeten ook ontvangers van diensten worden geïnformeerd, namelijk indien de levering van zo’n dienst door een incident in het geding is.” Het gaat hier om meldplichten bovenop een aantal reeds bestaande verplichtingen, zoals de meldplicht datalekken onder de Algemene Verordening Gegevensbescherming (AVG).
Nieuwe bevoegdheden
Jonkman: “NIS2 voorziet de betrokken toezichthouders bovendien van allerlei nieuwe onderzoeks- en handhavingsbevoegdheden.” Een melding van een beveiligingsincident kan voor een toezichthouder aanleiding zijn om de kwaliteit van de beveiliging nader te onderzoeken. Als onderzoek uitwijst dat de beveiliging ondermaats is en de organisatie in dit verband een verwijt treft, kunnen toezichthouders in het ultieme geval overgaan tot de oplegging van een bestuurlijke boete. “In theorie kan dat in de miljoenen lopen, al verwachten we dat dit in Nederland nog enige jaren op zich laat wachten. Naarmate de tijd verstrijkt, zullen toezichthouders hun focus langzamerhand verleggen van voorlichting en waarschuwing naar het opleggen van sancties.”
Valkuilen
Welke klassieke valkuilen zijn er voor organisaties die te maken krijgen met een incident? Jonkman: “Bij ‘ransomware’ zie je dat de hersteltijd van een incident structureel wordt onderschat. Zo hebben bedrijven vaak in eerste instantie de neiging om direct een back-up van de plank te trekken in de veronderstelling dat de kwestie daarmee is afgevinkt. Maar omdat een back-up juist dateert van vóór het incident, is het belangrijk eerst te weten of deze ‘überhaupt’ veilig kan worden ingezet. In alle gevallen dient namelijk te worden voorkomen dat een kwetsbaar systeem ‘live’ wordt teruggebracht met alle risico’s van dien. Het doorlopen van dergelijke protocollen kost tijd en vraagt dan ook om enig geduld. Geduld dat begrijpelijkerwijs soms moeilijk kan worden opgebracht op het moment dat de organisatie zowel intern als extern enorme druk ervaart om zo snel mogelijk terug te gaan naar ‘normaal’”. Jonkman: “Dit soort belangenafwegingen kunnen inderdaad tot flinke spanningen leiden in crisisteams, daarom moet er altijd een ‘chef incident’ zijn die in staat is om uiteindelijk een knoop door te hakken. Ook is het belangrijk om zulke besluitvorming adequaat te loggen, zodat nadien eenvoudig gereconstrueerd kan worden op welke momenten bepaalde keuzes zijn gemaakt en welke overwegingen daarbij leidend zijn geweest. Ook het bijhouden van zulke logs wordt in ‘the heat of the moment’ begrijpelijkerwijs soms niet als een prioriteit gezien, en is een goed voorbeeld van een taak waarbij CMS de cliënt ondersteunt.”
IT-forensische sporen
Sanders: “Iets anders dat geregeld misgaat, nota bene onder begeleiding van betrokken IT-huisleveranciers, is het vroegtijdig schoonvegen van servers om daarop het systeem opnieuw te kunnen installeren. Vaak gaan daarmee allerlei IT-forensische sporen verloren, zodat het verkrijgen van cruciale inzichten wordt bemoeilijkt of zelfs onmogelijk wordt. Bijvoorbeeld hoe een aanvaller is binnengedrongen en wat er zoal op een systeem is uitgespookt. “Doodzonde natuurlijk, vooral als je bedenkt dat zulke informatie bijzonder nuttig kan zijn in latere verantwoording aan een autoriteit of andere stakeholders. Jonkman: “Cynisch genoeg vindt een betrokken partij een dergelijk gebrek aan onderzoeksmogelijkheden lang niet altijd onprettig. Denk aan incidenten waarbij het vermoeden bestaat dat een server op een onveilige wijze was geconfigureerd.”
Tips
Heeft CMS nog tips heeft voor organisaties die goed voorbereid willen zijn? Sanders: “Oefenen, oefenen en nog eens oefenen. De meest voorkomende incidenten zijn prima te simuleren, zelfs als die slechts als een ‘tabletop’-oefening worden vormgegeven.” Jonkman vult aan: “We zien dat zulke trainingen prachtig leermateriaal opleveren: welke vragen moet de organisatie zichzelf na een incident stellen en hoe moet je als team samenwerken om daarop een antwoord te formuleren? Mocht het toch een keer misgaan, dan wordt je aanzienlijk minder verrast. Dat komt de besluitvorming ten goede en maakt je als organisatie in alle opzichten beter cyberweerbaar”.
Het magazine fysiek ontvangen? Klik hier om een kennismakingsabonnement af te sluiten.
Vacatures bekijk je via de vacaturepagina.
