De wereld van cyberdreigingen is een veelkoppig monster. Hieronder een poging om enige duiding te geven.
1. Ransomware / cyberafpersing
Ransomware en cyberafpersing is inmiddels top of mind bij de meeste advocaten en notarissen. De afgelopen jaren hebben veel kantoren flink geïnvesteerd in cybersecurity en hebben voldaan aan de strengere eisen die door verzekeraars zijn gesteld.
Ransomware komt onverminderd vaak voor. Nieuw is wiper software, waarbij alle data wordt gewist in plaats van versleuteld. Onder deze dwang zien slachtoffers zich vaak genoodzaakt om losgeld te betalen. Indien zij een cyberverzekering hebben, kloppen zij vervolgens aan bij hun cyberverzekeraar. Verzekerd of niet, slachtoffers blijven altijd met een flinke schade zitten. Ook omdat het gebeurt dat er data gewist wordt zonder dat er om losgeld wordt gevraagd.
2. De volgende bedreiging?
Ransomware was de afgelopen paar jaar dominant in het dreigingslandschap. Het dreigingslandschap verandert steeds en criminelen worden steeds agressiever: de data komen op straat te liggen of worden vernietigd, door middel van naming and shaming wordt jouw kantoornaam genoemd en, om te laten zien dat men inderdaad over jouw data beschikt, wordt alvast een gedeelte openbaar gemaakt.
Op dit moment worden Europese ziekenhuizen getroffen door de pro-Russische hacktivistische groepering Killnet. Deze groep moedigt aan DDoS-aanvallen uit te voeren op onder meer ziekenhuizen in landen die Oekraïne helpen in de oorlog tegen Rusland.
Kortom, de volgende dreiging is onvoorspelbaar. Voorbereiden op onverwachte situaties en wendbare weerbaarheid ontwikkelen voor een onwikkelend dreigingslandschap is dus belangrijk.
3. Social Engineering Fraude
Social engineering fraude is al jaren een probleem voor advocaten en notarissen en het komt nog steeds veel voor, ondanks alle waarschuwingen, ondanks alle voorbeelden. Eén van de meest afschrikwekkende voorbeelden is de $ 70 miljoen die zou zijn buitgemaakt bij advocatenkantoren.
Dit soort fraude is niet of nauwelijks te verzekeren. De beste “verzekering” is het voortdurend opleiden van mensen en het inrichten van interne betaalprocessen door middel van de toepassing van 2 of meer paar ogen.
4. Bad leavers en Insider Threat
De ervaring leert helaas dat ook schade wordt toegebracht door informatie stelende seniors, partners, rainmakers en administratief personeel. Vaak zijn dit de bad leavers. Het kantoor komt hier doorgaans pas achter als het al te laat is. Dit soort gevallen zijn schadelijk voor de productiviteit en het moreel. Het transparant monitoren van het personeel en vragen stellen als er grote hoeveelheden data worden gemaild of geprint kan helpen dit te voorkomen.
5. Onderlinge verwevenheid
NotPetya in 2017, en daarna SolarWinds, Microsoft Exchange en Log4j hebben de grootschalige kwetsbaarheid blootgelegd door de onderlinge verwevenheid van software. De snelheid waarmee deze aanvallen worden gelanceerd en verspreid, legt de nadruk op het up-to-date houden van software, het identificeren van kwetsbaarheden, het patchen, etcetera.
6. De cloud
De aanvankelijke bedenkingen die veel kantoren hadden tegen het gebruik van de cloud, zijn inmiddels overwonnen. Criminelen hebben de cloud echter ook omarmd en lanceren in toenemende mate aanvallen blijkens het Netwrix 2022 Cloud Security Report. Ook systemen in de cloud vereisen dus de juiste maatregelen ten behoeve van een robuuste cyberweerbaarheid.
7. Bescherming Persoonsgevens
Het nieuws over de vrijgave van informatie van 400 miljoen Twitter-gebruikers is er één van een lange reeks inbreuken die miljoenen mensen treffen. Het is niet ondenkbaar dat er steeds meer class actions zullen plaatsvinden. Prioritering van bescherming van persoonsgegevens is essentieel, alleen al ten behoeve M&A zaken (waar grote hoeveelheden persoonsgegevens in handen komen van de kantoren) en het eigen personeel.
8. NIS2-Richtlijn
Ongeveer 4000 instellingen, waaronder het openbaar bestuur, worden verplicht om meer maatregelen te nemen om cyberbeveiligingsrisico’s te beheersen. Zo moeten ze aan strengere beveiligings- en rapportagevereisten voldoen. Het valt te verwachten dat deze instellingen dezelfde zwaardere cyberrisicomanagementeisen gaan stellen aan kantoren met wie zij samenwerken en dat een kantoor zal moeten kunnen bewijzen dat zij de juiste maatregelen heeft genomen.
Kortom
De bewegingen op het gebied van cyber zijn talrijk, soms moeilijk te begrijpen, laat staan te voorspellen. Sta hier bij stil op het moment dat je je afvraagt waarom je die cyber awareness cursus (alwéér) moeten volgen of andere instructies moet volgen die de cyberveiligheid vergroten. Bij een incident ben je snel out of business, niet alleen omdat je je werk niet kunt doen, maar omdat je cliënten op zoek gaan naar concurrerende kantoren die hun cybersecurity wél op orde hebben.
Dit artikel is een vrije bewerking van het artikel Top Cyber Challenges for Professional Service Firms in 2023 van mijn collega Tom Ricketts, Cyber Leader van de Professional Services Practice van Aon in samenwerking met mijn collega Maarten de Jonge.