Nieuws & blogs

IT-security: Het kalf moet eerst verdronken zijn

‘Password day’; dat is de dag waarop Gohar (ICT-adviseur) en Joachim (privacy & security advocaat) met elkaar van gedachten wisselen over cybercrime en cybersecurity in de advocatuur. Dat net deze dag is gekozen, is puur toeval, maar geeft het gesprek net wat extra lading, want: ‘Hoe veilig maak je als advocaat niet alleen je wachtwoord, maar je hele werkomgeving?’

‘Als de ID-plicht ooit het levenslicht ziet, dan verscheur ik mijn paspoort,’ dat is wat mijn vader ooit zei.’

Joachim, al bijna dertig jaar advocaat, is gefascineerd door de technische kant van gegevensbescherming. Hierin vinden de twee elkaar direct, aangezien Gohar zich binnen ICT ook verdiept in security. Joachim: ‘Privacy heeft iets beladens; sommige mensen denken niets te verbergen te hebben. Toch heeft iedereen wel iets dat hij of zij graag voor zichzelf houdt.’

De interesse van Joachim blijkt al in zijn jonge jaren te zijn ontstaan. Zijn vader vond privacy onvoorstelbaar belangrijk. Joachim lachend: ‘Mijn vader - musicus - zei: ‘Als de ID-plicht ooit het levenslicht ziet, dan verscheur ik mijn paspoort.’ Ik denk dat mijn interesse daar begon.’

Minder populair

Gohar: ‘Binnen de juridische sector hebben professionals te maken met beroepsgeheim; vergelijk het met artsen. Hierdoor is gegevensbescherming erg belangrijk. Gelukkig kun je maatregelen nemen om het mensen moeilijk te maken. Joachim: ‘Klopt, maar dan moeten organisaties dat wel willen. Toen de AVG eraan kwam, was dit onderwerp mateloos populair. Momenteel voelen kantoren de noodzaak minder, terwijl cybercriminaliteit juist toeneemt.’

Die update komt een dag later wel

Gohar: ‘Terwijl het kleine dingen zijn, waarmee grote stappen gezet kunnen worden. Neem een beveiligingsupdate als voorbeeld. Ik hoor zo vaak terug: ‘Ik ben nu aan het werk, dat kan wel een paar dagen wachten.’ Ik zou willen dat er meer bewustwording komt voor het belang. Is er volgens jou een manier om die bewustwording te vergroten?’

Joachim vertelt dat hij functionaris voor gegevensbescherming is van enkele bedrijven. Tijdens awareness trainingen presenteert en bespreekt hij op een informele manier het belang. Joachim: ‘Hierbij wordt vaak een phishing mail test gedaan. Als men ziet hoeveel er met zoiets ‘simpels’ misgaat binnen hun organisatie, dan opent dat wel de ogen. Het kalf moet toch eerst verdronken zijn, voordat men de put dempt,’ aldus Joachim. ‘Ik bedoel dat vaak eerst de pijn gevoeld moet worden.’

Gohar: ‘Wij besteden veel tijd aan het geven van uitleg aan klanten. We bespreken de praktische en technische mogelijkheden zoals hardware, software, encryptie, beveiliging etc. Denk bijvoorbeeld aan advies richting medewerkers over het sterker maken van wachtwoorden en het beter beveiligen van (mobiele) apparaten. De basiszaken die een kantoor moet regelen hebben we zelfs teruggebracht tot één A4: 9 tips voor digitale veiligheid. Maar hoe erg we ons best ook doen, het is en blijft een lastig aspect om optimaal onder de aandacht te brengen. Ik denk dat het beste advies voor een kantoor is om een functionaris gegevensbescherming te benoemen of een interne verantwoordelijke.’

‘66% van de datalekken ontstaat door simpele, basale, zaken. Slechts 5% van de datalekken bestaat uit hacking, malware en phishing.’

Een datalek is snel ontstaan. Zo is volgens de heren iedereen te hacken. Joachim: ‘Als je een e-mail met persoonsgegevens aan een verkeerde persoon stuurt, spreken we al van een datalek. 66% van de datalekken ontstaat door simpele, basale, zaken. Slechts 5% van de datalekken bestaat uit hacking, malware en phishing. Nu is die impact direct ook groter, dus zorg ervoor dat je als kantoor op alles bent voorbereid. Begin om vertrouwelijke informatie liever niet via e-mail te versturen. Ook al vindt de cliënt dat omslachtig.’

Beleid zonder sancties

Gohar: ’Ik zou ieder kantoor willen oproepen een information security beleid te schrijven. Hierin noteer je zaken als: wie waartoe rechten heeft, welke maatregelen je treft bij een datalek, hoe je datalekken voorkomt etc. Alleen is een advocaat liever advocaat dan informatie security specialist.’

Joachim: ‘Klopt, de cliënten gaan altijd voor, waardoor aandacht voor randzaken meestal achteraan komt. Daarom zouden kantoren dit toch aan jullie kunnen uitbesteden?’ Gohar: ‘Ja, maar daaraan hangt een prijskaartje. En met een minder gevoelde noodzaak is dat lastig te verkopen.‘

‘Gaat het mis? Zorg dan dat er geen sancties zijn.’

Joachim: ‘Het belangrijkste bij dit beleid is dat er niet direct sancties voor medewerkers zijn, mocht het misgaan. Zorg voor een veilige interne meldcultuur zodat medewerkers altijd melding maken als er iets misgaat. Een datalek in de doofpot stoppen, omdat je bang bent voor consequenties, is dodelijk.’

Gohar: ‘Vooral nu met het werken vanuit huis. Deze werkplekken zijn vaak kwetsbaarder. We hebben de laatste tijd een sterke toename gezien in het aantal thuismeldingen.’

De heren concluderen dat het kalf steeds vaker verdrinkt, zeker met de toename in digitaliseren en thuiswerken, en dat het dus tijd is voor de juridische sector om de put te dempen.

Dit artikel is ook gepubliceerd in het Lexxyn Groep magazine Legal&Tech editie 2. Het volledige magazine kunt u hier lezen.