In een snel veranderende digitale wereld is gegevensbeveiliging een grote zorg voor advocatenkantoren. Hoewel velen de risico's onderschatten, is elk bedrijf kwetsbaar voor cyberdreigingen, variërend van spionage tot financiële inbeslagname.
Er kunnen echter preventieve en reactieve maatregelen worden genomen om gevoelige gegevens te beschermen en de schade bij een aanval te beperken. Dit artikel onderzoekt deze risico's en geeft praktisch advies over hoe advocatenkantoren hun cyberbeveiliging kunnen versterken.
Wanneer je in de fiscaliteitssector werkt, met name in de innovatie- en Web3-sectoren, wordt cyberbeveiliging van gegevens al snel een grote zorg.
Hoewel ik geen expert ben op dit gebied, heb ik verschillende oplossingen moeten implementeren om mijn advocatenkantoor te beschermen. Deze omvatten het in kaart brengen van risico's, het afsluiten van specifieke verzekeringen, het ontwikkelen van interne processen, het beveiligen van gegevens en het regelmatig trainen van mijn team. Deze aanpak heeft de interesse van mijn collega advocaten gewekt.
Veel advocaten beschouwen cyberrisico's nog steeds als een ver-van-mijn-bed-show en denken dat ze er pas over enkele jaren last van zullen hebben. Ze realiseren zich vaak niet dat ze met uiterst gevoelige gegevens werken, of het nu gaat om die van hun cliënten of van hun eigen personeel. Zelfs in onderlinge gesprekken blijft het bewustzijn van deze risico's een uitdaging.
Daarom was ik bijzonder verheugd dat de CNB op 3 november een specifieke cyberveiligheidstraining voor advocatenkantoren organiseerde en een gids publiceerde voor advocaten die hun kantoren willen beveiligen. Het platform van SEPTEO geeft mij de mogelijkheid om de uitdagingen van cybercriminaliteit voor onze kantoren te bespreken en de oplossingen die we hebben aangenomen om het risico op aanvallen te minimaliseren met jullie te delen.
Als fiscaal jurist wil ik graag duidelijk maken dat ik geen specialist ben op het gebied van cybercriminaliteit. Ik ben echter al enkele jaren geïnteresseerd in deze kwesties en ik wil graag mijn visie en ervaring met u delen. Voor een gedetailleerde analyse op maat van uw situatie is het van cruciaal belang om gekwalificeerde professionals te raadplegen.
Wat zijn de echte risico's voor advocaten?
Ja!
Je zou kunnen denken: "De gegevens van mijn klanten zijn niet bijzonder gevoelig, dus ik riskeer niets." Maar het tegendeel is waar.
Het is belangrijk om te begrijpen dat cybercriminelen het op steeds meer bedrijven gemunt hebben, ongeacht de sector waarin ze actief zijn. Neem bijvoorbeeld de handelaren: hun e-mails kunnen in een weekend worden gehackt, nieuwe RIB's kunnen worden verzonden en deposito's kunnen verdwijnen voordat het slachtoffer er maandagochtend erg in heeft. Dichterbij ons vakgebied veroorzaakt RIB-fraude onder notarissen elk jaar miljoenen euro's aan verliezen. Het is dus duidelijk dat onze kantoren niet gespaard worden en ook niet zullen worden gespaard.
Aanvankelijk waren aanvallen op advocatenkantoren gericht (vooral op Angelsaksische kantoren of de advocaten van beroemdheden en politici), maar tegenwoordig is geen enkel kantoor er immuun voor. Steeds meer van onze collega's kunnen getuigen dat het niet noodzakelijkerwijs de grootste kantoren zijn die het doelwit zijn. In feite zijn deze grote organisaties zich nu bewust van wat er op het spel staat en hebben ze middelen, met name personeel, ingezet om het risico op een cyberaanval te verkleinen. Vandaag de dag hebben hackers het op iedereen gemunt, vooral op degenen die niet de middelen hebben om zichzelf te beschermen, de 'makkelijke' doelwitten. De grootte van uw bedrijf betekent niet dat u immuun bent voor deze risico's.
Als we aan cyberrisico's denken, denken veel advocaten: "Ik ben te klein, ik werk niet voor zeer grote bedrijven, ik heb geen belangrijke gegevens".
Alle advocaten beschikken echter over gevoelige gegevens: persoonlijke of vertrouwelijke informatie, bankgegevens, identiteitsdocumenten, postadressen, telefoonnummers, webadressen, belastingaangiften, etc. Deze gegevens zijn heel gemakkelijk te verkopen op het dark web, waar ze kunnen worden gebruikt om bankrekeningen te openen, leningen af te sluiten en nog veel meer.
Daarnaast beschik je mogelijk over nog meer gevoelige informatie, zoals de bankrekeningnummers, spaartegoeden en cryptocurrencies van je klanten. Deze gegevens zijn cruciaal voor bijvoorbeeld het berekenen van alimentatie in een echtscheiding, het opstellen van de belastingaangifte van je klant of het interveniëren in spraakmakende rechtszaken.
Ik denk hierbij aan de Charlie HEBDO-affaire, waarbij advocaten die optraden voor de aanklagers bijzonder vertrouwelijke gegevens openbaar zagen worden gemaakt, zoals de persoonlijke gegevens van magistraten en rechercheurs, of foto's van de slachtoffers. Kortom, je hoeft geen advocaat voor politici of grote internationale bedrijven te zijn om in het bezit te zijn van waardevolle gegevens die voor geld verkocht kunnen worden.
Advocatenkantoren kunnen het slachtoffer worden van verschillende soorten aanvallen:
Bedrijfsspionage: Cybercriminelen proberen cruciale informatie te verkrijgen over een technologie, een klant of moeilijk te vinden contactgegevens, zoals die van de CEO of CFO. Deze gegevens kunnen worden gebruikt voor ransomware, om toegang te krijgen tot geld op rekeningen, om druk uit te oefenen op de media of om zich voor te doen als leidinggevenden en accountants om frauduleuze overboekingen te doen.
Destabilisatie: Aanvallers kunnen een praktijk lamleggen door een Trojan horse te sturen dat computers, gegevens en netwerktoegang blokkeert (vooral voor degenen die niet in de Cloud werken). Ook hier is het eisen van losgeld vaak het uiteindelijke doel.
Financiële afpersing: Net als notarissen en handelaren kunnen advocaten het slachtoffer worden van RIB-fraude, waarbij een "nieuwe RIB" wordt doorgestuurd om geld of salarisbetalingen te verduisteren. Cybercriminelen kunnen zich voordoen als uw accountant of zich voordoen als u tegen uw accountant om geld terug te vorderen. Omdat het soms tijd kost om herinneringen van klanten te beheren, kan het zijn dat pas achteraf wordt ontdekt dat het geld is doorgesluisd naar de rekening van een derde partij.
Door deze typen aanvallen te begrijpen, kunnen advocatenkantoren zich beter voorbereiden op en beschermen tegen cyberbedreigingen.
Cyberveiligheid is een cruciale zorg voor advocatenkantoren, die gevoelige en waardevolle gegevens bewaren. Ongeacht hun grootte kunnen alle advocatenkantoren het doelwit zijn van cybercriminelen. Aanvallen kunnen vele vormen aannemen, van spionage tot financiële afpersing en destabilisatie.
Het is essentieel voor elke advocaat om de risico's te begrijpen, adequate beschermingsmaatregelen te nemen en waakzaam te blijven met betrekking tot deze bedreigingen. Door een proactieve aanpak kunnen advocatenkantoren hun kwetsbaarheid voor cyberaanvallen aanzienlijk verminderen.