Het zal even slikken zijn geweest voor sommige niet-alwetende bezoekers van ICT-kennisdag PLEIT. Niet-versleutelde e-mailverkeer is zo lek als een mandje, aan de cloud kleven niet te onderschatten risico’s en de grootste bedreiging voor de digitale veiligheid op kantoor komt eigenlijk vanuit de eigen organisatie, aldus een panel over cybersecurity voor juristen.
Door Joris Rietbroek
Het zijn prikkelende waarschuwingen van ervaren IT-advocaten op de derde editie van PLEIT, een ICT-kennisdag in de Utrechtse Fabrique mede mogelijk gemaakt door hoofdsponsor Lexxyn Groep. Hier laten kenners en sponsoren zo’n 400 bezoekers kennismaken met de nieuwe ICT-trends in het werkveld van advocaten, notarissen en deurwaarders, van nieuwe clouddiensten en ontwikkelingen op het gebied van big data tot een kennismaking het met programma Kwaliteit en Innovatie Rechtspraak (KEI).
Op PLEIT2014 vormt cybersecurity een belangrijk onderdeel van het programma: Wilma van Dijk, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cybersecurity van het Ministerie van Veiligheid en Justitie, houdt een toespraak over de uitdagingen waar heel Nederland voor staat als het gaat om cybersecurity en de preventie van cybercrime.
Bestrijding cybercrime
Hoe afhankelijker het land immers wordt van IT, hoe kwetsbaarder we worden voor lekken en cyberaanvallen, waarschuwt zij in een uiteenzetting over de stand van cybersecurity anno 2014. Haar ministerie heeft een duidelijke ambitie: Nederland wil leidend zijn op het terrein van cybersecurity. ‘Van bewust naar bekwaam’ is hierin een belangrijk motto. Een slag naar meer internationale samenwerking op dit gebied moet gemaakt worden als Nederland in 2016 een half jaar voorzitter van de EU is; dan komt de bestrijding van cybercrime hoog op de agenda te staan.
Specifiek voor de aanwezige juristen geeft Van Dijk nog enkele cruciale ontwikkelingen mee. Zo heeft de overgrote meerderheid van bedrijven in Europa wel eens te maken gehad met een inbreuk op de bedrijfsinformatie, waardoor de dataintegriteit in het geding is geweest. Hier zal in de toekomst strenger op gehandhaafd worden, en hetzelfde geldt voor digital compliance – hierin is uiteraard een grote rol weggelegd voor IT-juristen – en de zorgplicht die bedrijven hebben om zorgvuldig met de digitale gegevens van gebruikers om te gaan.
Het op Van Dijk’s toespraak aansluitende panel ‘Pro’s en con’s van cybersecuriy voor juristen’ biedt concretere handvaten voor advocaten- en notariskantoren, aangereikt door IT-advocaten Marianne Korpershoek (Louwers IP|Technology Advocaten), Ot van Daalen (Digital Defence) en Mark Jansen (Dirkzwager). Korpershoek boort de hoop van ieder kantoor dat denkt zijn eigen digitale veiligheid prima op orde te hebben direct de grond in: “Digitale beveiliging is een veelkoppig monster; de meeste advocatenkantoren, maar ook onze cliënten hebben het nooit volledig op orde.”
Lek als een mandje
Ot van Daalen, in het verleden werkzaam voor De Brauw Blackstone Westbroek en oprichter van digitale burgerrechteneweging Bits Of Freedom, is als zelfstandig advocaat behoorlijk ver gegaan in de bescherming van zijn eigen digitale werkomgeving en de gegevens van zijn cliënten. Hoe hard er ook dikwijls geroepen wordt dat werken in de cloud de toekomst is, juist een doorgewinterde IT-advocaat als Van Daalen – ‘ik ben gezond paranoïde’ – begint er niet aan. “Verder bied ik mijn cliënten om te mailen met encryptie”, vertelt hij. “Inmiddels is 60 tot 70% van mijn cliënten versleuteld met mij aan het e-mailen, zodat niemand mee kan lezen.” Mark Jansen geeft hem gelijk: “Gewone mail is zo lek als een mandje. Een bericht gaat van server naar server en iedereen kan meelezen.”
Sterker nog: je bent tegenwoordig al kwetsbaar voor hackers als je op Nu.nl surft, vertelt Van Daalen. “Mijn oplossing is dat ik enkel internet in een virtual machine binnen mijn computer. Helaas moet je zulke maatregelen tegenwoordig nemen als je de vertrouwelijkheid van je cliënt absoluut wilt waarborgen.” De identiteit van hackers die op de computer van een advocaat willen inbreken om gegevens te pikken, hangt hierbij volgens Van Daalen af van het kantoor. “Als je een groot kantoor bent met veel M&A-zaken, dan moet je rekening houden met professionele criminelen. Als asieladvocaat zul je scherper moeten letten op de veiligheidsdiensten.”
En dan is er nog de prangende vraag: is werken in de cloud nu wel of niet veilig? Natuurlijk, het kan veilig zijn, beaamt het panel, maar toch zijn er risico’s. “Kijk ontzettend kritisch naar wat je inkoopt”, raadt Jansen aan. “Ik zie veel cloudcontracten voorbij komen en leveranciers beloven vaak van alles, maar als puntje bij paaltje komt, zijn ze plotseling nergens aansprakelijk voor.” Korpershoek voegt hieraan toe: “Ook al krijg je de garantie dat de cloudserver in Nederland staat, als het onderhoud vanuit het buitenland gebeurt, heb je nog geen zekerheid over de veiligheid. En als je cloudleverancier plotseling failliet gaat, ben je nergens meer.” Jansen raadt cloudgebruikers daarom aan om een draaiboek op te stellen over wat te doen als het om welke reden dan ook toch misgaat. Of als in het ergste geval gegevens van cliënten op straat belanden.
‘Eigen organisatie grootste gevaar’
De gevaren van buitenaf kunnen kortom groot zijn, maar Korpershoek onderstreept dat de grootste dreiging waarschijnlijk vanuit de eigen organisatie komt. “Je kunt medewerkers hebben die hun computer onbeheerd achter laten of die onbewust malware downloaden,” zegt ze. “Je kunt dan nog zo’n goede encryptie toepassen op je e-mailverkeer, maar daar heb je niets aan als je medewerkers zich niet bewust zijn van de risico’s.” Verdere bewustwording onder advocaten, daar zouden niet alleen kantoorleidingen zelf, maar ook de Orde van Advocaten een rol in kunnen spelen.
Des te jammerder vindt Korpershoek het dat er schijnbaar geen afgevaardigden van de Orde aanwezig zijn op PLEIT. “De Orde zou het voortouw moeten nemen en normen moeten ontwikkelen waar advocatenkantoren aan moeten voldoen als het gaat om cybersecurity. Van regels voor de afkomst van cloudleveranciers tot ‘u gebruikt geen hotmail’. De Orde bewaakt de kwaliteit van onze beroepsgroep en daar is digitalisering ook een onderdeel van.”