Chief Information Security Officer (CISO) is een betrekkelijk nieuwe functie bij de grotere advocatenkantoren. De CISO’s van NautaDutilh en Loyens & Loeff hebben weinig geheimen voor elkaar. In een dubbelinterview vertellen ze over hun vak.
Eric Staats (49) is Chief Information Security Officer bij Loyens & Loeff. Dennis Langhorst (40) bekleedt dezelfde functie bij NautaDutilh. In deze lockdown-tijden werken Staats en Langhorst allebei voornamelijk vanuit huis. Als je verantwoordelijk bent voor de veiligheid van IT-diensten en online informatie, is remote werken geen probleem. Hoe houden zij hackers buiten en hoe zorgen ze dat de vertrouwelijke informatie van cliënten binnen blijft?
Zijn jullie digital natives, geboren met een muis en een toetsenbord in je hand? Hoe ben je in dit vak terechtgekomen?
Eric Staats: “Dit beroep bestond natuurlijk niet toen ik jong was, maar ik was wel al vroeg met computers aan het werk. In het pre-computertijdperk werkte ik bij KPN, als beheerder op een computercentrum met mainframes. Daarna was ik IT-consultant op de dealingroom van een bank, werkte ik als digitaal rechercheur bij het Korps Landelijke Politiediensten en ging ik bij ING aan de slag met digitaal onderzoek en screenings van personeel. Daar startte ik een digitaal forensisch lab en werd ik cybercrime consultant. Ik heb veel gezien en onderzoek gedaan en begrijp daarom hoe cybercrime werkt.”
Dennis Langhorst: “Als klein jongetje was ik al geïnteresseerd in IT. Ik had een oude pc en ging die repareren, je gaat hobbyen en wordt een beetje een nerd. Dus koos ik voor een studie informatica. Mijn eerste baan was bij Getronics, daar was ik technical consultant en hield ik me bezig met bedrijfscontinuïteit, backups, recovery-plannen. De eerste keer dat ik met cybercrime in aanraking kwam was in 2000. Toen ging het ILOVEYOU-virus rond, via e-mail. Dat virus stuurde zichzelf door, ik vond het heel interessant. Sindsdien werk ik in de informatiebeveiliging. Het bijzondere is dat dat type aanvallen nog steeds werkt. Wij blokkeren die scriptjes wel, maar een vergelijkbaar virus kan nog altijd flink wat schade aanrichten.”
Een CISO is constant bezig met riskmanagement. Welke risico’s zijn er in de buitenwereld? Zijn de systemen goed beschermd? Staats en Langhorst houden voortdurend in de gaten wat er op het ‘grote boze internet’ gebeurt.
Met alle respect, maar de IT-infrastructuur van de meeste advocatenkantoren is toch geen rocket science?
Staats: “In de basis klopt dat wel. Er draaien geen heel ingewikkelde systemen, we hebben een documentmanagementsysteem, urenregistratie en een CRM, alles vanuit de Cloud. Wij werken met gespecialiseerde cybersecuritypartners, die ondersteunen ons bij de beveiliging van onze omgeving.”
Langhorst: “Wij hebben een externe inlogmogelijkheid voor klanten en een information management-afdeling. Voor ons is het opletten bij het starten van een dossier; waar haal je dan je informatie vandaan, en komt de data veilig binnen? Alle advocaten hebben een beroepsgeheim. Als je de vertrouwelijkheid schaadt, kan dat grote gevolgen hebben voor het kantoor. Overigens zie ik dat iedereen binnen kantoor dat echt wel begrijpt.”
Staats: “Je bent geheimhouder, dus als je informatie lekt, heb je echt een probleem. We doen veel aan awareness, zodat iedereen weet hoe ze moeten omgaan met vertrouwelijke informatie. Alle nieuwe medewerkers worden getraind in de maand waarin zij starten, en daarna herhalen we dit.”
Iedereen snapt dat cybersecurity belangrijk is, maar in hoeverre kun je daarmee positieve impact hebben? Moet je niet vooral zorgen dat er niks fout gaat?
Langhorst: “Nee, dat is het mooie. Als je ook aan cliënten kunt laten zien hoe je met vertrouwelijke informatie omgaat, wordt het een business enabler. Ik ben een behoorlijk deel van mijn tijd bezig met het beantwoorden van assessments van cliënten. Die nemen het echt niet zomaar van je aan, je moet er ook echt bewijs van overhandigen.”
Staats: “Dat is bij ons ook zo ja, in business proposals staat ook een onderdeel over cybersecurity. Nieuwe klanten willen weten hoe ons cybersecuritybeleid in elkaar zit voordat ze met het kantoor in zee gaan en ook bestaande cliënten vragen dat regelmatig door middel van vragenlijsten.”
Dat ook advocatenkantoren het doelwit kunnen worden van hackers, heeft DLA Piper aan den lijve ondervonden. Eric Staats verwijst naar een online artikel over de cyberattack op dit grote kantoor in 2018 (‘The day DLA went black’). “Ze zijn weken uit de lucht geweest, en hebben hun hele infrastructuur opnieuw moeten opbouwen.” Ook Langhorst noemt een voorbeeld van een met ransomware gehackt kantoor in de VS. “De hackers dreigden informatie te publiceren over bekende Amerikanen.”
Jullie wisselen informatie uit over dit soort hacks en over cybersecurity, is er op dit onderwerp geen concurrentie?
Staats: “Nee, zeker niet, Dennis en ik hebben het initiatief genomen om met veertien grote Nederlandse advocatenkantoren samen te werken om cybercrime en digitale dreigingen tegen te gaan. Dit doen wij onder de vlag van het Nationaal Cyber Security Centrum. Wij hebben daarvoor een Legal Information Sharing and Analysis Centre opgericht (Legal-ISAC).”
Langhorst: “Op dit vlak zijn we zeker geen concurrenten. Advocatenkantoren werken sowieso geregeld samen aan een grote overname of in andere grote zaken, en goede cybersecurity is voor ieder kantoor van belang. Samen met de grote kantoren wisselen we informatie uit en brengen we elkaar naar een hoger niveau van informatiebeveiliging.”
Staats: “We zijn open over de technologieën die we gebruiken. Er valt echt niets te halen vanuit concurrentie-oogpunt. De beroepsgroep moet er samen sterker van worden, geen enkel kantoor heeft er belang bij als informatie van een ander kantoor op straat komt te liggen.”
Heeft het verplichte thuiswerken jullie nog voor extra beveiligingsproblemen gesteld? Je hebt toch minder overzicht, met al die verschillende werkplekken?
Langhorst: “Wij hadden tijdens een grote griepgolf in 2016 al doorgedacht hoe we de bedrijfscontinuïteit konden waarborgen, dus sindsdien gingen we er al vanuit dat we allemaal thuis konden werken. Wij werken op basis van een VPN-verbinding en via MS Teams. De digitalisering is nog nooit zo snel gegaan als nu door corona. We konden al lang videobellen, maar dat gebeurde toch niet veel. Dat is enorm toegenomen.”
Staats: “Wij noemen dat de modern workplace, het principe dat je anywhere, anytime kunt werken, dus ook op afstand. Technisch gaat dat erg goed en toch was het een enorme cultuuromslag. Waar de medewerkers voorheen veel uren maakten op kantoor, zie je nu niet meer of iemand aanwezig is. Nee, dat houden wij natuurlijk niet in de gaten, wij beschermen de privacy van onze medewerkers.”
Langhorst, lachend: “De advocaten schrijven tijd, dus we hoeven ze echt niet in de gaten te houden.”
In hoeverre word je als CISO ook betrokken bij legal tech ontwikkelingen binnen je kantoor?
Langhorst: “Daar kunnen wij vanaf het begin aan bijdragen, we helpen kiezen met welke partijen we samenwerken als we legal tech-oplossingen willen invoeren. Het komt regelmatig voor dat wij die bedrijven dan helpen om hun security te verbeteren door onze standaarden te hanteren.”
Staats: “Ik werk nauw samen met onze afdeling Technology and Innovation, natuurlijk ook met een security-pet op. Maar ik ben van nature geen nee-zegger.”
Tot slot, als je gewend bent overal gevaar te zien, lig je dan ook wel eens wakker van je werk?
Langhorst: “Ik lig niet snel wakker van mijn werk, al ben ik wel eens bang voor niet-ontdekte risico’s. Maar ook daar proberen we ons zo veel mogelijk op voor te bereiden.”
Staats: “Als ik berichten ontvang dat hackers een softwarebedrijf compromitteren en de klanten van dat bedrijf er ook mee hacken, dan vraag ik me wel meteen af of wij die componenten ook in huis hebben.”
Cybersecurity-tips voor kleinere kantoren die geen CISO in dienst hebben
– Of je nu een CISO hebt of niet, de managing partner of directie van je kantoor is uiteindelijk verantwoordelijk voor de informatiebeveiliging. Het is hun taak om het bij de goede mensen neer te leggen en te investeren in kennis, ook voor de advocaten en secretaresses.
– De overheid publiceert veel over dit onderwerp, er is een nationaal cybersecuritycentrum waar je advies kunt krijgen.
– Neem een trusted partner in de arm, om de mate van volwassenheid van je beveiliging vast te stellen.
– De meeste virussen en hacks komen nog steeds via e-mail binnen, zorg voor een goede e-mailbeveiliging; dit hoeft niet duur te zijn.
– Alleen een gebruikersnaam en wachtwoord is niet voldoende. Gebruik altijd Multi Factor Authentication/Two Factor Authentication voor de toegang tot kantoornetwerken, persoonsgegevens of (bedrijfs)gevoelige informatie.
– Nog steeds worden oude methodes gebruikt om ‘binnen te komen’, bijvoorbeeld een word-document of een Excel-sheet met een macro waar een virus inzit, als attachment bij een e-mail. Als je je mail goed beschermt, heb je 98% van je beveiliging op orde.
– Investeer in techniek enerzijds, maar ook in medewerkers. Als je een mail niet verwacht of herkent, zorg dan dat medewerkers weten wat zij moeten doen en dat zij het niet zomaar openen.
– Zorg af en toe voor een test. Als medewerkers een keer een verdachte link in een test phishing-mail hebben aangeklikt (gestuurd door het Security-team), zijn ze extra alert.
– Ga zoveel mogelijk naar de Cloud. Lange tijd hielden kantoren eigen dataservers aan, maar als je dat extern doet, profiteer je van het schaalvoordeel en de beveiliging. Voor een klein bedrag per persoon per jaar heb je een Cloud-abonnement voor je e-mail met adequate beveiliging.
Dit artikel is afkomstig uit het jongste nummer van Advocatie Magazine. Klik op de cover om het nieuwste magazine – met o.a. De Stand van de Advocatuur en het Notariaat – te lezen of kijk op de magazine-pagina voor abonnementen.
