Blog Cyber security

23.11.2021 Roeland Lembrechts

Standaarden voor veilige websites: wat betekent dit nu concreet?

Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.

19.10.2021 Roeland Lembrechts

Waarschuwing van jouw advocaat: cyber security is ook een juridische uitdaging voor jouw bedrijf

Wie zijn of haar bedrijf wil wapenen tegen cyberrisico’s denkt in de eerste plaats aan technische beveiliging. Dat is uiteraard logisch. Antivirus, firewalls paswoordmanagers, encryptiesoftware en talloze andere IT-producten en -diensten zorgen immers effectief voor een veiligere digitale omgeving.  Zij vormen dan ook als vanzelfsprekend de basis van elk degelijk cyberveiligheidsbeleid. 

Als we als advocaat of jurist bedrijven erop wijzen dat naast al die technische maatregelen cyberveiligheid óók een juridisch vraagstuk is, kijken ondernemers vaak erg verbaasd op.  Wat heeft een advocaat in godsnaam te maken met de cyberveiligheid van je onderneming? Die reactie is begrijpelijk, maar ook erg jammer. Sterk en gespecialiseerd juridisch advies kan en moet immers een sleutelrol spelen in jouw cyberveiligheidsstrategie. 

Wij zijn daar uiteraard zelf al lang van overtuigd, maar je mag het ook aannemen van anderen en niet de minsten, zoals het World Economic Forum.

04.05.2021 Roeland Lembrechts

Verdien jij als Belgische ondernemer de titel van Mr. Stupid?

Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.  

Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit.  Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.

 

Mr. Stupid?

Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.

Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.

KMO_Cybersecurity_Dunning-krugereffect

 

Or Mr. Smart, Trustworthy and Resilient?

Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.

Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.

Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?

Aan jou de keuze!

 

Vragen over cybersecurity? 

Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

 

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

 

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

25.03.2021 Roeland Lembrechts

Phishing: laat je niet verleiden, maar informeer je!

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

Populair artikel
29.01.2021 Roeland Lembrechts

Sirius Legal en BA NV zijn trotse partner van Vlaio om jouw onderneming cyberveilig te maken

Met veel trots kunnen we jullie melden dat Sirius Legal, samen met haar technische partner BA NV, erkend dienstverlener is van Vlaio om de Vlaamse KMO bij te staan in cyber security verbeteringstrajecten. Deze trajecten helpen KMO’s op een laagdrempelige manier hun cyber security maturiteit te verbeteren.

Voor deze verbetertrajecten heeft VLAIO dit jaar een budget voorzien van maar liefst  € 4.000.000. Elk traject wordt voor 45% gesubsidieerd, dus wil je je onderneming op de kaart zetten als digitale solide partner, dan is dit het uitgelezen moment om contact op te nemen.

 

Een geïntegreerde aanpak, de technisch-juridische perfecte blend

Sirius Legal en BA NV zijn er van overtuigd dat cyberrisico’s enkel aangepakt kunnen worden door een benadering vanuit verschillende invalshoeken. Een blend van een technische aanpak met een organisatorische/juridische aanpak maakt je onderneming volwaardig cyberveilig. Met deze visie staan wij niet alleen:  de Europese Commissie en  Het Europees Agentschap voor Netwerk- en informatiebeveiliging wijzen sinds 2017/2018 reeds op het belang van de organisatorische en menselijke aspecten bij een cyber security strategie:

  • mensen zijn de zwakste schakel, 
  • 95% van de cyberincidenten vinden hun oorzaak door een menselijke tussenkomst, 
  • technische strategie moet in harmonie staan met de menselijke aspecten 
  • resultaat kan je enkel bereiken met een doelgerichte awareness, ingebed in een geherstructureerde praktijk en beleid.
  • cybersecurity binnen een onderneming is een sociale constructie waarbij een gezamenlijke houding gecreëerd wordt.

Naast een stevige technische beveiligingsstructuur is dus een geïmplementeerd veiligheidsbeleid noodzakelijk. Dat beleid moet ondersteund worden door gedragsverandering en actieve deelname. Alle betrokkenen bij je onderneming moeten de inhoud en de reden van de opgelegde beleidsregels begrijpen zodat deze ook gerespecteerd zullen worden. Een duidelijke rolverdeling, transparante procedures en afbakening van verantwoordelijkheden dragen bij tot een verhoogde cyber resilience.

 

Waarom cyber security en wat is er dan juridisch aan die strategie?

Het is haast ondenkbaar dat je onderneming niet digitaal verbonden is met de wereld en dat maakt je onderneming spijtig genoeg ook kwetsbaar. Dat we onze bedrijfspanden beveiligen met een alarm, voorzien van een afsluiting en een toegangscontrole, een brandverzekering afsluiten voor alle mogelijke natuurrampen, etc. vinden we evident. De schade van die fysieke risico’s is zichtbaar en we stellen ons amper vragen bij deze veiligheidsmaatregelen.

Vreemd genoeg maken we die reflex niet of onvoldoende als het gaat om de digitale bescherming van onze onderneming. De reden daarvoor is eenvoudig: het risico is niet voldoende zichtbaar. Maar dat betekent niet dat het risico niet bestaat. Buiten de ettelijke commerciële statistieken die je op het internet kan terugvinden, maken ook officiële instanties zich grondig zorgen over de cyberveiligheid van de KMO’s. Grotere bedrijven die het budget en de middelen hebben om zich cyberveilig te maken, zorgen bij cybercriminelen evengoed voor een aangepaste strategie: zij gaan op zoek naar de zwakkere plekken in de gehele supply chain en komen zo bij de onbeveiligde KMO.

Die bezorgdheid is niet zonder reden:

  • Cybercriminaliteit is veel lucratiever dan klassieke criminaliteit;
  • De impact op een onderneming kan veel groter zijn aangezien een cyberaanval onmiddellijk effect kan hebben op alle klanten en leveranciers van een onderneming;
  • De continuïteit en dus productiviteit van een onderneming kan verminderd of voor (middel)lange tijd verhinderd worden;
  • Essentiële informatie van de onderneming kan verloren gaan;
  • ….

Geen enkele onderneming zal te koop lopen met het gegeven dat zij slachtoffer werd van een cyberaanval omdat haar digitale huishouding niet in orde was. Je wil op zijn minst de reputatieschade nog tot een minimum beperken en het vertrouwen van je stakeholders hoog houden. Maar dat is uiteraard geen solide cyber security strategie.

Een correcte strategie gaat steeds uit van een preventieve risicobenadering. En aan cybercriminaliteit zijn vanzelfsprekend een heleboel juridische risico’s verbonden die mits o.a. correct legal risk management tot een minimum herleid kunnen worden. Heb je je bijvoorbeeld al eens volgende vragen gesteld:

  • Ben ik met mijn onderneming zelf in orde met al mijn veiligheidsverplichtingen?
  • Hebben mijn leveranciers voldoende maatregelen genomen om hun continuïteit te waarborgen en mijn data + geleverde goederen/diensten te verzekeren?
  • Zijn er duidelijke afspraken gemaakt over de verdeling van de rollen en verantwoordelijkheden met die leveranciers? Heb ik waarborgen afgesproken om dat te kunnen controleren?
  • Wanneer er zich een incident voordoet:  weet ik dan wie ik snel kan aanspreken om mij bij te staan? Kan ik de oorzaak van dat incident snel identificeren en heb ik afspraken gemaakt om snel te kunnen reageren en na te kijken wie welk herstel en/of schade zal opvangen?
  • Ben ik voldoende verzekerd voor cyberincidenten en zo nee, welke verzekering kan mij het beste dekken, zonder dat deze overlapt met mijn lopende verzekeringen?
  • Weet ik welke autoriteiten ik moet verwittigen en op basis van welke criteria?
  • Moet ik een incident melden aan mijn klanten en zo ja op welke manier kan ik dit best doen?
  • Heb ik duidelijke afspraken met mijn werknemers, freelancers en medebestuurders over het gebruik van mailcorrespondentie, toegangen tot de verschillende systemen, gebruik van eigen computers, smartphones, applicaties, etc.? Is in heel dit beleid met het personeel nagedacht over het cyber security draagvlak binnen de onderneming?
  • Bevatten mijn diensten en/of goederen software, zijn deze gelinkt met het internet? Zo ja, zijn mijn diensten en/of goederen die ik verkoop veilig genoeg en heb ik de juiste standaarden voorzien? 

Sirius Legal neemt voor deze en vele andere vragen het juridisch gedeelte van het verbeteringstraject voor haar rekening via een eigen legal risk assessment. Sirius Legal brengt jouw onderneming juridisch volledig in kaart en zal aan de hand van prioriteiten jouw onderneming  (en in samenspraak met haar technische partner), optillen naar een solide cyberveilig niveau. Niet via een theoretische “met het vingertje wijzend aan de zijkant” – benadering, maar met een pragmatische aanpak die rekening houdt met de specifieke noden van je onderneming.

 

VLAIO opent de poort naar haalbare mogelijkheden

KMO’s hebben meestal geen tijd en middelen om écht in te zetten op cyber security. De prioritaire bezorgdheid om de productiviteit blijft doorwegen en dat is op zich niet onlogisch. Het is juist om die reden dat VLAIO met dit prachtig initiatief komt en maar liefst 45% van de kost zal subsidiëren. De opgemaakte offertes werden stevig onderhandeld met VLAIO, waarbij de prijzen gereduceerd werden naar een haalbaar niveau voor elke KMO. Zoals steeds tracht Sirius Legal in al haar offertes de juridische aspecten rond de digitalisering van de onderneming zo laagdrempelig mogelijk te houden. In de cyber security verbeteringstrajecten zal dit niet anders zijn.

Investeren in cyber security kost inderdaad geld, maar leidt ook tot economische voordelen: je beperkt informatiebeveiligingsrisico’s, je vergroot het vertrouwen van de consument, je geeft proactief blijk van compliance als moderne onderneming en je geniet hierdoor concurrentievoordeel omdat je klanten zekerheid en continuïteit kan bieden.

Laat deze unieke kans niet aan je voorbijgaan en geniet van de voordelen die Vlaio, BA en Sirius Legal je nu kunnen bieden. Meer informatie nodig? Neem dan vrijblijvend contact op met Roeland via roeland@siriuslegal.be of boek meteen een afspraak via deze link.

17.12.2020 Roeland Lembrechts

Wie laat zich vrijwillig hacken? De “coordinated vulnerability disclosure policy” voor ethische hacking.

Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken (een beleid voor de gecoördineerde bekendmaking van kwetsbaarheid of CVDP). Het is een policy die je uitschrijft om ethische hackers de mogelijkheid te geven om je IT-systemen te testen op mogelijke kwetsbaarheden. In het kader van deze samenwerking bepaal je regels rond de vertrouwelijkheid van deze informatie en de eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier.

 

Een aanvullende organisatorische en technische maatregel

Het toepassen van zo’n policy wordt beschouwd als een waardevolle aanvulling op jouw veiligheidsbeleid en schept een aantal voordelen:

  • het biedt een juridisch kader voor ethische hackers, 
  • kwetsbaarheden worden eerder ontdekt en opgelost/hersteld voordat malafide cybercriminelen er gebruik van maken, 
  • met zo’n beleid geef je als bedrijf aan je stakeholders aan dat zij vertrouwen kunnen hebben in je IT-systemen,
  • de vertrouwelijkheid van de informatie wordt gewaarborgd, maar anderzijds wordt de IT-gemeenschap wel gecoördineerd op de hoogte gebracht van mogelijke kwetsbaarheden en leidt zo tot een verhoogde algemene cyberveiligheid,
  • je kan je met je organisatie compliant maken aan de vereisten van de GDPR, NIS-wetgeving, aansprakelijkheidsvereisten onder het Wetboek Economisch Recht, etc.

Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) publiceerde reeds in november 2015 haar Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations. Deze gids van 92 pagina’s behandelt de achtergrond van de uitgevoerde studie op deze policies, de verschillende uitdagingen en bevindingen én geeft vervolgens een reeks aanbevelingen die je kan gebruiken bij het opstellen van deze policies. In de annex wordt een uitgebreide template met begeleidende informatie voorzien.

Zeer recent publiceerde ook het Centrum voor Cyber Security België (CCB) haar ‘Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’. Deze praktische gids bestaat uit 2 delen. In deel I: goede praktijken geeft het CCB een reeks aanbevelingen om zowel de inhoud van de CVDP als de procedure ervan zo goed als mogelijk op te stellen. In deel II: wettelijke aspecten geeft zij een uitgebreide toelichting van de toepasselijke strafrechtelijke bepalingen met telkens een toepassing op de CVDP en bespreekt zij de policy in het kader van de GDPR.

Het CCB geeft zelf alvast het goede voorbeeld en heeft op haar eigen website een Coordinated Vulnerability Policy geplaatst. Het CCB biedt zich ook aan als coördinator tussen je organisatie en de deelnemers om bijstand te verlenen bij de toepassing van je policy. Contact kan opgenomen worden via vulnerabilityreport@cert.be.

De opmaak van zo’n policy wordt dus aangemoedigd door de Europese en nationale cybersecurity-autoriteiten. De uitgebreide documentatie die zij daarvoor aanbieden, vormt alvast een goede basis om zelf aan de slag te gaan met een CVDP.

 

Enkele addertjes onder het gras

Het opstellen van zo’n CVDP is echter niet zonder risico. De hierboven vermeldde documentatie maakt dit ook reeds duidelijk, maar we wijzen graag op een aantal extra aandachtspunten. 

  • Scope en voorwaarden

Met het CVDP geef je als organisatie aan onder welke voorwaarden je toelaat om handelingen te stellen die in principe onder de strafrechtelijke kwalificatie kunnen vallen van externe/interne hacking, informaticasabotage, gebruik van hacker tools en het onderscheppen van elektronische communicatie.

Het CCB spreekt in haar richtlijnen over een vorm van toetredingsovereenkomst of een machtiging om deze handelingen te stellen. Het neemt immers het onrechtmatig karakter van de handeling weg om te kunnen spreken van een strafbare gedraging. Vanaf dat je deze machtiging (dus de scope en de voorwaarden van de policy) overschrijdt, val je terug in het strafrechtelijk discours.

Een onduidelijke policy bevat verschillende risico’s, zowel voor de onderneming die de policy publiceert, als voor de hacker die deelneemt aan het disclosure programma. 

De interpretatie die een onderneming geeft aan de toepassing van de voorwaarden is daarom niet dezelfde als degene die het Openbaar Ministerie er eventueel aan zou geven. Het is nog af te wachten welk vervolgingsbeleid het Openbaar Ministerie in dit kader zal volgen. Redelijkerwijs kan aangenomen worden dat zolang hacker en onderneming in goede verstandhouding de policy respecteren, er geen al te grote problemen te verwachten zijn, nu zulke policies ook vanuit de overheid aangemoedigd wordt.

Voorzie tot slot ook steeds een duidelijke timebox waarbinnen de voorwaarden van de policy gelden. Wijzig je de voorwaarden, zorg dan voor duidelijkheid wanneer deze wijzigingen van toepassing zijn, zodat ethische hackers ook duidelijk weten binnen welk speelveld ze jouw systemen kunnen testen. 

  • Belangen van derden

Hou bij de opmaak zeker rekening met de rechten van derden. Gebruik je als bedrijf een cloudomgeving of andere hardware/software-systemen van derden, dan moeten ook zij toelating geven om deze op een ethische manier te laten hacken. Zo niet, dan komt het onrechtmatig karakter van het hacken weer bovendrijven. Of erger, in dat geval zou je zelfs kunnen oordelen dat de onderneming die de policy publiceert, zich schuldig maakt aan aanzetting tot hacking, wat zwaarder bestraft wordt dan het hacken zelf.

  • Gevolgen en eventuele schade

Jouw systemen laten testen kan ook ongewild schade veroorzaken:  IT-systemen die vastlopen/crashen met een tijdelijke onbeschikbaarheid van het systeem of verlies van gegevens, de performance/doorvoer van je systemen kan worden aangetast tijdens het testen, data kunnen worden gewijzigd of verwijderd, alarmen kunnen worden geactiveerd door inbraakdetectiesystemen, etc. Hierdoor kan je onderneming enorme schade oplopen. De neiging zal dan groot zijn om alsnog de gekende hacker aansprakelijk te stellen.

Jouw policy moet dus naast de melding dat er geen strafklacht zou neergelegd worden, ook bepalen in welke mate en hoe de hacker aansprakelijk kan geacht worden voor eventuele schade en anderzijds welk risico op schade de onderneming voor haar eigen rekening neemt. Bepaal ook in hoeverre je de betrokken hacker zal vrijwaren voor claims die van derden kunnen komen.

Stem jouw policy ook steeds af met je lopende schadeverzekeringen en je eventuele afgesloten cybersecurity verzekering. Kijk ook steeds na of je geen melding moet maken van de publicatie van de policy, aangezien de betrokken verzekeraar kan oordelen dat dit een risicoverzwaring inhoudt.

  • Proportionaliteit als leidraad

Een algemeen principe dat steeds dient gehanteerd te worden, is dat van de proportionaliteit. De betrokken hacker mag alleen doen wat noodzakelijk is om de kwetsbaarheid bloot te kunnen leggen.

Zorg daarom in je policy onder meer voor een expliciet verbod tot social engineering, verbod op het plaatsen van een eigen ‘backdoor’ om een kwetsbaarheid aan te tonen, verbod tot wijzigen, kopiëren of verwijderen van data, verbod om herhaaldelijk toegang tot IT-systeem te zoeken, verbod om toegang tot systeem met anderen te delen en het verbod tot bruteforcen (herhaaldelijk gebruik van wachtwoorden).

  • Ook GDPR komt weer om de hoek loeren…

Bij het uittesten van je systemen kan het zijn dat de hacker kennis krijgt van persoonsgegevens en deze op de ene of andere manier dient te verwerken. Bepaal daarom ook meteen in je policy dat de hacker zelf voldoende garanties biedt met betrekking tot de toepassing van geschikte technische en organisatorische maatregelen. De ethische hacker moet zich hiervan bewust zijn, aangezien het gebrek van zulke garanties hem per definitie uitsluit van de voorwaarden van de policy en zich opnieuw op strafrechtelijk glad ijs bevindt.

Voorzie daarnaast als onderneming in je policy ook de wettelijk verplichte bepalingen zoals deze zijn opgenomen in art. 28 van de GDPR. Zorg ervoor dat je duidelijk doel en middelen bepaalt zodat elke hacker goed kan inschatten binnen welke grenzen de hacking onder een rechtmatige verwerking valt. Gaat de hacker buiten die opdracht, dan kan hij als eigen verwerkingsverantwoordelijke beschouwd worden en zich eveneens blootstellen aan de specifieke GDPR-sancties.

  • De policy staat niet op zichzelf

Hou er tot slot rekening mee dat een CVDP nooit op zichzelf staat. In geval van mogelijke verwerking van persoonsgegevens moet je dataregister aangevuld worden. Ga ook na of je vooraf geen DPIA (gegevensbeschermingseffectbeoordeling) moet uitvoeren. Voorzie daarnaast ook een aangepast incident response plan dat rekening houdt met de hypothese van de CVDP. Verzorg je interne en externe communicatie bij de melding van een kwetsbaarheid.

 

Naar een matuur cyberveilig beleid

Het opstellen en publiceren van een CVDP draagt zonder twijfel bij tot de maturiteit van de cyberveiligheid van je onderneming of organisatie. Het toont eveneens aan dat je een aanvullende technische & organisatorische maatregel neemt in overeenstemming met de toepasselijke wetgeving. De correcte opstelling van zo’n CVDP vraagt echter wel om de juiste juridische reflexen die niet altijd even eenvoudig zijn.

 

Meer informatie of begeleiding nodig bij de opmaak van een CVDP? 

Neem dan gerust even contact op met ons team via roeland@siriuslegal.be of neem eens een kijkje op onze Cyber security en legal risk management pagina’s.

29.07.2019 Roeland Lembrechts

Slachtoffer van een cyberaanval? Opgelet, misschien ben je zelf wel aansprakelijk!

Wanneer we denken aan een cyberaanval, dan wordt er in de eerste plaats gedacht aan cybercriminelen die zich toegang hebben kunnen verschaffen tot jouw systemen en vervolgens onrechtmatig gebruik hebben gemaakt van jouw data. Als organisatie ben je op dat moment ook in de eerste plaats slachtoffer van een strafrechtelijk misdrijf.

 

Maar betekent dit dat je dan zelf geen enkele verantwoordelijkheid draagt? Uiteraard niet. De implementatie van de regelgeving rond databescherming van persoonsgegevens maakte reeds duidelijk dat je als organisatie verantwoordelijk bent voor de data die je verwerkt. Deze evolutie wordt inmiddels bevestigd door de publicatie van de Cybersecuritywet (NIS-wet). Eens je als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, dan moet je rekening houden met heel wat verplichtingen.

De bescherming, de beveiliging en de betrouwbaarheid van de netwerk- en informatie systemen van aanbieders van essentiële diensten en van sommige digitale dienstverleners zijn voortaan overwegingen van algemeen belang voor de bescherming van de bevolking en de ondernemingen. De beveiligingsvoorschriften voor hun netwerk- en informatiesystemen vallen bijgevolg onder de openbare orde en veiligheid in ruime zin. En wat in het kader van de openbare orde beschermd wordt, wordt strafrechtelijk beteugeld en gecontroleerd.

 

Ben ik een digitale dienstverlener?

De eerste categorie, nl. aanbieders van essentiële diensten worden in deze bijdrage buiten beschouwing gelaten. De tweede categorie treft veel meer organisaties en het is belangrijk om na te gaan of je al dan niet onder het toepassingsgebied van de wet valt.

Volgens de Cybersecuritywet is een digitale dienstverlener ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, die op afstand en op individueel verzoek van een afnemer van diensten wordt verricht’. Indien we enkel deze definitie zouden hanteren, dan zouden heel wat organisaties onder de verplichtingen van de Cybersecuritywet vallen. Om die reden wordt een beperking voorzien met aangeduide categorieën die terug te vinden zijn in de bijlage van de wet.

Het gaat momenteel om:

  • onlinemarktplaats: een digitale dienst die het consumenten mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op haar website of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten;
  • onlinezoekmachine: een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input; het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud;
  • cloudcomputerdienst: een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit.

 

Wat zijn mijn verplichtingen?

Als digitale dienstverlener heb je volgende verplichtingen:

  • Beveiligingsplicht: het identificeren van de risico’s voor de beveiliging van je netwerk- en informatiesystemen én passende en evenredige technische en organisatorische maatregelen nemen om die risico’s te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen, en houden rekening met de volgende aspecten:

          a) de beveiliging van systemen en voorzieningen;
          b) de behandeling van incidenten;
          c) het beheer van de bedrijfscontinuïteit
          d) toezicht, controle en testen;
          e) de inachtneming van de internationale normen.

Verder moet je ook maatregelen nemen om incidenten te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen.

  • Meldingsplicht: onverwijld ieder incident melden dat aanzienlijke gevolgen heeft voor de verlening van je aangeboden digitale diensten. Deze melding dient te gebeuren via het meldingsplatform dat de CCB (Centrum voor Cybersecurity België) zal organiseren en coördineren. Deze taak werd zeer recent aan het CCB toebedeeld door het gepubliceerde uitvoeringsKB, maar de verdere praktische werking hiervan dient nog uitgerold te worden.

Deze meldingsplicht geldt alleen wanneer je toegang hebt tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.

  • Informatieplicht: de inspectiedienst van de FOD Economie binnen de gestelde termijn de informatie verstrekken die nodig is om de beveiliging van jouw netwerk- en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging. Elke niet-inachtneming van de beveiligingseisen en de eisen inzake het melden van incidenten moet je rechtzetten binnen de gestelde termijn.

 

Wat zijn de mogelijke sancties als ik hier niet aan voldoe?

Indien je aan bovenstaande verplichtingen niet voldoet, dan kan je zowel administratief als strafrechtelijk gesanctioneerd worden:

  • Beveiligingsplicht
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 30.000 Euro (te vermenigvuldigen met 8)
    – Administratief: een geldboete van 500,00 tot 100.000,00 Euro
  • Meldingsplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 20.000 Euro (te vermenigvuldigen met 8)
    Administratief: een geldboete van 500,00 tot 75.000,00 Euro
  • Informatieplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 50.000 Euro (te vermenigvuldigen met 8) – Administratief: een geldboete van 500,00 tot 75.000,00 Euro

Verhinder of belemmer je de controle of geef je opzettelijk foutieve of onvolledige informatie, dan kan je gesanctioneerd worden met een geldboete van 26,00 tot 75.000,00 Euro (x8).

 

Koppeling met de GDPR

Naast deze verplichtingen voorziet de Cybersecuritywet ook een bijzondere regeling in aansluiting met de GDPR. Zo zullen voor de doeleinden van de wetgeving bepaalde verwerkingen mogelijk gemaakt worden en kunnen de rechten van de betrokkenen geweigerd of beperkt worden.

Van belang is te melden dat eens je als digitale dienstverlener beschouwd wordt, je automatisch verplicht bent om een DPO (functionaris voor gegevensbescherming) aan te stellen. 

 

Conclusie

Door de recente aanstelling van het CCB en de toewijzing van de bevoegdheid aan de inspectiediensten van de FOD Economie voor de toezicht en controle, worden de cybersecurity-verplichtingen van digitale dienstverleners steeds concreter. Als organisatie is het van belang dat je op een transparante en gedocumenteerde wijze kan aantonen dat je de cyberrisico’s correct hebt ingeschat. Ook je technische en organisatorische maatregelen zullen steeds up-to-date moeten zijn. Je bent dus bij een cyberaanval niet langer alleen het slachtoffer, maar mogelijks ook strafrechtelijk verantwoordelijk.

 

Vragen over de recente juridische ontwikkelingen in Cybersecurity?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.