Blog Cyber security

Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.  

Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit.  Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.

Mr. Stupid?

Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
‘We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.

Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.

Or Mr. Smart, Trustworthy and Resilient?

Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.

Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.

Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?

Aan jou de keuze!

Vragen over cybersecurity? 

Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio. 

Met veel trots kunnen we jullie melden dat Sirius Legal, samen met haar technische partner BA NV, erkend dienstverlener is van Vlaio om de Vlaamse KMO bij te staan in cyber security verbeteringstrajecten. Deze trajecten helpen KMO’s op een laagdrempelige manier hun cyber security maturiteit te verbeteren.

Voor deze verbetertrajecten heeft VLAIO dit jaar een budget voorzien van maar liefst  € 4.000.000. Elk traject wordt voor 45% gesubsidieerd, dus wil je je onderneming op de kaart zetten als digitale solide partner, dan is dit het uitgelezen moment om contact op te nemen.

Een geïntegreerde aanpak, de technisch-juridische perfecte blend

Sirius Legal en BA NV zijn er van overtuigd dat cyberrisico’s enkel aangepakt kunnen worden door een benadering vanuit verschillende invalshoeken. Een blend van een technische aanpak met een organisatorische/juridische aanpak maakt je onderneming volwaardig cyberveilig. Met deze visie staan wij niet alleen:  de Europese Commissie en  Het Europees Agentschap voor Netwerk- en informatiebeveiliging wijzen sinds 2017/2018 reeds op het belang van de organisatorische en menselijke aspecten bij een cyber security strategie:

• mensen zijn de zwakste schakel, 
• 95% van de cyberincidenten vinden hun oorzaak door een menselijke tussenkomst, 
• technische strategie moet in harmonie staan met de menselijke aspecten 
• resultaat kan je enkel bereiken met een doelgerichte awareness, ingebed in een geherstructureerde praktijk en beleid.
• cybersecurity binnen een onderneming is een sociale constructie waarbij een gezamenlijke houding gecreëerd wordt.

Naast een stevige technische beveiligingsstructuur is dus een geïmplementeerd veiligheidsbeleid noodzakelijk. Dat beleid moet ondersteund worden door gedragsverandering en actieve deelname. Alle betrokkenen bij je onderneming moeten de inhoud en de reden van de opgelegde beleidsregels begrijpen zodat deze ook gerespecteerd zullen worden. Een duidelijke rolverdeling, transparante procedures en afbakening van verantwoordelijkheden dragen bij tot een verhoogde cyber resilience.

Waarom cyber security en wat is er dan juridisch aan die strategie?

Het is haast ondenkbaar dat je onderneming niet digitaal verbonden is met de wereld en dat maakt je onderneming spijtig genoeg ook kwetsbaar. Dat we onze bedrijfspanden beveiligen met een alarm, voorzien van een afsluiting en een toegangscontrole, een brandverzekering afsluiten voor alle mogelijke natuurrampen, etc. vinden we evident. De schade van die fysieke risico’s is zichtbaar en we stellen ons amper vragen bij deze veiligheidsmaatregelen.

Vreemd genoeg maken we die reflex niet of onvoldoende als het gaat om de digitale bescherming van onze onderneming. De reden daarvoor is eenvoudig: het risico is niet voldoende zichtbaar. Maar dat betekent niet dat het risico niet bestaat. Buiten de ettelijke commerciële statistieken die je op het internet kan terugvinden, maken ook officiële instanties zich grondig zorgen over de cyberveiligheid van de KMO’s. Grotere bedrijven die het budget en de middelen hebben om zich cyberveilig te maken, zorgen bij cybercriminelen evengoed voor een aangepaste strategie: zij gaan op zoek naar de zwakkere plekken in de gehele supply chain en komen zo bij de onbeveiligde KMO.

Die bezorgdheid is niet zonder reden:

• Cybercriminaliteit is veel lucratiever dan klassieke criminaliteit;
• De impact op een onderneming kan veel groter zijn aangezien een cyberaanval onmiddellijk effect kan hebben op alle klanten en leveranciers van een onderneming;
• De continuïteit en dus productiviteit van een onderneming kan verminderd of voor (middel)lange tijd verhinderd worden;
• Essentiële informatie van de onderneming kan verloren gaan;
• ….

Geen enkele onderneming zal te koop lopen met het gegeven dat zij slachtoffer werd van een cyberaanval omdat haar digitale huishouding niet in orde was. Je wil op zijn minst de reputatieschade nog tot een minimum beperken en het vertrouwen van je stakeholders hoog houden. Maar dat is uiteraard geen solide cyber security strategie.

Een correcte strategie gaat steeds uit van een preventieve risicobenadering. En aan cybercriminaliteit zijn vanzelfsprekend een heleboel juridische risico’s verbonden die mits o.a. correct legal risk management tot een minimum herleid kunnen worden. Heb je je bijvoorbeeld al eens volgende vragen gesteld:

• Ben ik met mijn onderneming zelf in orde met al mijn veiligheidsverplichtingen?
• Hebben mijn leveranciers voldoende maatregelen genomen om hun continuïteit te waarborgen en mijn data + geleverde goederen/diensten te verzekeren?
• Zijn er duidelijke afspraken gemaakt over de verdeling van de rollen en verantwoordelijkheden met die leveranciers? Heb ik waarborgen afgesproken om dat te kunnen controleren?
• Wanneer er zich een incident voordoet:  weet ik dan wie ik snel kan aanspreken om mij bij te staan? Kan ik de oorzaak van dat incident snel identificeren en heb ik afspraken gemaakt om snel te kunnen reageren en na te kijken wie welk herstel en/of schade zal opvangen?
• Ben ik voldoende verzekerd voor cyberincidenten en zo nee, welke verzekering kan mij het beste dekken, zonder dat deze overlapt met mijn lopende verzekeringen?
• Weet ik welke autoriteiten ik moet verwittigen en op basis van welke criteria?
• Moet ik een incident melden aan mijn klanten en zo ja op welke manier kan ik dit best doen?
• Heb ik duidelijke afspraken met mijn werknemers, freelancers en medebestuurders over het gebruik van mailcorrespondentie, toegangen tot de verschillende systemen, gebruik van eigen computers, smartphones, applicaties, etc.? Is in heel dit beleid met het personeel nagedacht over het cyber security draagvlak binnen de onderneming?
• Bevatten mijn diensten en/of goederen software, zijn deze gelinkt met het internet? Zo ja, zijn mijn diensten en/of goederen die ik verkoop veilig genoeg en heb ik de juiste standaarden voorzien? 

Sirius Legal neemt voor deze en vele andere vragen het juridisch gedeelte van het verbeteringstraject voor haar rekening via een eigen legal risk assessment. Sirius Legal brengt jouw onderneming juridisch volledig in kaart en zal aan de hand van prioriteiten jouw onderneming  (en in samenspraak met haar technische partner), optillen naar een solide cyberveilig niveau. Niet via een theoretische “met het vingertje wijzend aan de zijkant” – benadering, maar met een pragmatische aanpak die rekening houdt met de specifieke noden van je onderneming.

VLAIO opent de poort naar haalbare mogelijkheden

KMO’s hebben meestal geen tijd en middelen om écht in te zetten op cyber security. De prioritaire bezorgdheid om de productiviteit blijft doorwegen en dat is op zich niet onlogisch. Het is juist om die reden dat VLAIO met dit prachtig initiatief komt en maar liefst 45% van de kost zal subsidiëren. De opgemaakte offertes werden stevig onderhandeld met VLAIO, waarbij de prijzen gereduceerd werden naar een haalbaar niveau voor elke KMO. Zoals steeds tracht Sirius Legal in al haar offertes de juridische aspecten rond de digitalisering van de onderneming zo laagdrempelig mogelijk te houden. In de cyber security verbeteringstrajecten zal dit niet anders zijn.

Investeren in cyber security kost inderdaad geld, maar leidt ook tot economische voordelen: je beperkt informatiebeveiligingsrisico’s, je vergroot het vertrouwen van de consument, je geeft proactief blijk van compliance als moderne onderneming en je geniet hierdoor concurrentievoordeel omdat je klanten zekerheid en continuïteit kan bieden.

Laat deze unieke kans niet aan je voorbijgaan en geniet van de voordelen die Vlaio, BA en Sirius Legal je nu kunnen bieden. Meer informatie nodig? Neem dan vrijblijvend contact op met Roeland via roeland@siriuslegal.be of boek meteen een afspraak via deze link.

Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken (een beleid voor de gecoördineerde bekendmaking van kwetsbaarheid of CVDP). Het is een policy die je uitschrijft om ethische hackers de mogelijkheid te geven om je IT-systemen te testen op mogelijke kwetsbaarheden. In het kader van deze samenwerking bepaal je regels rond de vertrouwelijkheid van deze informatie en de eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier.

Een aanvullende organisatorische en technische maatregel

Het toepassen van zo’n policy wordt beschouwd als een waardevolle aanvulling op jouw veiligheidsbeleid en schept een aantal voordelen:

• het biedt een juridisch kader voor ethische hackers, 
• kwetsbaarheden worden eerder ontdekt en opgelost/hersteld voordat malafide cybercriminelen er gebruik van maken, 
• met zo’n beleid geef je als bedrijf aan je stakeholders aan dat zij vertrouwen kunnen hebben in je IT-systemen,
• de vertrouwelijkheid van de informatie wordt gewaarborgd, maar anderzijds wordt de IT-gemeenschap wel gecoördineerd op de hoogte gebracht van mogelijke kwetsbaarheden en leidt zo tot een verhoogde algemene cyberveiligheid,
• je kan je met je organisatie compliant maken aan de vereisten van de GDPR, NIS-wetgeving, aansprakelijkheidsvereisten onder het Wetboek Economisch Recht, etc.

Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) publiceerde reeds in november 2015 haar Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations. Deze gids van 92 pagina’s behandelt de achtergrond van de uitgevoerde studie op deze policies, de verschillende uitdagingen en bevindingen én geeft vervolgens een reeks aanbevelingen die je kan gebruiken bij het opstellen van deze policies. In de annex wordt een uitgebreide template met begeleidende informatie voorzien.

Zeer recent publiceerde ook het Centrum voor Cyber Security België (CCB) haar ‘Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’. Deze praktische gids bestaat uit 2 delen. In deel I: goede praktijken geeft het CCB een reeks aanbevelingen om zowel de inhoud van de CVDP als de procedure ervan zo goed als mogelijk op te stellen. In deel II: wettelijke aspecten geeft zij een uitgebreide toelichting van de toepasselijke strafrechtelijke bepalingen met telkens een toepassing op de CVDP en bespreekt zij de policy in het kader van de GDPR.

Het CCB geeft zelf alvast het goede voorbeeld en heeft op haar eigen website een Coordinated Vulnerability Policy geplaatst. Het CCB biedt zich ook aan als coördinator tussen je organisatie en de deelnemers om bijstand te verlenen bij de toepassing van je policy. Contact kan opgenomen worden via vulnerabilityreport@cert.be.

De opmaak van zo’n policy wordt dus aangemoedigd door de Europese en nationale cybersecurity-autoriteiten. De uitgebreide documentatie die zij daarvoor aanbieden, vormt alvast een goede basis om zelf aan de slag te gaan met een CVDP.

Enkele addertjes onder het gras

Het opstellen van zo’n CVDP is echter niet zonder risico. De hierboven vermeldde documentatie maakt dit ook reeds duidelijk, maar we wijzen graag op een aantal extra aandachtspunten. 

• Scope en voorwaarden

Met het CVDP geef je als organisatie aan onder welke voorwaarden je toelaat om handelingen te stellen die in principe onder de strafrechtelijke kwalificatie kunnen vallen van externe/interne hacking, informaticasabotage, gebruik van hacker tools en het onderscheppen van elektronische communicatie.

Het CCB spreekt in haar richtlijnen over een vorm van toetredingsovereenkomst of een machtiging om deze handelingen te stellen. Het neemt immers het onrechtmatig karakter van de handeling weg om te kunnen spreken van een strafbare gedraging. Vanaf dat je deze machtiging (dus de scope en de voorwaarden van de policy) overschrijdt, val je terug in het strafrechtelijk discours.

Een onduidelijke policy bevat verschillende risico’s, zowel voor de onderneming die de policy publiceert, als voor de hacker die deelneemt aan het disclosure programma. 

De interpretatie die een onderneming geeft aan de toepassing van de voorwaarden is daarom niet dezelfde als degene die het Openbaar Ministerie er eventueel aan zou geven. Het is nog af te wachten welk vervolgingsbeleid het Openbaar Ministerie in dit kader zal volgen. Redelijkerwijs kan aangenomen worden dat zolang hacker en onderneming in goede verstandhouding de policy respecteren, er geen al te grote problemen te verwachten zijn, nu zulke policies ook vanuit de overheid aangemoedigd wordt.

Voorzie tot slot ook steeds een duidelijke timebox waarbinnen de voorwaarden van de policy gelden. Wijzig je de voorwaarden, zorg dan voor duidelijkheid wanneer deze wijzigingen van toepassing zijn, zodat ethische hackers ook duidelijk weten binnen welk speelveld ze jouw systemen kunnen testen. 

• Belangen van derden

Hou bij de opmaak zeker rekening met de rechten van derden. Gebruik je als bedrijf een cloudomgeving of andere hardware/software-systemen van derden, dan moeten ook zij toelating geven om deze op een ethische manier te laten hacken. Zo niet, dan komt het onrechtmatig karakter van het hacken weer bovendrijven. Of erger, in dat geval zou je zelfs kunnen oordelen dat de onderneming die de policy publiceert, zich schuldig maakt aan aanzetting tot hacking, wat zwaarder bestraft wordt dan het hacken zelf.

• Gevolgen en eventuele schade

Jouw systemen laten testen kan ook ongewild schade veroorzaken:  IT-systemen die vastlopen/crashen met een tijdelijke onbeschikbaarheid van het systeem of verlies van gegevens, de performance/doorvoer van je systemen kan worden aangetast tijdens het testen, data kunnen worden gewijzigd of verwijderd, alarmen kunnen worden geactiveerd door inbraakdetectiesystemen, etc. Hierdoor kan je onderneming enorme schade oplopen. De neiging zal dan groot zijn om alsnog de gekende hacker aansprakelijk te stellen.

Jouw policy moet dus naast de melding dat er geen strafklacht zou neergelegd worden, ook bepalen in welke mate en hoe de hacker aansprakelijk kan geacht worden voor eventuele schade en anderzijds welk risico op schade de onderneming voor haar eigen rekening neemt. Bepaal ook in hoeverre je de betrokken hacker zal vrijwaren voor claims die van derden kunnen komen.

Stem jouw policy ook steeds af met je lopende schadeverzekeringen en je eventuele afgesloten cybersecurity verzekering. Kijk ook steeds na of je geen melding moet maken van de publicatie van de policy, aangezien de betrokken verzekeraar kan oordelen dat dit een risicoverzwaring inhoudt.

• Proportionaliteit als leidraad

Een algemeen principe dat steeds dient gehanteerd te worden, is dat van de proportionaliteit. De betrokken hacker mag alleen doen wat noodzakelijk is om de kwetsbaarheid bloot te kunnen leggen.

Zorg daarom in je policy onder meer voor een expliciet verbod tot social engineering, verbod op het plaatsen van een eigen ‘backdoor’ om een kwetsbaarheid aan te tonen, verbod tot wijzigen, kopiëren of verwijderen van data, verbod om herhaaldelijk toegang tot IT-systeem te zoeken, verbod om toegang tot systeem met anderen te delen en het verbod tot bruteforcen (herhaaldelijk gebruik van wachtwoorden).

• Ook GDPR komt weer om de hoek loeren…

Bij het uittesten van je systemen kan het zijn dat de hacker kennis krijgt van persoonsgegevens en deze op de ene of andere manier dient te verwerken. Bepaal daarom ook meteen in je policy dat de hacker zelf voldoende garanties biedt met betrekking tot de toepassing van geschikte technische en organisatorische maatregelen. De ethische hacker moet zich hiervan bewust zijn, aangezien het gebrek van zulke garanties hem per definitie uitsluit van de voorwaarden van de policy en zich opnieuw op strafrechtelijk glad ijs bevindt.

Voorzie daarnaast als onderneming in je policy ook de wettelijk verplichte bepalingen zoals deze zijn opgenomen in art. 28 van de GDPR. Zorg ervoor dat je duidelijk doel en middelen bepaalt zodat elke hacker goed kan inschatten binnen welke grenzen de hacking onder een rechtmatige verwerking valt. Gaat de hacker buiten die opdracht, dan kan hij als eigen verwerkingsverantwoordelijke beschouwd worden en zich eveneens blootstellen aan de specifieke GDPR-sancties.

• De policy staat niet op zichzelf

Hou er tot slot rekening mee dat een CVDP nooit op zichzelf staat. In geval van mogelijke verwerking van persoonsgegevens moet je dataregister aangevuld worden. Ga ook na of je vooraf geen DPIA (gegevensbeschermingseffectbeoordeling) moet uitvoeren. Voorzie daarnaast ook een aangepast incident response plan dat rekening houdt met de hypothese van de CVDP. Verzorg je interne en externe communicatie bij de melding van een kwetsbaarheid.

Naar een matuur cyberveilig beleid

Het opstellen en publiceren van een CVDP draagt zonder twijfel bij tot de maturiteit van de cyberveiligheid van je onderneming of organisatie. Het toont eveneens aan dat je een aanvullende technische & organisatorische maatregel neemt in overeenstemming met de toepasselijke wetgeving. De correcte opstelling van zo’n CVDP vraagt echter wel om de juiste juridische reflexen die niet altijd even eenvoudig zijn.

Meer informatie of begeleiding nodig bij de opmaak van een CVDP? 

Neem dan gerust even contact op met ons team via roeland@siriuslegal.be of neem eens een kijkje op onze Cyber security en legal risk management pagina’s.

Door de digitale evolutie heeft zowat elke onderneming nood aan een kwalitatieve ICT-infrastructuur. Externe dienstverleners uit de IT-sector bieden daarbij graag verschillende diensten aan om ondernemingen op een geïntegreerde wijze hun economische activiteiten te verbeteren en te innoveren. Maar naast de zoektocht naar efficiëntie en verbetering dient ook steeds meer rekening gehouden te worden met de digitale veiligheid van deze ondernemingen. En ook daar speel je als externe IT-dienstverlener een belangrijke rol. 

Veroordeling in Nederland

De rol van de IT-dienstverlener werd door de rechtbank van Amsterdam nog eens op scherp gesteld met een vonnis van 14/11/2018 (gepubliceerd op 07/06/2020). Een Nederlands IT-bedrijf had een volledige IT-infrastructuur geplaatst bij een administratiekantoor en verzorgde vervolgens op afroep het onderhoud en beheer ervan. Deze dienstverlening kon beschouwd worden als een totaalpakket. Dit administratiekantoor werd echter het slachtoffer van een aanval met ransomware, waardoor alle data versleuteld werden, inclusief de back-ups.

Het bewuste administratiekantoor heeft uiteindelijk een vergoeding via bitcoins moeten betalen om haar data vrij te krijgen en heeft beroep moeten doen op een gespecialiseerd Cyber Security bedrijf om de oorzaak van de aanval te achterhalen. Op basis van die bevindingen besloot het administratiekantoor om het IT-bedrijf aansprakelijk te stellen en vorderde zij een schadevergoeding wegens o.a. omzetverlies, personeelskosten, betaling van de vergoeding in bitcoins voor vrijgave van de data en de kosten van het gespecialiseerd Cyber Security bedrijf om de technische oorzaak te achterhalen. De rechtbank kende die vergoeding grotendeels toe en het IT-bedrijf diende hiervan ⅔ te betalen. Dit kwam, naast de gerechtskosten, neer op een bedrag van +/- 10.000 Euro.

We zouden nog voorzichtig kunnen stellen dat deze cyberaanval een relatief beperkte impact heeft gehad, maar de overwegingen van de rechtbank zijn daarentegen wel van bijzonder belang voor elke onderneming die IT-diensten aanbiedt. Net daarom geven we hier een kort overzicht van de belangrijkste overwegingen:

• Er was geen schriftelijke overeenkomst zodat de rechtbank heeft gekeken naar wat een klant mag verwachten bij de implementatie van een IT-infrastructuur, in dit geval wanneer het gaat over een totaalpakket. Ondanks de discussie tussen de partijen, heeft de rechtbank geoordeeld dat adequate beveiligingsmaatregelen daar ook effectief toebehoren. Het niet leveren van een firewall en externe back-ups in dit geval brengt de rechtbank tot het besluit dat de IT-dienstverlener in gebreke is gebleven.
• Dat de IT-dienstverlener beveiligingsmaatregelen had voorgesteld, maar dat deze afgewezen werden door de klant, verandert niets aan de eigen verantwoordelijkheid van de IT-dienstverlener. Die had in dat geval de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aanbieden of op zijn minst indringend en herhaaldelijk waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten.
  
• Dat het betrokken contact bij de klant zelf voldoende ICT-kennis zou hebben, doet evenmin afbreuk aan de eigen verantwoordelijk van de IT-dienstverlener.
• Indien er gebruik was gemaakt van strengere technische beveiligingsmaatregelen samen met sterkere wachtwoorden, dan had de kans bestaan dat de ransomware-aanval geneutraliseerd kon worden. Nu dit niet het geval was, moet de fout en de oorzaak bij de IT-dienstverlener gezocht te worden. Enkel omdat de klant zelf zwakkere wachtwoorden prefereerde, is de klant gedeeltelijk medeverantwoordelijk gesteld.
• De ICT-dienstverlener kan in dat geval de bijkomende herstelwerkzaamheden niet doorrekenen aan de klant.

En wat in België?

Dezelfde overwegingen zoals in het Nederlandse vonnis zijn terug te vinden in de Belgische rechtspraak. Zo werd reeds geoordeeld dat bij het ontbreken van een schriftelijke overeenkomst het vermoeden geldt dat IT geleverd wordt cfr. de concrete behoeften van de klant. Beveiligingsmaatregelen kunnen daar dus bij horen. 

Op de IT-dienstverlener rust ook een zware informatieverplichting, gelet op het gespecialiseerde karakter van zijn dienstverlening. Schending van die informatieverplichting zou zelfs kunnen leiden tot nietigheid van de overeenkomst door dwaling bij de klant. Informeren over de nodige beveiligingsmaatregelen en de eventuele risico’s is dus een absolute must.

Weigert de klant adequate beveiligingsmaatregelen te aanvaarden, dan heeft de IT-dienstverlener hetzij de verplichting om de opdracht te weigeren, hetzij de verplichting om de klant schriftelijk te informeren over de risico’s van het ontbreken van adequate veiligheidsmaatregelen. Het is aangeraden om in dit geval de klant te laten aftekenen dat de IT-dienstverlener niet aangesproken kan worden.

Tot slot zal bij de vaststelling dat de IT-dienstverlener aansprakelijk is, de schade ook begroot kunnen worden aan de gederfde winsten en alle opgelopen kosten, inclusief de kosten van een eenzijdig IT-forensisch onderzoek, voor zover dit als noodzakelijk kon beschouwd worden.

Even samengevat

Je kan besluiten dat de verantwoordelijkheid van de IT-dienstverlener bij een cyberaanval niet min is. Zeker indien de impact voor de klant nog groter is. Een bedrijf dat een aantal weken haar economische activiteiten niet kan uitoefenen, wordt al snel geconfronteerd met een enorm omzetverlies en personeelskost. Ook de ‘losgelden’ om snel data vrij te krijgen kunnen een pak hoger liggen. Hetzelfde geldt voor de herstelwerkzaamheden die nadien moeten gebeuren om het bedrijf digitaal weer up and running te krijgen.

Om die reden is het voor elke IT-dienstverlener van het grootste belang om bij elke opdracht een schriftelijke overeenkomst te voorzien, de klant zeer goed en aantoonbaar te informeren en zo mogelijk een verzekering beroepsaansprakelijkheid te sluiten.

Mocht je meer vragen hebben over je aansprakelijkheid als IT-dienstverlener en wat je kan doen om dit zo goed mogelijk in te dekken, contacteer dan gerust Roeland via roeland@siriuslegal.be.

Op 16 oktober werd door de experten Bob Diachenko en Vinny Troia een gigantisch datalek ontdekt op de Elasticsearch-server. Het gaat om een lek van 4 terabyte van zo’n 4 miljard gebruikersaccounts. De experten telden gegevens van meer dan 4 miljard unieke personen. Het gaat daarbij over gegevens zoals namen, e-mailadressen, telefoonnummers en profielinformatie van verschillende platformen zoals Facebook, Linkedin, Twitter & GitHub. Men spreekt over het grootste datalek ooit in een cloudomgeving. (https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/)

Steeds meer bedrijven schakelen de laatste jaren over op de ‘cloud’ en dat is niet zonder reden. Het reduceert IT-kosten, zorgt voor effectiever mobiel werken, een hogere productiviteit, standaardisatie van processen, … Je gebruikt en betaalt immers enkel hetgeen je nodig hebt in de cloud. Dit in tegenstelling tot aankoop van het traditionele on-premise IT-materiaal. Die voordelen blijken ook op grote schaal hun effect te kennen: gebruik van cloud computing heeft een relevant effect op het bruto binnenlands product (bbp) van de EU met maximaal € 250 miljard en creëert 3,8 miljoen banen tegen 2020 vergeleken met 2012.

Maar ondanks al deze voordelen blijken heel wat ondernemingen tot op vandaag nog terughoudend te zijn om hun activiteiten toe te vertrouwen aan cloudservices. De grootste redenen hiervoor zijn onvoldoende kennis en deskundigheid van de contractuele, de juridische aspecten en de technische implementatie van diensten op basis van de cloud. Maar ook het risico van een inbreuk op de beveiliging blijkt een belangrijke overweging voor ondernemingen: de zorg over een beveiligingslek scoort het hoogst voor zowel grote ondernemingen als KMO’s.

Onderzoek naar de economische schade ten gevolge van slechte cloudcontracten

De Europese commissie publiceerde op 04/11/2019 haar finaal rapport ‘Study on the Economic Detriment to Small and Medium-Sized Enterprises Arising from Unfair and Unbalanced Cloud Computing Contracts’ waarin duidelijk wordt welke problemen Europese kmo’s ondervinden met cloud-contracten en wat de kost inhoudt van oneerlijke en onevenwichtige Cloud Computing Contracten.

Uit dit onderzoek is onder meer gebleken dat:

• de contractuele verantwoordelijkheid van de cloudprovider in vele gevallen onduidelijk blijkt te zijn door overlappingen en lacunes in de overeenkomsten. Dit blijkt vooral zo met betrekking tot beveiligingsaspecten.
• KMO’s ook kijken naar het aantal datalek-incidenten dat een cloudprovider reeds heeft gehad.
• KMO’s in vele gevallen een slechte onderhandelingspositie hebben om de algemene voorwaarden aan te passen aan hun behoeften, waardoor zij niet altijd een aangepaste oplossing hebben wanneer er zich een probleem voordoet. De algemene voorwaarden worden regelmatig als oneerlijk beschouwd.
• Cloud services heel wat vragen oproepen met betrekking tot privacy, vertrouwelijkheid en gegevensintegriteit.
• In de periode 2016-2017 één op de vier KMO’s geconfronteerd werd met contractgerelateerde problemen met Cloudproviders. De belangrijkste problemen hielden verband met de non-conformiteit van de geleverde dienst. Het gaat dan voornamelijk over  de snelheid van de dienstverlening (55% van de bevraagde KMO’s), de beschikbaarheid of continuïteit van de dienst (49%), updates van de service (32%) en duidelijkheid van de instructies voor het gebruik van cloud computing-services (26%).
• Problemen met betrekking tot beveiliging vrij vaak voorkwamen. Daarbij gaat het vooral over het gebrek aan bescherming van de gegevens tegen diefstal of virussen en ongeoorloofde openbaarmaking van of toegang tot gegevens.
• Contractgerelateerde problemen een groot economisch nadeel genereerden, gemeten aan de hand van verloren omzet en alle andere kosten. Het omzetverlies was de belangrijkste component van het nadeel, die 37% van het totale nadeel vertegenwoordigde, terwijl de kosten van personeel die betrokken zijn bij het oplossen van het probleem ongeveer 32% van het totale nadeel vertegenwoordigen.

Waarop moet ik letten bij het ondertekenen van een cloudcontract?

Dat slechte cloudcontracten tot kosten en frustraties kunnen leiden, lijkt met dit onderzoek nu wel vast te staan. Een probleem dat vele ondernemingen ondervinden is dat zij te weinig kennis hebben van de technische implicaties van de aangeboden dienst én van de juridische garanties die daar tegenover moeten/kunnen gesteld worden. En dit is toch van belang, aangezien een probleem rond veiligheid van je bedrijfsgegevens of de gebrekkige dienstverlening moet leiden tot een adequate aansprakelijkheidsregeling van de Cloudprovider.

Die analyse is in vele gevallen niet eenvoudig. Cloud contracten zijn geen overeenkomsten die een aparte wettelijke regeling hebben. Zij moeten, afhankelijk van de soort dienstverlening(en), gekwalificeerd worden als een verkoop, lease, huur, hosting, aanneming, sui generis-overeenkomst, … Bovendien is er ondertussen heel wat Europese regelgeving die specifiek van toepassing is op digitale contracten/dienstverlening. Dit kan telkens zijn implicatie hebben op de draagwijdte van de aansprakelijkheid van de Cloudprovider en je mogelijkheden om tot een oplossing te komen.

Ondernemingen zijn dan ook meestal niet in staat om de gevolgen van deze contractuele beperkingen in te schatten. Nochtans kan dit van groot belang zijn in het geval je geconfronteerd wordt met een datalek en je als onderneming daar zelf voor verantwoordelijk kan gesteld worden.

Voordat je zulke overeenkomsten tekent, is het aan te raden om volgende zaken na te (laten) kijken. Een verwittigd man is er niet alleen twee waard, maar vooral minder gefrustreerd.

1. Kijk na hoe de onderlinge verantwoordelijkheid tussen jezelf en de Cloudprovider verdeeld is. Is die evenwichtig? Is dit duidelijk genoeg gedefinieerd? Kan dit bij problemen tot een bevredigende en snelle oplossing leiden? Heeft de Cloudprovider niet al te veel zijn aansprakelijkheid beperkt en is dit nog rechtmatig? Zijn de Clouddiensten conform de Cloud SLA  Standardisation Guidelines van de Europese Commissie?
   In vele gevallen zijn Cloud-overeenkomsten standaardcontracten en is je onderhandelingsmarge niet echt ruim. Wens je toch te onderhandelen, hou er dan rekening mee dat de Cloudprovider zich via andere clausules of een hogere prijs zal willen indekken. Het is in elk geval het proberen waard en helpt je bij het beslissingsproces om al dan niet een overeenkomst te sluiten.
2. Vraag ook wie de subcontractors zijn van de Cloudprovider. In vele gevallen beheren deze subcontractors essentiële onderdelen van de clouddienst en is het dus van belang dat je de betrouwbaarheid en de juridische verhouding met de Cloudprovider kent. 
3. Hoe zit het buiten het gebruiksgemak met de databeveiliging en de privacy? Kan de Cloudprovider je verzekeren dat hij, indien toepasselijk, aan de NIS-verplichtingen voldoet? Regelmatig zal je ook een verwerkersovereenkomst moeten voorzien om je databescherming cfr. de GDPR te verzekeren. Ga ook steeds na waar de servers van de Cloudprovider fysiek staan.
4. Blijkt uit de overeenkomst voldoende wat precies het voorwerp is van de dienstverlening? Weet je op voorhand welke dienst je effectief kan verwachten? Heeft de Cloudprovider voorzien dat hij eenzijdig wijzigingen aan het contract kan maken, gelet op de snelle evoluties in de IT-wereld? Zo ja, blijft de verhouding tussen de partijen dan nog evenwichtig?
5. Zijn je intellectuele eigendomsrechten op je data en je creaties die je in de Cloudomgeving upload en/of ontwikkelt, voldoende beschermd? Is het duidelijk wat de eventuele eigendomsoverdrachten zijn en/of de gebruiksrechten die je er op toestaat?
6. Zijn er onderzoeks- en controlemogelijkheden voor je voorzien? Kan je zelf controleren wat de beveiligingsmaatregelen zijn en op welke manier je data effectief bewaard worden? Kan je bijvoorbeeld nagaan of er sprake was van een datalek en zo ja, hoe groot de impact is?
7. Aangezien een Cloudovereenkomst al snel een internationaal karakter heeft, is het nuttig om na te kijken welk recht van toepassing is en waar je eventueel je rechten kan uitoefenen. Kijk dus ook zeker na of je in werkelijkheid je rechten wel kan afdwingen.

Conclusie

Het succes van Clouddiensten voor een onderneming kan niet meer ontkend worden en is te danken aan haar kostenreducerende en flexibele toepassingen. Maar aan deze opportuniteiten en gebruiksvriendelijkheid zijn ook risico’s verbonden. Om die reden zijn ondernemingen nog steeds terughoudend ten opzichte van Cloudtoepassingen, waarbij voornamelijk een gebrekkige dienstverlening en de gebrekkige veiligheid van de bedrijfsgegevens als grootste bezorgdheden worden genoemd.

Om het vertrouwen te winnen in je Cloudleverancier is het om die reden aangeraden het Cloudcontract grondig door te (laten) nemen en zo mogelijk te onderhandelen over verschillende aspecten. Zo kan je op zijn minst inschatten welke risico’s je daarbij neemt en hoe je deze risico’s tot een aanvaardbaar minimum kan herleiden zonder al te veel te moeten inboeten op het potentieel van de Cloudtoepassing. 

Meer vragen?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.