Cyberaanvallen zijn jammer genoeg dagelijkse kost geworden, ook voor notarissen, advocaten, bedrijfsjuristen, magistraten en fiscalisten. Cyberaanvallen vormen een reële bedreiging voor de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens en systemen die juristen gebruiken om hun activiteiten uit te voeren.

Waarom is cybersecurity belangrijk voor juristen?

Juristen krijgen dagelijks te maken met gevoelige en vertrouwelijke informatie zoals persoonsgegevens, contracten, financiële transacties, intellectuele eigendomsrechten of vertrouwelijke informatie die in het kader van hangende procedures wordt behandeld. Deze informatie kan zeer waardevol zijn voor cybercriminelen, die deze kunnen gebruiken voor identiteitsfraude, afpersing, chantage of andere illegale doeleinden. Bovendien kunnen cyberaanvallen de reputatie en het vertrouwen van een advocatenkantoor, notariaat of rechtscollege ernstig schaden, leiden tot aansprakelijkheid of boetes wegens schending van de privacywetgeving, of zelfs de continuïteit van de dienstverlening in gevaar brengen.

Welke soorten cyberaanvallen zijn er?

Cyberaanvallen kunnen verschillende vormen aannemen, afhankelijk van het doel, de methode en de impact van de aanval. Enkele veelvoorkomende soorten cyberaanvallen zijn:

• Ransomware-aanvallen: ransomware-aanvallen met dubbele afpersing (‘double extortion’) zijn momenteel zeer courant in België. Bij dit soort aanvallen zullen de hackers, alvorens de bestanden van het slachtoffer te versleutelen eerst een aantal bestanden stelen. Ze eisen vervolgens losgeld van het slachtoffer onder dreiging dat, als dit losgeld niet wordt betaald, ze geen sleutel (‘decryptor’) zullen bezorgen waarmee het slachtoffer de versleuteling van zijn bestanden kan ongedaan maken en ze bovendien de gestolen bestanden zullen lekken op het dark web. Via het dark web kan je communiceren en zakendoen zonder identificerende informatie bekend te maken, zoals de identiteit of de locatie van een gebruiker. Ransomware kan zich verspreiden via phishing, besmette bijlagen of downloads, of via kwetsbaarheden in het netwerk of de software die gebruikt wordt door het slachtoffer.
• Man-in-the-middle-aanvallen (MiM): dit is een vorm van cybercriminaliteit waarbij een hacker zich tussen twee communicerende partijen plaatst en hun berichten onderschept, wijzigt of vervalst. MiM-aanvallen worden vaak gebruikt om ongemerkt legitieme rekeningnummers te vervangen door frauduleuze rekeningnummers zodat de ontvanger van een digitale factuur, zonder het te weten, het factuurbedrag betaalt op een frauduleuze rekening.
• Distributed-denial-of-service-aanvallen (DDoS): een aanval waarbij een groot aantal computers (botnet) tegelijkertijd verzoeken stuurt naar een server of website om deze te overbelasten en aldus onbereikbaar te maken. DDoS-aanvallen kunnen worden gebruikt om een website plat te leggen, een concurrent uit te schakelen of als afleiding voor een andere aanval.
• Datalek: een incident waarbij onbevoegde personen toegang krijgen tot de gegevens van een organisatie of individu. Datalekken kunnen het gevolg zijn van hacking, menselijke fouten, onvoldoende beveiligingsmaatregelen of interne fraude.

Wat zijn de belangrijkste juridische aandachtspunten wanneer je het slachtoffer wordt van een cyberaanval?

Naast een hoop technische en operationele gevolgen zijn er bij een cyberaanval ook juridische aandachtspunten:

• Melding GBA: tenzij er helemaal geen risico is voor de personen wiens data zijn geïmpacteerd door een cyberaanval, moet de verwerkingsverantwoordelijke die het slachtoffer werd van een cyberaanval (bv. een advocatenkantoor of notariaat) hiervan melding doen aan de Gegevensbeschermingsautoriteit (GBA). Die melding moet gebeuren binnen de 72 uur te rekenen van het ogenblik waarop het slachtoffer zich bewust werd van de aanval. Aangezien je als slachtoffer binnen die 72 uur vaak niet over alle informatie beschikt die moet worden gemeld aan de GBA, kan je ook in twee stappen werken. Binnen de 72 uur doe je een voorlopige melding en enkele dagen (of soms zelfs enkele weken) later een opvolgmelding.
• Kennisgeving aan de betrokkenen: wanneer een cyberaanval kan leiden tot een hoog risico voor de personen wiens data zijn geïmpacteerd door een cyberaanval, moet de verwerkingsverantwoordelijke die het slachtoffer werd van een cyberaanval dit melden aan alle personen wiens data zijn geïmpacteerd door een cyberaanval. Dat is bijvoorbeeld het geval wanneer, als gevolg van een ransomware-aanval op een advocatenkantoor, strafrechtelijke gegevens van cliënten lekken en op de leak-site van de desbetreffende ransomware-groep staan. De betrokken cliënten moeten daarbij een omschrijving krijgen van: (i) de cyberaanval, (ii) de naam en de contactgegevens van de functionaris gegevensbescherming (of een ander contactpunt waar meer informatie kan worden verkregen) en (iii) de vermoedelijke gevolgen van de cyberaanval voor wat betreft de persoonsgegevens van de betrokkene.
• Frauduleuze betalingen: als u, uw cliënt of uw leverancier het slachtoffer werd van een MiM aanval, dan is er een belangrijk risico dat de rekeningnummers op ingaande en/of uitgaande facturen vervalst werden en dat de facturen derhalve betaald werden op een frauduleuze rekening. Uit hoofde van het basisbeginsel "qui paie mal, paie deux fois" (vertaald als: "wie slecht betaalt, betaalt twee keer") is de schuldenaar niet bevrijd door een betaling aan een persoon die niet over enige volmacht of machtiging beschikt om de betaling te ontvangen. Dat betekent concreet dat, wanneer een schuldenaar als gevolg van een MiM-aanval een factuur betaalde op een frauduleuze rekening, de schuldenaar het factuurbedrag verschuldigd blijft aan de schuldeiser.
• Aansprakelijkheid IT-dienstverlener: wanneer uw IT-dienstverlener het slachtoffer werd van een cyber-aanval en u daardoor schade of verlies lijdt, dan kan u trachten om uw dienstverlener hiervoor aansprakelijk te stellen. Dit veronderstelt uiteraard dat de cyberaanval mogelijk was geworden door een fout van uw dienstverlener en dat zijn aansprakelijkheid niet werd weggeëxonereerd in uw contract met de dienstverlener.

Bent u verzekerd tegen cyberaanvallen?

Sommige bedrijven, beroepsfederaties en overheden hebben een verzekering onderschreven om zich in te dekken tegen de gevolgen van een cyberaanval. Sommige verzekeraars bieden daarbij een hotline aan waar de verzekerde, in geval van cyberaanval, permanent (24/7) terecht kan voor onmiddellijke technische, operationele en juridische bijstand. Het loont dus zeker de moeite om intern na te gaan of die verzekeringsdekking er is en, als dat niet het geval is, om ernstig te overwegen om een cyberpolis te onderschrijven.

Tom De Cordier, partner bij CMS België, gespecialiseerd in nieuwe technologieën en cyberrecht.

Dit artikel maakt deel uit van een reeks artikelen gepubliceerd in samenwerking met Eye Security omtrent cybersecurity in de juridische sector. Komt u graag meer te weten over de juridische dienstverlening van CMS en de beveiligingsoplossingen van Eye Security, bezoek dan zeker onderstaande websites voor meer informatie.

• #1. Drie tips om uw advocatenkantoor tegen cybercriminaliteit te beschermen (i.s.m. IT Anywhere)
• #2. Juridische dimensie van cyberaanvallen: wat u als jurist moet weten (i.s.m. CMS)
• #3. Uitbesteden van cybersecurity helpt juridische organisatie veilig te houden

CMS is innovatief en vooruitstrevend. De groep kan bogen op de expertise van meer dan 5.000 advocaten wereldwijd. CMS Belgium maakt deel uit van het grootste Europese netwerk met meer dan 100 advocaten in Brussel en Antwerpen. Wij behandelen alle juridische aspecten van het leven van een onderneming. Onze advocaten helpen hun cliënten om hun omgeving onder controle te houden. Zij doen dit door hen voor te bereiden op de toekomst. Dit gebeurt aan de hand van vooruitstrevend juridisch advies met gebruik van de nieuwste technologieën. Als erkende deskundigen op het gebied van cybercriminaliteit staan we een groeiend aantal bedrijven bij die het slachtoffer zijn geworden van cyberincidenten.

www.cms.law

Eye Security, opgericht in 2020, is een cybersecurity- en insurtechbedrijf dat cybersecurity haalbaar maakt voor Europese bedrijven op abonnementsbasis. Met een groeiend team van beveiligings- en verzekeringsexperts biedt Eye Security een kwalitaJef hoogwaardig, alles-in-één beveiligingsproduct met bescherming en cyberverzekering. Eye Security opereert in Europa zowel direct als via haar strategische partners en heeft kantoren in Nederland, België, Duitsland.

www.eye.security