We hebben last van een data-incident dat een klein aantal opslagservers raakt,’ zo meldt het Londense hoofdkantoor van Allen & Overy in een statement op 9 november vorig jaar. Het werk van de vijfduizend advocaten en andere werknemers op de wereldwijd 28 vestigingen kan gewoon doorgaan, zo bezweert de multinational, zij het ‘met enige hinder veroorzaakt door maatregelen om het incident binnen de perken te houden’. Cliënten van wie data in het incident betrokken zijn, zullen daarvan op de hoogte worden gesteld.
Kort voor het verschijnen van het raadselachtige statement hebben cyberjournalisten op sociale media onthuld dat de juridische reus is gehackt door LockBit, de meest geavanceerde cybercrimebende van dit moment, opererend vanuit Rusland. Op het darkweb prijkt A&O op de lijst met slachtoffers. Als ze voor 28 november niet betalen, dan dreigen de gijzelaars buitgemaakte documenten te openbaren. Eén dag voor het verstrijken van de deadline verdwijnt A&O van de lijst. Er worden geen geheime documenten gepubliceerd. Commentatoren wereldwijd trekken de conclusie dat het concern losgeld zal hebben betaald, maar A&O zelf houdt de kaken stijf op elkaar, ook na een internationale politieactie in februari, die LockBit een zware slag toebrengt. Zowel de Amsterdamse als de Londense woordvoerder van A&O mag niets over de kwestie melden en verwijzen naar het statement van 9 november: een data-incident dat zich daarmee al maanden voortsleept. Of nooit heeft plaatsgevonden. Wie het weet, mag het zeggen.
Zwijgen, ontkennen en als, het niet anders kan, bagatelliseren: het lijkt een houding die ook sommige Nederlandse advocatenkantoren aannemen. Cybercrime is een groeiend probleem. Internationaal zijn ook andere grote advocatenkantoren populaire targets gebleken. Eerder werden bijvoorbeeld DLA Piper en Deloitte getroffen en Bloomberg meldde vorig jaar dat tachtig grote, Amerikaanse advocatenfirma’s zouden zijn gehackt vanuit China.