Vrijdag 16 april zal mij nog wel even bijblijven. Een vrij grote ICT-dienstverlener, die bijna 100 notarissen bediend, werd slachtoffer van een hack. Toegang tot systemen werden afgesloten, bijna 100 kantoren konden vanaf dat moment geen akten meer passeren of andere werkzaamheden uitvoeren waarbij ze hun systemen nodig hadden. Inmiddels is bekend dat de ICT-dienstverlener in kwestie slachtoffer was geworden van ransomware.
Willekeurig of gericht slachtoffer?
ICT-beveiliging is iets wat voor ieder kantoor altijd bovenaan het lijstje van eisen moet staan. Niet alleen bij het kiezen van een dienstverlener, maar ook terwijl u al een overeenkomst heeft met een leverancier, moet u hier altijd over in gesprek blijven. Want een aanval als deze, kan op twee manieren tot stand komen: het was een gerichte aanval, of (en dit is veel waarschijnlijker) het was een toevalstreffer.
Cybercriminelen pakken meestal gewoon iedereen die ze pakken kunnen. Hun systemen zoeken het internet af naar toevallig openstaande poortjes, lekken of ingangen. Het gaat geautomatiseerd en compleet willekeurig. Het plaatsen van de hack kost ze geen moeite. Het maakt dus niet uit of het slachtoffer wel of niet interessant is. Het is net een straatoverval: ziet u er kwetsbaar uit, dan proberen ze het gewoon en kijken ze daarna wel wat er in uw portemonnee zit.
De meeste hacks komen bovendien vaak pas weken later aan het licht. Dit komt omdat vaak het oudste beschikbare herstelpunt er dan eentje is waarin de hack al was uitgevoerd. De bij de hack geïnstalleerde ransomware, zit dan dus ook al in de back-up. Herstellen heeft dan geen zin, omdat u de ransomware ook weer terugzet.
Wake up call
Laat dit een volgende wake up call zijn voor de juridische sector. De gedachte “ze hebben het niet op mij gemunt” is waar criminelen van uitgaan. Wees kritisch op uw dienstverlener (dus ook op ons) als het gaat om beveiliging. Ga aan de slag met de ICT basishygiëne (encryptie, twee factor authenticatie, endpoint protection, updates installeren, EDR, et cetera), en wijs uw medewerkers op de risico’s. Wij hebben de 9 belangrijkste tips op een handige infographic gezet. Ik hoef geen enkele jurist voor te rekenen wat een dag niet kunnen werken kost, voor zowel zichzelf als voor de cliënt.