Je klantgegevens zijn gelekt: hoe zien jouw advocaat-klanten je? Als slachtoffer of onvoorzichtig bedrijf?

Share

Elk jaar neemt het aantal datalekken en pogingen tot inbreuken toe en gaan hackers geraffineerder te werk. Geen enkele vorm van bescherming kan een systeem volledig beschermen tegen cybercriminelen. Maar de vraag is, hoe zullen advocaat-klanten je zien? Als slachtoffer van een cyberaanval, of als een onvoorzichtig bedrijf dat haar persoonlijke informatie niet kon beschermen?

Volgens de Gegevensbeschermingsautoriteit (GBA) werden er in 2020, 1097 Belgische datalekken geregistreerd (in 2019 waren dat er 877). De inspectiedienst stelde 149 onderzoeken in, in vergelijking met 85 in 2019. In de Verenigde Staten werd in 2017 een nieuw historisch hoogtepunt geregistreerd van 1579 datalekken, een stijging van 44% ten opzichte van het voorgaande recordjaar met 1091 datalekken, aldus het jaarlijkse eindrapport over datalekken van het Identity Theft Resource Center (ITRC).

Deze cijfers zijn afgeleid uit vijf onderzochte sectoren: bankwezen, bedrijfsleven, onderwijs, overheid/leger en zorg. Met 584 datalekken liep het bedrijfsleven voorop. Hacken was de meest voorkomende aanvalsmethode, gevolgd door phishing-e-mails, malware en fouten of onwetendheid van het personeel. Alleen al in de juridische sector schat Mandiant, een cyberbeveiligingsbedrijf, dat sinds 2011 ten minste 80 van de 100 grootste bedrijven (volgens omzet) van het land zijn gehackt.

Wat is een datalek precies?

Elk beveiligingsincident waarbij één partij ongeoorloofde toegang krijgt tot de informatie van een andere partij, wordt beschouwd als een datalek. Zowel interne als externe partijen kunnen een datalek veroorzaken en dat hoeft niet eens opzettelijk te zijn. Als een persoon bijvoorbeeld per ongeluk beschermde gegevens naar het verkeerde e-mailadres verstuurt, heeft hij onopzettelijk een datalek veroorzaakt. Hetzelfde geldt wanneer een werknemer toegang heeft tot vertrouwelijke klant- of bedrijfsgegevens die hij of zij niet mag zien, al dan niet opzettelijk. Volgens het rapport over onderzoek naar datalekken van Verizon uit 2018 maken onopzettelijke datalekken tot 17% van alle datalekken uit. Toch is de overgrote meerderheid van de inbreuken zowel opzettelijk als financieel gemotiveerd. In beide gevallen schaden ze zowel bedrijven als consumenten op verschillende manieren.

lek

Datalekken kunnen ingedeeld worden in de volgende categorieën op basis van het type inbreuk:

  • Inbreuk op de vertrouwelijkheid: Wanneer een onbevoegde interne of externe persoon per ongeluk toegang krijgt tot vertrouwelijke gegevens. Dit komt meestal voor bij gegevens zoals patiëntendossiers.
  • Inbreuk op de beschikbaarheid: Wanneer vertrouwelijke gegevens verloren gaan of vernietigd worden als gevolg van een cyberaanval. Dit gebeurt bijvoorbeeld bij ransomware, wanneer hackers specifieke gegevensblokken vergrendelen of versleutelen.
  • Inbreuk op de integriteit:  Wanneer een interne of externe persoon opzettelijk of onopzettelijk vertrouwelijke gegevens wijzigt. Omdat er geen gegevens verloren gaan, kost het bedrijven veel tijd om dit soort hack op te sporen.

 

Gevaren van een datalek

A. Reputatieschade

Wanneer een inbreuk op de cyberbeveiliging plaatsvindt, wordt eerst gekeken naar de financiële impact op het bedrijf. Dit moet niet licht worden opgevat, maar gezien de aard van het werk van advocatenkantoren moet reputatieschade minstens even serieus worden genomen.

Grote advocatenkantoren verwerken enorme hoeveelheden gevoelige gegevens en worden door hun cliënten vertrouwd om deze vertrouwelijk en veilig te houden. Deze relatie vormt de hoeksteen van de advocatuur. Een mogelijke inbreuk op deze gegevens als gevolg van een cyberaanval kan de zuurverdiende reputatie van een bedrijf in de juridische sector ernstig schaden, waar je misschien zelfs nooit van kunt herstellen. Zelfs met preventieve maatregelen kunnen er datalekken voorkomen omdat cybercriminelen hun activiteiten voortdurend aanpassen. Een voorbeeld daarvan is een “zero-day-aanval”, die verwijst naar het feit dat de verkoper of ontwikkelaar nog maar net op de hoogte is van softwarekwetsbaarheden. Hackers maken daar misbruik van nog voor het wordt ontdekt en uiteindelijk wordt hersteld.

Volgens Symantec is het aantal nieuwe “zero-day-kwetsbaarheden” dat in 2015 werd ontdekt meer dan verdubbeld tot 54, een stijging van 125% ten opzichte van het voorgaande jaar.

 

B. Kosten en financiële verliezen

Volgens de CyberSecurity Ventures-studie van 2021 nemen de kosten van datalekken gestaag toe, met 10% op jaarbasis. De wereldwijde kosten van cybercriminaliteit nemen eveneens toe en zouden tegen 2025 kunnen oplopen tot 10,5 biljoen dollar per jaar. Om de snel stijgende kosten van cyberdreigingen in perspectief te plaatsen: de jaarlijkse kosten in 2015 bedroegen ongeveer 3 biljoen dollar.

Het bepalen van de werkelijke kosten van een mogelijk datalek voor uw bedrijf kan een uitdaging zijn, omdat elk bedrijf en elke sector verschillende blootstellingen en risicofactoren heeft. Anderzijds kunnen bedrijven zichzelf informeren over de elementen die de meeste invloed hebben op de kosten van datalekken en hoe deze cijfers veranderen, afhankelijk van de sector en de grootte van hun bedrijf. Volgens het rapport over de kosten van een datalek van het Ponemon Instituut kost een wereldwijd datalek in 2020 gemiddeld 3,86 miljoen dollar. Het cijfer was net iets lager dan in 2019, toen het 3,92 miljoen dollar was. Uit hetzelfde rapport bleek dat de gemiddelde kosten van een datalek in 2020 8,64 miljoen dollar bedroegen.

De hoge kosten van datalekken werden in een gezamenlijke studie van het IBM (International Business Machines Corporation, een van de grootste IT-bedrijven) en het Ponemon Instituut toegeschreven aan twee belangrijke kwesties: de afwezigheid of ondervertegenwoordiging van automatisering van beveiliging en mechanismen voor incidentrespons in bedrijven en organisaties. Terwijl de Verenigde Staten te maken hadden met de duurste incidenten van datalekken, kwam het Midden-Oosten op de tweede plaats met een gemiddelde jaarlijkse kostprijs van 6,52 miljoen dollar. Volgens het IBM-rapport uit 2021 hebben de gemiddelde wereldwijde kosten van een datalek de 4 miljoen dollar overschreden. Dit is een stijging van 10% ten opzichte van 2019 als gevolg van “radicale operationele veranderingen” veroorzaakt door de COVID-19 pandemie, waaronder de verschuiving naar werken op afstand en de cyberbeveiligingsbedreigingen die met dit model samenhangen.

 

C. Productiviteitsverlies

Volgens een peiling uit 2016 geven bedrijven in de Verenigde Staten jaarlijks tot 1,8 miljard dollar uit door verouderde technologie. Naarmate toestellen ouder worden, werken ze langzamer, zijn ze gevoeliger voor bevriezing en hebben ze meer onderhoud nodig, wat resulteert in meer stilstand. Ze beschikken ook niet over de verwerkingscapaciteit die nodig is om nieuwe efficiënte softwarepakketten te ontwikkelen die de bedrijfsproductiviteit kunnen helpen verhogen. Op het verlanglijstje van ondervraagde Amerikaanse werknemers stonden vooral de mogelijkheid om niet-essentiële taken te automatiseren, meer mobielvriendelijke gadgets en de mogelijkheid om cloud-gebaseerde apps te gebruiken voor toegang tot werkdocumenten. Allemaal zaken die hen helpen hun werk sneller af te ronden.

 

Conclusie

Individuele en collectieve rechtszaken door consumenten en aandeelhouders, betalingen voor schikkingen en juridische kosten zijn allemaal mogelijke kosten en aansprakelijkheden die gelinkt zijn aan een datalek bij een advocatenkantoor of organisatie. Afhankelijk van de omstandigheden, kan de aansprakelijkheid een financiële compensatie omvatten voor de economische verliezen die het slachtoffer heeft geleden. Het kan ook gaan om een compensatie van de uitgaven van slachtoffers voor het herstellen van de integriteit van gecompromitteerde persoonlijke informatie. Ook het emotionele leed van de slachtoffers kan een rol spelen.

Er bestaat weinig twijfel over dat een efficiënt beheer van de cashflow van cruciaal belang is voor de algemene gezondheid van een onderneming. In deze tijd moeten bedrijven, met name advocatenkantoren, echter serieus een upgrade van de technologische infrastructuur overwegen.