'Je wilt toch ook weten wie er een sleutel van je kantoor heeft? Dit gaat over hetzelfde'
'Het is niet zozeer de vraag of bedrijven worden aangevallen maar wanneer.' Die constatering is afkomstig van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Twee jaar geleden hadden ruim negentig notariskantoren een aantal dagen geen toegang tot hun systemen door een hack bij de IT-leverancier. De servers van Managed IT bleken het doelwit van een ransomware aanval. Ook individuele notariskantoren worden gehackt, al blijft dat grotendeels onder de radar. Voor dit artikel was geen enkele notaris bereid te vertellen over zijn ervaringen met cybercriminelen.
Isabelle Cox, KNB-bestuurslid Digitalisering, Innovatie en ICT, begrijpt de huiver, maar ze vindt het wel jammer. 'Het zou goed als je zo’n ervaring deelt met collega's, omdat het bewustzijn creëert en illustreert hoe groot de impact is. De schade is natuurlijk heel fors. Als je IT-systeem wordt aangevallen, dan ben je overal van afgesneden. Je kantoor komt tot stilstand. Misschien zijn er ook data gestolen. Je moet je klanten inlichten en de Autoriteit Persoonsgegevens. En dan komt daar nog eens de mogelijke imagoschade bij; het kan wat met je reputatie doen. Daarom is het zo belangrijk dat je het niet overlaat aan je leverancier. Digitalisering is de toekomst van het notariaat. Je kunt voor cybercrime dus niet de ogen sluiten. Praat er met deskundigen over. Je wilt toch ook weten wie er een sleutel van je kantoor heeft? Dit gaat over hetzelfde.'
Grote vissen
Wereldwijd zijn er zo’n dertig cybercrime-organisaties actief die voortdurend zoeken naar een zwakke plek in ICT-systemen van bedrijven. Het is een misvatting te denken dat cybercriminelen vooral voor de grote vissen gaan, verzekert Erwin Maas, cyber crisismanager bij Northwave. 'Hun doelwit kan een multinational zijn, maar als ze met een hack tien kantoren kunnen aanvallen om ze ieder 80.000 euro te laten betalen, dan doen ze dat ook. En de gevoelige informatie die een notariskantoor beheert, maakt het voor criminelen extra interessant.'
Een hack begint vaak met de spreekwoordelijke achterdeur die niet goed is afgesloten. Een moment van onoplettendheid bij het afhandelen van de mail, simpele wachtwoorden of verouderde software. Bij een ransomware aanval krijgt de hacker via een phishing mail toegang tot het systeem. Het doel van zo’n aanval is binnendringen en data versleutelen. Het is alsof de tandwielen in een machine worden stilgezet. Je moet betalen om de sleutel in handen te krijgen waarmee je alles weer van het slot krijgt.
Een andere vorm van cybercrime is business email compromise. Iets wat in de volksmond ook wel ceo-fraude wordt genoemd. De cybercrimineel heeft dan de mailbox gehackt van een ceo en doet een verzoek aan de cfo om een betaling. Zulke aanvallen worden nauwkeurig voorbereid. Een derde variant is insider threat: cyberdreigingen die vanuit de eigen organisatie komen. Een ontslagen, rancuneuze ex-medewerker bijvoorbeeld heeft nog toegang tot het systeem en steelt data.
'Je hoeft niet alles te begrijpen om je te kunnen wapenen'
Schaamte
Gehackt worden voelt als falen. Uit onderzoek blijkt dat zes op de tien mensen zich schamen als ze op een phishing mail geklikt hebben. Toch ziet Maas ook een andere reactie bij slachtoffers van een hack. 'Het motiveert enorm om de risico’s aan te pakken. Vergelijk het met een brand in je keuken. Het eerste wat je daarna doet, is een brandblusser ophangen. Organisaties die het hebben meegemaakt, voelen ineens de urgentie om de noodzakelijke stappen te zetten. Denk aan tweestapsverificatie, wachtwoorden met minstens zestien karakters en een strakker software update-beleid. Dat soort stappen zorgt ervoor dat de bewustwording onder medewerkers groter wordt. Mensen dagen elkaar uit door af en toe bij elkaar over de schouder mee te kijken. Als iedereen zich bewust is van zijn kwetsbaarheid, is er voor de cybercrimineel minder te halen. Je moet het zo moeilijk mogelijk maken. 100 procent veilig bestaat helaas niet.'
Maar hoe weet je nu of het genoeg is? Notariskantoren zijn voor de beveiliging van hun ICT-omgeving immers ook afhankelijk van hun leverancier. Hoe schiet je gaten in diens geruststellende betoog? 'Vaak kun je met een aantal gerichte vragen aan een leverancier al risico’s in kaart brengen', aldus Maas. 'Je kunt bijvoorbeeld vragen hoe back-ups worden opgeslagen. Staan ze offline? Is het netwerk gesegmenteerd? Soms zit je met meerdere klanten bij een leverancier op hetzelfde netwerk. Segmentatie zorgt er in zo’n geval voor dat bij een cyberaanval niet direct het hele netwerk platgaat. En hoe uitgebreid geeft zo’n leverancier antwoord? Het is veelzeggend als hij er weinig over kan vertellen. De antwoorden kun je altijd laten toetsen door de KNB of Northwave. Het stigma van cybercrime is dat het complex en ongrijpbaar is, maar je hoeft niet alles te begrijpen om je er tegen te wapenen.'
Gedragscode Informatiebeveiliging Notariaat
De impact van een hack is enorm en het risico te groot om enkel te vertrouwen op de ICT-leverancier. Om de notaris te helpen zijn eigen rol te pakken, heeft de KNB de Gedragscode Informatiebeveiliging Notariaat ontwikkeld. Deze gedragscode geeft aan welke 95 maatregelen je minimaal moet nemen, aldus Leo Draaisma, programmamanager Informatiebeveiliging Notariaat.
'Zorg bijvoorbeeld dat minimaal ieder etmaal een back-up van alle centraal opgeslagen bedrijfsinformatie wordt gemaakt. En test minstens ieder half jaar of je het systeem aan de hand van de back-ups kan terugzetten. Sommige technische acties moet de systeembeheerder uitvoeren, maar er zijn ook maatregelen die je als notaris zelf moet nemen. Laat bijvoorbeeld alle medewerkers jaarlijks of vaker een bewustzijnstraining volgen. Dat kan een video met een quiz zijn of een presentatie van een beveiligingsbedrijf. Zorg voor een calamiteiten- en continuïteitsplan waarop je op kunt terugvallen als je kantoor gehackt is. Bedenk voor ieder essentieel proces een alternatieve route. En meld een cyberaanval aan de KNB, zodat we kunnen helpen.'
Hoe ga je aan de slag met de gedragscode? Draaisma: 'Het is handig als iemand op kantoor verantwoordelijk wordt gemaakt voor de implementatie. Dat hoeft geen IT-expert te zijn. De invoering is in vier stappen opgedeeld. Per stap is een voorbeeld van een invoeringsplan bijgevoegd. Zo wordt concreet welke actie je neerlegt bij de IT-beheerder en welke je zelf uitvoert. Hoeveel tijd het kost om de stappen door te voeren, zal per kantoor verschillen. Sommige maatregelen zijn misschien al ingevoerd. Ook dat is een voordeel van de gedragscode. Het is meer dan een afvinklijst. Door er mee aan de slag te gaan, zie je waar je staat als organisatie en wat je nog kan verbeteren.'
Eerste hulp bij cyberaanvallen
Voor notarissen die gehackt worden of vermoeden dat ze het slachtoffer zijn van een cyberaanval, biedt de KNB een Computer Emergency Response Team (CERT)-dienst aan. Achter de afkorting schuilt een team van IT-professionals dat onmiddellijk reageert bij beveiligingsincidenten. Op het moment dat een medewerker van uw kantoor per ongeluk op een verdachte mail heeft geklikt of een mail krijgt waarin wordt opgedragen om losgeld te betalen, is niet altijd meteen duidelijk wat de gevolgen zijn. Gaat het om een eenvoudige spammail of loopt u een groter risico? Voor dergelijke situaties kunt u het noodnummer van de KNB bellen. Na een intake wordt u in contact gebracht met Northwave’s CERT-team. Nortwave CERT heeft een vergunning van het ministerie van Justitie en Veiligheid voor digitaal opsporingswerk. U krijgt dus een gedegen advies. En dankzij de samenwerking tussen Northwave en de KNB kunnen beveiligingsproblemen met voorrang en tegen gereduceerd tarief worden opgelost.