Een juridische blik op cyberveiligheid

We nodigden Axel uit, omdat er in de technisch georiënteerde Dutch Cloud Community veel behoefte is aan juridische expertise op het gebied van cybersecurity en cyberincidenten. Onderzoek van Eurostat toonde aan dat steeds meer ondernemers in de EU te maken krijgen met cybercrime (22% in 2022). Onlangs keurde het Europees Parlement de nieuwe Network Information Security Directive II (NIS2) goed, waarin het draait om cybersecurity. Axel is als advocaat gespecialiseerd in het slaan van een brug tussen de technische wereld van cybersecurity en de juridische weerslag daarvan.

Figuur 1: Axel Arnbak presenteert tijdens een bijeenkomst van de Dutch Cloud Community.

Toename in zaken

In zijn praktijk ziet Arnbak steeds meer voorbeelden van datalekken en security-incidenten langskomen. Vooral het slecht beveiligde Internet of Things is in de afgelopen jaren een flinke katalysator geweest voor security-incidenten. Arnbak: “Organisaties en consumenten hebben geen idee dat webcams, mediaplayers en machines in de productielijn ook luikjes zijn waardoor cybercriminelen en spionnen binnenkomen. Tegelijkertijd gebruiken dezelfde aanvallers de bandbreedte van die miljoenen slecht beveiligde apparaten als internetkanon om de beveiliging van andere organisaties lam te leggen en binnen te dringen. Het recht verplicht ontwikkelaars van die apparaten weinig op het gebied van beveiliging. Dat moet beter!”

Phishing als startpunt

Maar ook ransomware is een steeds serieuzer probleem, waarbij organisaties vaak van tevoren via phishing gecompromitteerd worden. Wat de aanval ook is: het begint meestal met phishing. Het beperken van de impact van een geslaagde phishingaanval, is essentieel om de schade te mitigeren, want dat er een geslaagde aanval komt is onvermijdelijk. “De sleutel,” aldus Arnbak, “ligt paradoxaal genoeg niet zozeer bij het voorkomen van phishing door meer awareness. Je kan 99% van je werknemers trainen niet te klikken op de verdachte LinkedIn-uitnodiging, maar als één werknemer toch klikt, is de aanvaller binnen. Het is dus veel verstandiger om je IT-omgeving te compartimentaliseren: beveiliging tegen buitenstaanders blijft belangrijk, maar focus vooral op interne digitale slotgrachten zodat aanvallers niet meteen alles kunnen plunderen als één werknemer op een verkeerde link klikt. In alle écht verlammende cyberaanvallen zit het fundamentele probleem bij het ontbreken van die interne digitale slotgrachten. Daarover moet je vaak ook met je leveranciers in gesprek.”

Brede juridische impact

Veel organisaties zijn zich daarbij nog onvoldoende bewust van de brede juridische impact die een incident kan hebben. Verzekeringsclaims, afstemmen met toezichthouders en het voorkomen van schadeclaims. In alle stappen van het afhandelingsproces is zorgvuldigheid en documentatie een vereiste. Voor veel aanwezigen, ook diegenen die regelmatig te maken hebben met het afhandelen van security-incidenten, was de presentatie van Arnbak daarom een flinke eye-opener.

Arnbak: “Ik hoop dat ook de technische helden inzien dat cybersecurity multidisciplinair is geworden. De juridische angel zit niet alleen in meldplichten, maar ook in eventuele geschillen met klanten en leveranciers, toezichthouders, aandeelhouders, verzekeraars en opsporingsdiensten. Juristen kunnen niet zonder techneuten, maar het omgekeerde is helaas – en dat zeg ik als nerd – ook waar. De dagen dat het internet de kinderspeeltuin was waarin ik ook ben groot geworden, zijn jammer genoeg echt voorbij.”

Over Axel Arnbak

Axel Arnbak is partner bij advocatenkantoor De Brauw Blackstone Westbroek, columnist bij het Financieele Dagblad en fellow aan het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam. In 2021, werd hij verkozen tot een van de ’40 under 40′ privacyprofessionals door de Global Data Review en een ‘Rising Star’ door Legal500. Zijn website is https://axelarnbak.nl.

De sheets van Arnbaks presentatie zijn online beschikbaar.