Return to overview
3 min leestijd

Juridische dimensie van cyberaanvallen: Wat u als jurist moet weten

3 min Leestijd
juli 7, 2023
Door: Eye Security
image
Door: Eye Security
7 maart 2024

Cyberaanvallen zijn jammer genoeg dagelijkse kost geworden, ook voor notarissen, advocaten, bedrijfsjuristen, magistraten en fiscalisten. Cyberaanvallen vormen een reële bedreiging voor de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens en systemen die juristen gebruiken om hun activiteiten uit te voeren. 

Waarom is cybersecurity belangrijk voor juristen? 

Juristen krijgen vaak te maken met gevoelige en vertrouwelijke informatie zoals persoonsgegevens, contracten, financiële transacties, intellectuele eigendomsrechten of vertrouwelijke informatie die in het kader van hangende procedures wordt behandeld. Deze informatie kan zeer waardevol zijn voor cybercriminelen, die deze kunnen gebruiken voor identiteitsfraude, afpersing, chantage of andere illegale doeleinden. Bovendien kunnen cyberaanvallen de reputatie en het vertrouwen van een advocatenkantoor, notariaat, of een rechtscollege, ernstig schaden, leiden tot aansprakelijkheid of boetes wegens schending van de privacywetgeving, of zelfs de continuïteit van de dienstverlening in gevaar brengen. 

Welke soorten cyberaanvallen zijn er? 

Cyberaanvallen kunnen verschillende vormen aannemen, afhankelijk van het doel, de methode en de impact van de aanval. Enkele veelvoorkomende soorten cyberaanvallen zijn: 

  • Ransomware-aanvallen: ransomware-aanvallen met dubbele afpersing (“double extortion”) zijn momenteel zeer courant in België.  Bij dit soort aanvallen zullen de hackers, alvorens de bestanden van het slachtoffer te versleutelen eerst een aantal bestanden stelen.  Ze eisen vervolgens losgeld van het slachtoffer onder dreiging dat, als dit losgeld niet wordt betaald, ze geen sleutel (“decryptor”) zullen bezorgen waarmee het slachtoffer de versleuteling van zijn bestanden kan ongedaan maken en ze bovendien de gestolen bestanden zullen lekken op het dark web. Via het dark web kan je communiceren en zakendoen zonder identificerende informatie bekend te maken, zoals de identiteit of de locatie van een gebruiker.  Ransomware kan zich verspreiden via phishing, besmette bijlagen of downloads, of via kwetsbaarheden in het netwerk of de software die gebruikt wordt door het slachtoffer. 

  • Man-in-the-middle-aanvallen (MiM): dit is een vorm van cybercriminaliteit waarbij een hacker zich tussen twee communicerende partijen plaatst en hun berichten onderschept, wijzigt of vervalst. MiM-aanvallen worden vaak gebruikt om ongemerkt legitieme rekeningnummers te vervangen door frauduleuze rekeningnummers zodat de ontvanger van een digitale factuur, zonder het te weten, het factuurbedrag betaalt op een frauduleuze rekening. 

  • Distributed-denial-of-service-aanvallen (DDoS): een aanval waarbij een groot aantal computers (botnet) tegelijkertijd verzoeken stuurt naar een server of website om deze te overbelasten en aldus onbereikbaar te maken. DDoS-aanvallen kunnen worden gebruikt om een website plat te leggen, een concurrent uit te schakelen of als afleiding voor een andere aanval. 

  • Datalek: een incident waarbij onbevoegde personen toegang krijgen tot de gegevens van een organisatie of individu. Datalekken kunnen het gevolg zijn van hacking, menselijke fouten, onvoldoende beveiligingsmaatregelen of interne fraude. 

Wat zijn de belangrijkste juridische aandachtspunten wanneer je het slachtoffer wordt van een cyberaanval? 

Naast een hoop technische en operationele gevolgen zijn er bij een cyberaanval ook juridische aandachtspunten.  Hieronder vindt u de belangrijkste juridische aandachtspunten: 

  • Melding GBA: tenzij er helemaal geen risico is voor de personen wiens data zijn geïmpacteerd door een cyberaanval, dient de verwerkingsverantwoordelijke die het slachtoffer werd van een cyberaanval (bv. een advocatenkantoor of notariaat) hiervan een melding te doen aan de Gegevensbeschermingsautoriteit (GBA).  Die melding moet gebeuren binnen de 72 uur te rekenen van het ogenblik waarop het slachtoffer zich bewust werd van de aanval.  Aangezien het slachtoffer binnen die 72 uur vaak niet over alle informatie beschikt die dient te worden gemeld aan de GBA, wordt er vaak in twee stappen gewerkt.  Binnen de 72 uur wordt een voorlopige melding gedaan en enkele dagen (of soms zelfs enkele weken) later wordt vervolgens een opvolgmelding gedaan bij de GBA. 

  • Kennisgeving aan de betrokkenen: wanneer een cyberaanval kan leiden tot een hoog risico voor de personen wiens data zijn geïmpacteerd door een cyberaanval, dan moet de verwerkingsverantwoordelijke die het slachtoffer werd van een cyberaanval dit melden aan alle personen wiens data zijn geïmpacteerd door een cyberaanval.  Dat is bijvoorbeeld het geval wanneer, als gevolg van een ransomware-aanval op een advocatenkantoor, strafrechtelijke gegevens van cliënten van dat kantoor te lekken staan op de leak-site van de desbetreffende ransomware-groep. De betrokken cliënten moeten daarbij een omschrijving krijgen van:
    - De cyberaanval,  
    - De naam en de contactgegevens van de functionaris gegevensbescherming (of een ander contactpunt waar meer informatie kan worden verkregen),
    - De vermoedelijke gevolgen van de cyberaanval voor wat betreft de persoonsgegevens van de betrokkene. 
  • Frauduleuze betalingen: als u, uw cliënt of uw leverancier het slachtoffer werd van een MiM-aanval, dan is er een belangrijk risico dat de rekeningnummers op ingaande en/of uitgaande facturen vervalst werden en dat de facturen derhalve betaald werden op een frauduleuze rekening. Uit hoofde van het basisbeginsel "qui paie mal, paie deux fois" (vertaald als: "wie slecht betaalt, betaalt twee keer") is de schuldenaar niet bevrijd door een betaling aan een persoon die niet over enige volmacht of machtiging beschikt om de betaling te ontvangen.  Dat betekent concreet dat, wanneer een schuldenaar als gevolg van een MiM-aanval een factuur betaalde op een frauduleuze rekening, de schuldenaar het factuurbedrag verschuldigd blijft aan diens schuldeiser.  

  • Aansprakelijkheid IT-dienstverlener: wanneer uw IT-dienstverlener het slachtoffer werd van een cyber-aanval en u daardoor schade of verlies lijdt, dan kan u trachten om uw dienstverlener hiervoor aansprakelijk te stellen.  Dit veronderstelt uiteraard dat de cyber-aanval mogelijk was geworden door een fout van uw dienstverlener en dat diens aansprakelijkheid niet werd weggeëxonereerd in uw contract met de dienstverlener. 

Bent u verzekerd? 

Sommige bedrijven, beroepsfederaties en overheden hebben een cyberverzekering onderschreven om zich in te dekken tegen de gevolgen van een cyberaanval.  Sommige verzekeraars bieden daarbij een noodnummer aan waar de verzekerde, in geval van cyberaanval, permanent (24/7) terecht kan voor onmiddellijke technische, operationele en juridische bijstand.  Het loont dus zeker de moeite om intern na te gaan of die verzekeringsdekking er is en, als dat niet het geval is, om ernstig te overwegen om een cyberpolis te onderschrijven. 

Dit artikel maakt deel uit van een reeks artikelen gepubliceerd in samenwerking met Eye Security omtrent cybersecurity in de juridische sector. Komt u graag meer te weten over de juridische dienstverlening van CMS en de beveiligingsoplossingen van Eye Security, bezoek dan zeker onderstaande websites voor meer informatie. 

Neem contact op

Benieuwd hoe we kunnen helpen?

Stuur ons een bericht
GET IN TOUCH
Deel dit artikel.