Wat heb ik nu aan een contract bij een Ransomware aanval?
Oktober is Cyber Security Maand
In het kader van de Cyber Security Maand dit keer een bijdrage van onze partner uit het MS Amlin First Response Team, Kennedy Van der Laan.
Ransomware is een van de grootste cyberdreigingen van organisaties op dit moment, zoals ook aangegeven in het artikel ‘Hoe kan ik mijn organisatie beschermen tegen Ransomware?’ van Patricia Langermans, Specialist Underwriter Cyber bij MS Amlin. Niet alleen de huisarts had geen toegang meer tot het IT systeem. Het gehele gezondheidscentrum werd door de Ransomware aanval stilgelegd. De data was voor niemand meer toegankelijk.
Kleinere ondernemingen zijn vaker slachtoffer van Ransomware
Cybercriminelen, die zich schuldig maken aan Ransomware aanvallen, zijn in de regel uit op geld en niet op de data die zij bij hun aanval versleutelen. Daarom zijn juist doorgaans kleinere ondernemingen slachtoffer van Ransomware: hun technische beveiliging is vaak minder goed op orde en ze hebben geen back-up plan. Hierdoor komt hun bedrijfscontinuïteit direct in het gedrang wanneer hun data ‘op slot’ zit, en zijn ze dus eerder geneigd te betalen. Combineer deze factoren met een laag ‘losgeld’-bedrag en een groot aantal slachtoffers, en tel uit je winst!
Maak goede afspraken met uw IT leverancier
Het zal u niet verbazen dat de huisarts in het gezondheidscentrum niet bijzonder technisch is onderlegd. De huisarts, of het gezondheidscentrum, zal de IT aspecten van de huisartspraktijk hebben uitbesteed aan een IT leverancier. Maar wat is dan nu de positie van de huisarts bij deze Ransomware aanval? “Kleinere ondernemingen leunen voor de technische ondersteuning van hun bedrijfsvoering vaak erg op hun IT-leverancier,” zegt Rosalie Brand, Advocaat Privacyrecht bij Kennedy Van der Laan. “Omdat ze zelf niet de technische kennis in huis hebben, is het erg belangrijk dat ze bij het aangaan van het contract met hun IT-leverancier duidelijke afspraken maken over het niveau van beveiliging en de ondersteuning die zij van de IT-leverancier krijgen wanneer er toch onverhoopt iets misgaat”, volgens Brand. Door het maken van deze afspraken voorkomt u dat u op een muur stuit bij uw IT-leverancier, juist wanneer u zijn hulp het hardst nodig heeft!
Aan welke afspraken moet ik denken?
De afspraken die u maakt met uw IT-leverancier moeten verder gaan dan het aanleggen van goede firewalls en het hanteren van antivirussoftware. Denk bijvoorbeeld aan het bijhouden van adequate back-ups en het voorzien van informatie voor uw meldplicht aan de privacytoezichthouder, de Autoriteit Persoonsgegevens en de personen van wie persoonsgegevens zijn getroffen door de aanval. Juist deze zaken heeft u nodig wanneer een Ransomware aanval zich voordoet. En juist daarom moeten deze zaken niet worden vergeten bij het aangaan van een overeenkomst met de IT-leverancier.
Hoe kan Kennedy Van der Laan u hierbij helpen?
“Wij helpen vooraf onder meer met het beoordelen van de afspraken in de verwerkersovereenkomsten met IT leveranciers”, zegt Brand. “Ook geven wij advies over de inrichting van het gegevensgebruik, zoals het verwerken van patiëntgegevens in het geval van de huisarts.” Daarnaast adviseren wij over compliance en handhaving bij big data en online- en mobiele dataverzameling. Kortom, wij helpen ondernemingen om zich aan de regels te (blijven) houden en om in te spelen op de voortdurend veranderende privacywetgeving. Verder hebben wij een Datalek Quickscan ontwikkeld. Hiermee kunt u bij een vermoeden van een datalek een eerste juridische scan uitvoeren op een (beveiligings)incident. Zo kunt u gemakkelijker een inschatting maken of er sprake is van een datalek binnen uw organisatie. En zo ja, of deze gemeld moet worden aan de Autoriteit Persoonsgegevens (AP) en de betrokkene(n).
Train uw personeel
Niets is menselijker dan een menselijke fout. En dat is juist waar cybercriminelen op vertrouwen: een nog niet geüpdatete computer of een klik op een link die niet is wat het lijkt, en de crimineel is binnen in uw systeem. Helaas zijn menselijke fouten nooit helemaal uit te sluiten. Daarom is het belangrijk naast uw technische maatregelen ook uw personeel goed te trainen en bewust te maken van de risico’s. Hiermee kunt u de kans op dergelijke zwakheden in uw systeem en fouten van medewerkers wel aanzienlijk verminderen. “Beperk u hierbij niet tot de jaarlijkse online e-learning van 10 minuten, maar herhaal de lessen regelmatig – bij voorkeur met praktijkvoorbeelden die binnen uw organisatie hebben plaatsgevonden. Het gebruik van waargebeurde voorbeelden maakt dit onderwerp aansprekender voor uw medewerkers”, aldus Brand. De cyberbewustzijnstraining van International Security Partners, partner van het MS Amlin First Response Team, is hierbij een handig hulpmiddel. En wilt u het echt goed doen, test dan eens uw medewerkers met een nep-phishingmail of laat een cyber security bedrijf, zoals Grant Thornton, partner van het MS Amlin First Response Team, uw beveiliging op zwakheden onderzoeken.
Meer weten over wat Kennedy Van der Laan voor u kan betekenen?
Op www.kvdl.com vindt u meer informatie. Of neem contact op met Rosalie Brand via telefoonnummer 020 550 66 66 of Rosalie.Brand@kvdl.com.
Rosalie Brand
Advocaat Privacyrecht Kennedy Van der Laan
Partner MS Amlin First Response Team