-

Cyber update: positieve én negatieve ontwikkelingen rond cybercrime 

Berichten over cyber-aanvallen, ransomware en phishing buitelen over elkaar heen. Gelukkig wordt er druk gesleuteld aan betere wetgeving en een Europese aanpak. Een overzicht van de recente ontwikkelingen rondom IT-security. Let op: de zorgplicht voor bedrijven wordt stapje voor stapje verzwaard.

Cybersecurity is de laatste jaren voor veel bedrijven een belangrijk punt van zorg geworden, omdat cyberaanvallen potentieel desastreuze gevolgen kunnen hebben voor bedrijven van elke omvang. De potentiële dreiging van cyberaanvallen wordt verder vergroot door de snelle toename van het aantal mensen dat op afstand werkt, als gevolg van de coronaviruspandemie. Zo meldde Minister Grapperhaus van Justitie en Veiligheid dat de politie in de eerste negen maanden van dit jaar meer cybercrime gerelateerde aangiften ontving dan in heel 2018 en 2019 bij elkaar opgeteld. De grootste stijging is te zien in het aantal gevallen van WhatsAppfraude en phishing. 

Ransomware

Dit jaar is ook een toename te zien van het aantal gerichte ransomware-aanvallen op bedrijven (vaak grote multinationale organisaties), waarvan sommige hebben geresulteerd in de uitbetaling van hoge bedragen aan losgeld. De meest voorkomende manier van (de eerste stap van) besmetting is via phishing. Bij deze vorm van cybercriminaliteit wordt door middel van kwaadaardige software (malware) de toegang tot het computersysteem of bestanden op het systeem van een bedrijf of individu versleuteld waardoor deze vaak volledig onbruikbaar worden. In het merendeel van de gevallen wordt vervolgens door de cybercriminelen losgeld (ransom) geëist voor het ontsleutelen van de computer of diens bestanden. Nederland scoort wereldwijd hoog wat betreft de bedragen die worden betaald bij deze ransomware-aanvallen: de gemiddelde losgeldbetaling door Nederlandse bedrijven ligt op 1,45 miljoen euro, waar het wereldwijde gemiddelde op ongeveer 930.000 euro ligt. 

Malware

Malware is dan ook nog altijd de grootste online dreiging in de Europese Unie, zo blijkt uit het Threat Landscape 2020 rapport van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Een greep uit de recente Nederlandse media bevestigt dit beeld. Zo werden recentelijk in dezelfde week uitzendgroep Randstad en Gemeente Hof van Twente het slachtoffer van een aanval met gijzelsoftware. Schrikbarend was ook het bericht dat IBM Security X-Force een wereldwijde phishingcampagne had ontdekt, die gericht is op de koelketen voor de distributie van COVID-19-vaccins.  Nog schokkender is wellicht dat zelfs het Europees Geneesmiddelenbureau (EMA) in Amsterdam het doelwit van een cyberaanval was. Deze toezichthouder toetst momenteel de veiligheid van het coronavaccin van Pfizer/BioNTech voor de Europese markt. Deze recente ontwikkelingen op cybercrime gebied verdienen zonder meer de kwalificatie ‘zorgwekkend’. Vast staat in elk geval, dat digitale dreigingen een permanent karakter hebben gekregen, in nationale en internationale context.

Maatregelen

Om deze toenemende cybercriminaliteit een halt toe te roepen en het sanctieregime uit te breidden zijn er enkele hoopvolle nationale en internationale ontwikkelingen te melden. 

1: Zwaardere straffen voor cybercriminelen

Op 1 december 2020 is het Wetsvoorstel bestrijding betaalfraude bij de Tweede Kamer ingediend. Het wetsvoorstel strekt tot implementatie van de Richtlijn betreffende de bestrijding van fraude met en vervalsing van niet-contante betaalmiddelen. Nederland dient de richtlijn uiterlijk op 31 mei 2021 te hebben geïmplementeerd, al voldoet Nederland al aan een groot deel van hetgeen waartoe de richtlijn verplicht. De implementatie van de richtlijn leidt in de Nederlandse wet tot een aantal aanscherpingen van de computer- en valsheidsdelicten. Belangrijk onderdeel van het wetsvoorstel is de verhoging van de maximale straffen voor fraude begaan door cybercriminelen, o.a. phishing en computervredebreuk (‘hacken’). Het Nederlandse strafrechtelijk instrumentarium om fraude aan te pakken wordt hierdoor aangescherpt en internationaal gelijk getrokken.

Online fraude heeft een sterke grensoverschrijdende dimensie. Met de implementatie van de richtlijn wordt een vergelijkbaar niveau van strafrechtelijke bescherming binnen de EU bereikt en getracht te voorkomen dat personen in landen waar bepaalde feiten niet strafbaar zijn gesteld of met een lage(re) straf worden bedreigd, online fraude kunnen plegen ten aanzien van de Nederlandse overheid, Nederlandse bedrijven en Nederlandse burgers.

2: Europese aanpak 

In de internationale context is er nog een ontwikkeling te melden. Zo heeft de Europese Unie recentelijk een groep hackers uit Rusland die verantwoordelijk wordt gehouden voor de cyberaanval op de Duitse Bondsdag in 2015 op de cybersanctielijst geplaatst. De twee betrokken natuurlijke personen en een entiteit worden onderworpen aan beperkende maatregelen.

Het cyber sanctieregime van de Europese Unie is vanaf 2019 van kracht. De hackpoging van de Russische geheime dienst GROe op de Organisatie voor het Verbod op Chemische Wapens in Den Haag, die op 13 april 2018 werd verhinderd door de Nederlandse Militaire Inlichtingendienst, was destijds onder andere aanleiding voor enkele EU landen waaronder Nederland om aan te dringen op de mogelijkheid van cybersancties. Het achterliggende doel is het vergroten van de weerbaarheid van de EU en het vermogen om cyberdreigingen en kwaadwillige cyberactiviteiten te voorkomen, te ontmoedigen, te bestrijden en erop te reageren, zodat de Europese veiligheid en belangen worden beschermd.

Sanctielijst

Het Europese rechtskader voor de regeling van cybersancties werd in mei 2019 definitief aangenomen. Het vormt de basis voor het uitvaardigen van gerichte beperkende maatregelen in reactie op cyberaanvallen. Op 13 mei 2019 gingen alle lidstaten van de Europese Unie akkoord met een Europese Sanctielijst voor Cybercriminelen, waarna de Europese Raad het Besluit en de Verordening betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen op 17 mei 2019 vaststelde. De Raad heeft het kader voor beperkende maatregelen tegen cyberaanvallen die de EU of haar lidstaten bedreigen, met 1 jaar verlengd, tot en met 18 mei 2021.

Met het sanctieregime worden banktegoeden binnen de EU bevroren en krijgen de verantwoordelijken een verbod om de EU in te reizen. Daarnaast mogen personen en entiteiten uit de EU geen middelen ter beschikking stellen aan gesanctioneerde personen en entiteiten. Zodoende wordt getracht een veiliger EU-cyberspace te waarborgen. De sancties kunnen worden opgelegd aan mensen ongeacht waar ze wonen of wat hun nationaliteit is, maar alleen na instemming van alle EU-landen. 

Met de recente toevoeging van de hackersgroep aan deze cybersanctielijst komt het totaal aantal gesanctioneerden op twaalf: acht personen en vier organisaties. De recente verlenging van het kader voor beperkte maatregelen tegen cyberaanvallen komt een paar dagen na de verklaring van de Europese Unie, waarin de lidstaten kwaadwillige cyberactiviteiten waarbij de coronaviruspandemie wordt uitgebuit, veroordelen. Het is afwachten totdat meer cybercriminelen op de sanctielijst zullen worden geplaatst. Met het Europese instrumentarium wil de EU niet alleen kwaadwillige actoren beteugelen om de eigen belangen van de Unie en haar lidstaten te beschermen, maar ook zich blijven inzetten om de mondiale cyberweerbaarheid te versterken. 

3: Zorgplicht bedrijven

Naast de rol die is weggelegd voor de overheid in de opsporing en handhaving hebben bedrijven een eigen grote verantwoordelijkheid en zorgplicht. Vergroting van de digitale weerbaarheid is het belangrijkste instrument om digitale risico’s te beheersen. Het is daarom bij uitstek een strategische uitdaging wat betreft governance en risicomanagement voor de boardroom en dit onderwerp zou bij iedere onderneming hoog op de agenda moeten staan. Het voldoen aan cybersecurity-standaarden is in het algemeen een must en bedrijven moeten oog hebben voor hun cybersecurity en cyberresilience. Het bedrijfsleven dient het onderwerp cybersecurity breder te definiëren: cybersecurity moet niet alleen gezien worden als een compliance-checkbox. Bedrijven moeten op een verantwoorde manier (digitaal) zaken kunnen doen, waarbij uiteraard nagedacht moet worden over cybersecurity. Hoewel het een uitdaging is om de cybercompliance volledig op peil te krijgen, is dit wel noodzakelijk om de onderneming toekomstbestendig te maken. 

Aansprakelijkheid

De vraag dringt zich op of bedrijven zich wel voldoende bewust zijn van hun zorgplicht en mogelijke risico’s die zij dragen. Bedrijven die hun beveiliging niet op orde hebben, kunnen geconfronteerd worden met aansprakelijkheid. Strafrechtelijke vervolging in geval van grove nalatigheid ligt zelfs op de loer.

Naast de zorgplicht die bedrijven in het algemeen hebben, is er tegen deze achtergrond in de bancaire sector een bijzondere ontwikkeling te melden. Op 2 december jl. werd immers een motie van de SP om de zorgplicht van banken uit te breiden in gevallen van bankfraude (zoals phishing en spoofing), unaniem door de Tweede Kamer aangenomen. De Kamerleden constateren dat banken verschillend omgaan met de manier waarop slachtoffers al dan niet worden gecompenseerd en pleiten voor een wettelijke regeling waarin wordt vastgelegd dat banken klanten die het slachtoffer zijn geworden van computercriminaliteit moeten compenseren. Deze mogelijke wettelijke compensatieplicht leidt tot een vergaande zorgplicht. De norm dient desalniettemin te blijven dat er bij individuen en bedrijven voldoende bewustzijn wordt gecreëerd.

Bewustzijn

Naast middelen om de schade zoveel mogelijk te beperken, zoals forensisch IT-onderzoek naar de hack om de cybercriminelen te kunnen opsporen, of het doen van aangifte bij politie of het Openbaar Ministerie, doen bedrijven er goed aan om hun cybersecurity te (her)beoordelen waarbij ‘bewustzijn’ in de bedrijfscultuur het kernwoord is. Bedrijven dienen zich te richten op de combinatie van deugdelijk beschermde technologie en menselijk bewustzijn over cyber-risico’s, zodat criminelen veel minder kans hebben om een aanval succesvol uit te voeren.

Over de auteur: Nosh van der Voort is advocaat bij  advocatenkantoor Simmons & Simmons

 

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond