Zorgen over de digitale weerbaarheid van Nederland
Recent zijn veel bedrijven en organisaties in Nederland gehackt. Nederland blijkt aanzienlijk slechter voorbereid op cybercriminaliteit dan andere landen. Zijn bedrijven zich wel voldoende bewust van hun zorgplicht rond IT-security?
Het jaar 2021 is bijna traditioneel begonnen met enkele zorgwekkende cyberaanvallen in Nederland. Waar vorig jaar de Universiteit Maastricht werd getroffen door een aanval met gijzelsoftware en als gevolg van deze hack €197.000 in bitcoins betaalde aan de hackers, maakten zowel de Universiteit van Amsterdam (UvA) als de Hogeschool van Amsterdam (HvA) recentelijk bekend te zijn getroffen door een cyberaanval. De hacks bij de onderwijsinstellingen kwamen daags na de cyberaanval bij NWO, de organisatie die in Nederland subsidies voor wetenschappelijk onderzoek verstrekt.
Door deze reeks aan hacks laait de discussie weer op in hoeverre bedrijven in Nederland voldoende bewust zijn van de zorgplicht die zij dragen in het kader van hun cyberbeveiliging en de vraag of een bedrijf wel of niet losgeld zal (moeten) betalen op het moment dat het slachtoffer is geworden van een cyberaanval.
Handhaving
Eind 2019 kondigde Minister Grapperhaus al aan dat de overheid harder gaat optreden tegen (niet onder toezicht staande) bedrijven die hun internetbeveiliging niet op orde hebben. Redenen hiervoor zijn onder meer de mogelijk grote gevolgen van verstoring en sabotage.
De activiteiten kunnen een soms langdurig ontwrichtend effect hebben op de maatschappij en mogelijk zelfs impact hebben op de nationale veiligheid, zeker wanneer vitale processen en partijen geraakt worden.
De Nederlandse wet- en regelgeving voorziet vooralsnog niet in een laagdrempelige mogelijkheid voor de overheid om bij bedrijven die niet onder wettelijk toezicht staan te controleren of zij hun beveiliging op orde hebben en om eventueel in te grijpen. Wél bestaat er op basis van het Wetboek Van Strafrecht in theorie al een mogelijkheid om strafrechtelijk op te treden, in het geval van grove nalatigheid ten aanzien van cyberveiligheid.
De praktische uitvoering van de handhaving is namelijk mogelijk te vinden in een combinatie van vervolging voor het misdrijf van artikel 350b Wetboek van strafrecht (de strafbaarstelling van vernieling of onbruikbaar maken van computergegevens door schuld) en de buitengerechtelijke afdoening daarvan door middel van een zogeheten transactie. Deze schikking met het Openbaar Ministerie is tegenwoordig een belangrijke wijze van afdoening van strafzaken tegen bedrijven. Hoewel gedragsaanwijzingen of -voorwaarden formeel gezien in het kader van een transactie niet kunnen worden opgelegd , maakt feitelijk gezien een ‘compliance voorwaarde’ of een verbeterplan de laatste jaren bijna standaard onderdeel uit van de transactieovereenkomst.
Het incorporeren van een deugdelijk cybersecurityprogramma als voorwaarde van een schikking met het Openbaar Ministerie, kan in deze gevallen voor de overheid uitkomst bieden. Ondanks deze (vooralsnog theoretische) mogelijkheid van het grijpen naar het strafrecht, dient men desalniettemin voor ogen te houden dat dit een ultimum remedium is.
Losgeld
Eind vorige maand meldde de voormalig CEO van het Nationaal Cyber Security Centrum, dat verzekeraars door de betaling van losgeld de georganiseerde misdaad financieren en dat dit verboden zou moeten worden. Dit is in lijn met de eerdere oproep van minister Grapperhaus aan verzekeraars om bij organisaties die door ransomware worden getroffen niet het betaalde losgeld te vergoeden, maar enkel de geleden schade.
Het betalen van losgeld houdt volgens de overheid de vicieuze cirkel in stand: het stimuleert cybercriminelen om bedrijven door middel van ransomware te blijven aanvallen. Gezien het winstoogmerk zullen cybercriminelen innovatief blijven en hun hack-activiteiten voortzetten, met als gevolg een toename van bedrijven die getroffen worden door een digitale infectie, meer digitale verstoringen, schade en het daarmee gepaard gaande mogelijk ontwrichtend effect op de samenleving.
Het voormalig hoofd van het NCSC pleitte naast het verbieden van losgeldbetalingen ook om een dialoog aan te gaan over dit onderwerp met de verzekeringssector. Zo blijft er discussie bestaan over de verzekerbaarheid van losgeldbetalingen, hetgeen op grond van de huidige Nederlandse wet- en regelgeving niet expliciet verboden is. Het Burgerlijk Wetboek verbiedt ‘transacties in strijd met de goede zeden’, maar het is de vraag of een losgeldbetaling in die categorie valt.
Interessant in deze discussie is het eind 2020 verschenen advies van de Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën, uitgebracht aan bedrijven die diensten verlenen aan slachtoffers van ransomware-aanvallen, zoals cyberverzekeringsmaatschappijen, forensisch onderzoekers en andere financiële dienstverleners die losgeldbetalingen verwerken. In dit advies worden deze organisaties en instellingen gewaarschuwd voor de mogelijke risico’s van het overtreden van sanctiewet- en regelgeving bij het faciliteren van ransomware-betalingen. Dergelijke ontwikkelingen zullen ongetwijfeld op de voet worden gevolgd door de beleidsbepalers in Den Haag en het is afwachten of deze denkrichting overwaait naar de Haagse politiek.
De vraag is echter of de discussie rondom losgeld de kern raakt van het nationale cyberprobleem. Uit een door Forrester Consulting verricht onderzoek kan namelijk worden geconcludeerd dat Nederland aanzienlijk slechter is voorbereid op cybercriminelen dan andere landen. Uit dit onderzoek blijkt dat Nederlandse bedrijven procentueel minder medewerkers met kennis van cyberveiligheid hebben. Dit beeld is ook terug te zien in de betalingen bij gijzelsoftware: Nederlandse bedrijven betalen vaker – 16% versus 6% – losgeld.
Zorgplicht en bewustzijn
Vast staat dat digitale dreigingen een permanent karakter hebben gekregen. Naast middelen om de schade zoveel mogelijk te beperken, zoals forensisch IT-onderzoek naar de hack om de cybercriminelen te kunnen opsporen, of het doen van aangifte bij politie of het Openbaar Ministerie, doen bedrijven er goed aan om hun cybersecurity te (her)beoordelen waarbij ‘bewustzijn’ in de bedrijfscultuur een kernbegrip zou moeten zijn. Bedrijven dienen zich te richten op de combinatie van deugdelijk beschermde technologie en menselijk bewustzijn over cyber-risico’s, zodat criminelen veel minder kans hebben om een aanval succesvol uit te voeren.
Cybersecurity is bij uitstek een strategische uitdaging voor de boardroom op het vlak van governance en risicomanagement en dit onderwerp zou bij iedere onderneming hoog op de agenda moeten staan. Opvallend is dan ook dat veel Nederlandse beursgenoteerde ondernemingen in hun jaarverslag zwijgen over de maatregelen die zij nemen om hun digitale veiligheid te garanderen.
Het bedrijfsleven dient het onderwerp cybersecurity breder te definiëren: cybersecurity moet niet alleen gezien worden als een compliance-checkbox. Bedrijven moeten op een verantwoorde manier digitaal zaken kunnen doen. Hoewel het een uitdaging is om de cybercompliance op peil te krijgen, mede gezien het feit dat honderd procent veiligheid niet bestaat, is het noodzakelijk om de onderneming toekomstbestendig te maken en na te denken over voorzorgsmaatregelen, risicoanalyses en een incident response programma.
Vorige maand verschenen nieuwe EU richtlijnen over datalekmeldingen die organisaties handvatten bieden voor een gedegen cybercompliance. Zo is in de richtlijnen een lijst met veel voorkomende soorten datalekken opgenomen en is per categorie aangegeven welke maatregelen een organisatie van tevoren had moeten nemen én welke maatregelen de organisatie na het incident moet nemen.
De nieuwe richtlijnen zijn nog niet definitief, betrokken partijen kunnen tot 2 maart 2021 commentaar leveren, maar bieden op het eerste gezicht waardevolle handreikingen voor zowel het bedrijfsleven, instellingen als de handhavingspraktijk in het kader van cybersecurity compliance. Er is dus uitzicht op een juridisch kader dat hopelijk de zorgen over de digitale weerbaarheid zal kunnen verminderen.
Over de auteur: Nosh van der Voort is advocaat bij advocatenkantoor Simmons & Simmons
Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond