Met welke juridische gevolgen krijgen slachtoffers van een ransomware-aanval te maken en waarom is het dan verstandig om een advocaat in te schakelen? Precies daarom serveerde Jeroen van Helden, als advocaat verbonden aan De Clercq Advocaten, tijdens Commvault Connections enkele juridische tips en een stappenplan voor slachtoffers van gijzelsoftware.
De meeste bedrijven die slachtoffer zijn van een ransomware-aanval zetten direct een incident response team op. Vaak gaat het om de cio, cfo, en chief compliance officer die samen met beveiligings- en communicatie-experts en externe forensische ict-onderzoekers aan een oplossing werken. ‘Maar het is raadzaam om ook een advocaat in te schakelen.’ Aan het woord is Jeroen van Helden. De advocaat treedt onder meer op als lead counsel bij transacties en geschillen over cloudcontracten en sofwareontwikkeling. Ook staat hij slachtoffers van cyberaanvallen bij. Het gaat bijvoorbeeld om cliënten die te maken hebben met een ddos-aanval, ceo-fraude en in toenemende mate slachtoffers van ransomware.
Van Helden legt uit dat de advocaat een ‘verschoningsgerechtigde’ is en dat dit slachtoffers kan helpen. ‘In de Nederlandse wetgeving behoort de advocaat tot een beperkte groep verschoningsgerechtigden. Zij kunnen zich verschonen van een eventuele verplichting tot het verschaffen van informatie. ‘Onder dat recht vallen in beginsel alle documenten die de cliënt aan zijn advocaat in zijn hoedanigheid toevertrouwt.’ Dat is gedaan met het oog op een open uitwisseling van informatie tussen een advocaat en zijn cliënt.
Zo kan een advocaat voorkomen dat een ransomware-slachtoffer bepaalde informatie moet delen die schadelijk zou kunnen zijn voor de toekomst van het bedrijf. Hij raadt sowieso aan om bij een cyberaanval juridische hulp in te schakelen. ‘Systemen liggen eruit, de dienstverlening stokt, mogelijk zijn persoonlijke gegevens buitgemaakt. Advies inwinnen over de juridische gevolgen van die zaken is dan belangrijk.’ Bovendien geldt er vaak een meldplicht op grond van de AVG en, afhankelijk van de sector waarin een bedrijf of organisatie actief is, een meldplicht op grond van sectorspecifieke wet- en regelgeving.
Actieplan
Van Helden heeft een actieplan opgesteld dat slachtoffers van ransomware-aanvallen een aantal juridische handvatten moet bieden.
#1 Neem contact op met een advocaat
Die kan in een vertrouwenssfeer gevoelige informatie bespreken die daarna niet opvraagbaar is. Bijvoorbeeld over gebrekkige beveiliging.
#2 Maak een lijst met actiepunten en te nemen stappen, en documenteer besluitvorming
Is er een meldplicht aan een toezichthouder?
Moet het incident openbaar worden gemaakt?
Wat zijn de contractuele gevolgen voor klanten en leveranciers?
Wanneer moet de politie gewaarschuwd worden?
Wanneer moet de verzekeraar op de hoogte worden gesteld?
#3 Onderhandel
Als ervoor wordt gekozen om in contact te treden met cybercriminelen, onderhandel dan altijd over het gevraagde losgeldbedrag. Vraag ook altijd om een bewijs van decryptiesleutels en (indien van toepassing) van de gestolen data. Voer eventueel een testbetaling uit.
#4 Doe een sanctie-check
Sommige groeperingen staan op een zwarte lijst. Het is wettelijk verboden om losgeld (cryptovaluta) over te maken aan deze groepen. Bijvoorbeeld omdat ze een terroristische organisatie zijn of omdat bekend is dat deze groepen eerder aanvallen uitvoerden op entiteiten in de EU. Controleer dus met wie je te maken hebt.
#5 Stem eventuele it-rapportages af met een jurist
Houd er reken mee dat zo’n rapport over het incident bij derden terecht komt, zoals bij de ransomware-aanval op de gemeente Hof van Twente gebeurde. Het kan conclusies bevatten waaruit je zou kunnen afleiden dat de organisatie de beveiliging niet goed op orde had en dat kan tegen je werken. Een advocaat of bedrijfsjurist wil weten of wat er in de rapportage staat niet schadelijk is, mocht het bij derden terechtkomen.
NIS2
De advocaat verwijst verder naar NIS2, een aanscherping van de richtlijn met securityeisen voor bedrijven en organisaties die behoren tot de vitale infrastructuur. Anders dan bij de eerste versie (NIS1) worden in de nieuwe versie meer bedrijven en sectoren onder de vitale infrastructuur geschaard. Bijvoorbeeld overheden, ruimtevaartbedrijven en voedselproducenten. Van Helden: ‘Zij krijgen ook te maken met aangescherpte regels. Supervisie wordt strenger, boetes worden hoger en bestuurders kunnen in de toekomst persoonlijk aansprakelijk gesteld worden als de beveiliging niet op orde is.’
Van Helden deelt ook cijfers over aangiften. Tussen 2018 en 2020 waren er in Nederland gemiddeld zo’n 188 aangiftes van ransomware-aanvallen per jaar. Dat is waarschijnlijk veel lager dan het aantal daadwerkelijke incidenten.
Presentatie
Bekijk hier de video van de presentatie van Van Helden tijdens het evenement Virtual Connections On The Road dat 2 februari jl, plaatsvond in het Louwman Museum in Den Haag.
