Boete voor ad­vo­ca­ten­kan­toor wegens schending van be­vei­li­gings­ver­plich­tin­gen: wat u moet weten

Tuckers Solicitors LLP is een Engels advocatenkantoor en is de verwerkingsverantwoordelijke voor de verwerkingen die plaatsvinden binnen het advocatenkantoor. Op 24 augustus 2020 werd het advocatenkantoor zich ervan bewust dat haar systemen waren getroffen door een ransomwareaanval.

Op 25 augustus 2020 stelde Tuckers vast dat de aanval had geleid tot een inbreuk in verband met persoonsgegevens en melde dat dezelfde dag bij de bevoegde toezichthoudende overheid. De aanval had geleid tot de versleuteling van bundels civiele en strafrechtelijke rechtszaken die op een archiefserver waren opgeslagen. Back-ups werden ook versleuteld door de aanvaller. In totaal werden 972.191 individuele bestanden versleuteld. Daarvan hadden 24.711 betrekking op rechtbankbundels. Van de 24.711 rechtbankbundels werden er 60 door de aanvaller gepubliceerd op het dark web. Het advocatenkantoor had 53 partijen van de 60 van wie de bundels werden vrijgegeven op de hoogte gebracht overeenkomstig artikel 34 GDPR.

Op 27 augustus 2020 werd er door het advocatenkantoor een externe onderzoeker aangesteld om een "Cyber Security Incident Response Report" te verstrekken. De onderzoekers konden de bron van de aanval niet vinden, maar vonden wel een bewijs van een bekende kwetsbaarheid in het systeem dat gebruikt had kunnen worden om toegang te krijgen tot de netwerken van Tucker en die uit te buiten. In januari 2020 werd een patch gereleaset, die Tucker in juni 2020 pas in zijn systemen verwerkte. In september 2020 deelde het advocatenkantoor de ICO mee dat zijn servers naar een nieuwe omgeving werden verplaatst en dat het kantoor nu weer als voorheen draaide, zij het zonder herstel van de gegevens die door de aanvaller waren gecompromitteerd.

De Information Commissioner’s Office, de leidende toezichthoudende autoriteit van het Verenigd Koninkrijk, (ICO) heeft met inachtneming van deze feiten het advocatenkantoor een administratieve geldboete van 98.000 £ opgelegd omdat het in strijd met het integriteits- en vertrouwelijkheidsbeginsel (artikel 5, lid 1, f van de GDPR) heeft nagelaten om persoonsgegevens op passende wijze te beveiligen, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies. De ICO constateerde ook nalevingsproblemen voor de volgende verplichtingen uit de GDPR:

• het principe van opslagbeperking (artikel 5, lid 1, e) GDPR)
• het principe van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 GDPR)
• het principe van het nemen van passende technische en organisatorische maatregelen (artikel 32, lid 1, a) en b) van de GDPR

Het advocatenkantoor was het slachtoffer van een ransomwareaanval, maar de ICO oordeelde dat het advocatenkantoor kwetsbaar voor de aanval was omdat het gedurende een deel of de gehele relevante periode geen passende technische en organisatorische maatregelen had genomen.

De volgende feitelijke aspecten uit deze beslissing waren relevant voor de ICO om over te gaan tot een administratieve geldboete:

1. Op de website van Tuckers wordt het kantoor omschreven als een team van toonaangevende strafrechtadvocaten van het Verenigd Koninkrijk, gespecialiseerd in onder andere het strafrecht en burgerlijke vrijheden. Dit kantoor verwerkt dus enorm veel bijzondere categorieën van persoonsgegevens, waarbij een hogere mate van beveiligingsmaatregelen vereist is.
   
2. De aanval had geleid tot de versleuteling van civiele en strafrechtelijke rechtbankbundels die waren opgeslagen op een archiefserver, inclusief back-ups. Het advocatenkantoor verklaarde dat hoewel de gecompromitteerde rechtbankdossiers permanent verloren waren, het materiaal nog effectief beschikbaar was op zijn case managementsysteem, dat niet door de aanval was aangetast.
   
3. De aanval resulteerde in de versleuteling door de aanvaller van 972.191 individuele bestanden, waarvan 24.711 betrekking hadden op rechtbankbundels. Van de versleutelde dossiers werden er 60 door de aanvaller vrijgegeven op het dark web. De gecompromitteerde dossiers bevatten verschillende soorten van persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens (medische dossiers, getuigenverklaringen, namen en adressen van getuigen en slachtoffers, vermeende misdrijven van de betrokkene enz.) en hadden bovendien betrekking op bijzondere kwetsbare personen, waaronder kinderen en personen die betrokken zijn bij ernstige misdrijven.
   
4. Er werd een nieuwe patch uitgebracht door de leverancier in januari 2020, maar het advocatenkantoor heeft de patch pas in juni 2020 geïnstalleerd, waardoor de aanvaller gebruik heeft kunnen maken van deze onzorgvuldigheid tijdens de ongepatchte periode van vijf maanden. Eenmaal in het netwerk, installeerde de aanvaller verschillende attacking tools waarmee een eigen gebruikersaccount kon worden aangemaakt met als gevolg dat een aanzienlijke hoeveelheid persoonsgegevens werden versleuteld die zich in rechtbankbundels op de archiefserver bevonden.

Stand van de techniek: naleving internationale standaarden zoals de ISO-normen

Er wordt door de ICO verwezen naar artikel 32 van de GDPR, die bepaalt dat een verwerkingsverantwoordelijke bij de uitvoering van passende beveiligingsmaatregelen rekening moet houden met de stand van de techniek, de kosten van de tenuitvoerlegging en de aard, de omvang, de context en de doeleinden van verwerking, alsook het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

In de context van de "stand van de techniek" wordt gerefereerd naar relevante internationale standaarden zoals onder andere de ISO27000-reeks, de diverse richtsnoeren van de ICO, het Nationaal Cyberbeveiligingscentrum en de Solicitors Regulatory Authority van Engeland en Wales.

Terecht wordt er verwezen naar relevante internationale standaarden en normen omtrent informatieveiligheid zoals de ISO 27001 en ISO 27002 standaarden. Alhoewel die normen zeer algemeen zijn opgesteld, en bijgevolg heel breed toepasbaar zijn, loont het absoluut de moeite om die als leidraad te hanteren en op basis daarvan een informatieveiligheidsbeleid op te stellen.

Patch management

Het advocatenkantoor installeerde de nieuwe patch pas maanden na de release, waarin de aanvaller de kwetsbaarheid had kunnen uitbuiten. Gezien de zeer gevoelige aard van de persoonsgegevens had Tuckers geen persoonsgegevens mogen verwerken op een infrastructuur met bekende kritieke kwetsbaarheden zonder het risico op passende wijze aan te pakken.

Het ICO heeft de internationale standaarden uit de sector in overweging genomen, waaronder een vereiste uit de ISO27002 die de verplichting bevat voor organisaties om een tijdschema vast te stellen om te reageren op kennisgevingen van mogelijk relevante technische kwetsbaarheden, en dat, zodra een kwetsbaarheid is vastgesteld, de daarmee verbonden risico's moeten worden geïdentificeerd en maatregelen moeten worden genomen, zoals het patchen van het systeem om de kwetsbaarheid te verhelpen.

Een informaticaomgeving is geen statisch gegeven. Softwareleveranciers brengen regelmatig verbeteringen aan of voegen functionele uitbreidingen toe, wat telkens een risico inhoudt op nieuwe zwakheden. Cybercriminelen zijn hier goed van op de hoogte en maken daar veelvuldig gebruik van om ransomware binnen te smokkelen. Gelukkig brengen softwareleveranciers vaak “patches” uit om deze zwakheden te verhelpen, maar die moeten dan uiteraard ook worden geïnstalleerd, en dat vooraleer de ransomware werd binnengesmokkeld. Vandaar dat een degelijk update-beleid cruciaal is.

Mutlifactorauthenticatie

De ICO oordeelde dat multifactorauthenticatie een goedkope maatregel is dat het advocatenkantoor aanzienlijk had kunnen ondersteunen bij het voorkomen van toegang tot haar netwerk.

De cybercrimineel die er niet in slaagt om via een zwakheid in het softwaresysteem een stuk ransomware binnen te smokkelen kan dat ook trachten te doen via phishing-mails, waarbij het slachtoffer zelf uiteindelijk de ransomware binnentrekt. Via multifactorauthenticatie kan - in combinatie met een sterk wachtwoord – het risico hierop sterk worden teruggedrongen.

Versleutelen van persoonsgegevens

Het advocatenkantoor had de persoonsgegevens niet versleuteld en dus niet gezorgd voor passende beveiliging, met inbegrip van bescherming tegen ongeoorloofde en onwettige verwerking van haar persoonsgegevens (zoals vereist bij artikel 5, lid 1, onder f), GDPR). Hoewel de versleuteling de ransomwareaanval niet zou hebben voorkomen, had de schade er wel door kunnen worden beperkt. Met betrekking tot de "stand van de techniek" heeft de ICO rekening gehouden met onder andere een vereiste uit de ISO27001 om cryptografische controles uit te voeren in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.

Het versleutelen van (persoons)gegevens verhindert op zich niet dat die onbruikbaar worden gemaakt door ransomware. Sommige cybercriminelen passen echter het “double-extorsion”-model toe, waarbij men niet enkel dreigt informatie definitief onbruikbaar te maken, maar die ook voor een stuk openbaar te maken. Om dat laatste te voorkomen – en om het risico op datalekken in het algemeen sterk te reduceren – is encryptie van de opgeslagen data sterk aanbevolen (zogenaamde “encryption-at-rest”).

Sommige softwarepakketten (of ook, bepaalde Windows-versies) bieden die mogelijkheden aan. Door dat type encryptie toe te passen is het zo goed als onmogelijk om zonder de encryptiesleutel de gegevens te bekijken. Vanzelfsprekend moeten de encryptiesleutels zelf bijzonder goed worden beveiligd.

Bewaren van persoonsgegevens in overeenstemming met de wettelijke bewaartermijn

Persoonsgegevens die niet langer noodzakelijk zijn voor uw doeleinden of persoonsgegevens waarvan de bewaartermijn in de wet wordt vastgelegd, moeten tijdig worden verwijderd uit uw papieren en digitale systemen.

Een doordacht dataretentiebeleid, dat de bewaartermijnen van diverse (persoons)gegevens vastlegt en motiveert, is essentieel. Uiteraard moet dat beleid dan ook consequent worden toegepast.

Bij het bepalen van de hoogte van de boete nam de ICO nota van het feit dat er een inbreuk was van uitermate gevoelige persoonsgegevens en betrekking hadden op bijzonder kwetsbare personen, waaronder kinderen en personen die betrokken zijn bij ernstige misdrijven. Volgens de ICO moesten voor dat soort persoonsgegevens bijzonder hoge beveiligingsniveaus worden gehanteerd en de schending ervan maakte de inbreuk ernstiger. Het feit dat Tuckers zich niet aan de opgelegde beveiligingsnormen hield, werd als een verzwarende factor beschouwd.

De daaropvolgende corrigerende maatregelen, waaronder wijzigingen in de manier waarop het met persoonsgegevens omgaat, werden als verzachtende factoren beschouwd. Bovendien had het advocatenkantoor de betrokkenen overeenkomstig artikel 34 van de GDPR geïnformeerd en werd er een onderzoek door een derde partij uitgevoerd, wat door de ICO ook in aanmerking werd genomen bij de eindbeslissing.

Laat dit een duidelijke boodschap zijn aan alle advocatenkantoren. Wees voorbereid op een mogelijke ransomwareaanval, want de gevolgen zijn aanzienlijk op het vlak van de GDPR, ook al bent u zelf het slachtoffer geworden van een aanval op uw systemen. Neem als verwerkingsverantwoordelijke de noodzakelijke beveiligingsmaatregelen.

We zetten voor u de gevolgen van deze beslissing op een rij en trekken daaruit enkele lessen zodat uw advocatenkantoor dergelijke zware boetes kan vermijden.

We maakten deze analyse samen met veiligheidsexpert Koert van Espen (DPO van Diplad).