Top 50 advocatenkantoren: Een derde heeft onveilige data opslag

Uit een recent onderzoek onder de top 50 van de grootste Nederlandse advocatenkantoren van advocatie.nl blijkt dat slechts twee derde de veiligheid van onder ander cliëntgerelateerde informatie op orde heeft. Zestien kantoren bleken tijdens onze quick-scan niet te voldoen aan basis veiligheidsaspecten waardoor deze systemen zeer gevoelig zijn voor cyberaanvallen.

Verder viel uit ons onderzoek op dat zeven van de vijftig kantoren gebruik maakt van buitenlandse servers voor de opslag van data. Privacy gevoelige informatie van de cliënt wordt hierdoor onderworpen aan de veelal soepele wetgeving omtrent geheimhouding en veiligheid van gegevens. Ons vermoeden bestaat dat dergelijke systemen worden aangeleverd door het buitenlandse moederbedrijf.

Beveiliging tegen login aanvallen

Schrikbarend is het aantal slecht beveiligde portalen waar het mogelijk is om brute force aanvallen op uit te voeren. Tijdens z’n aanval worden duizenden login pogingen per minuut gedaan. Een simpele restrictie op het aantal mislukte inlogpogingen zou de kwetsbaarheid kunnen verhelpen.

Encryptie van de verbinding

Wanneer gegevens zonder versleuteling tussen de eindgebruiker en de server worden uitgewisseld bestaat de kans dat deze gegevens door cyber criminelen wordt onderschept. Een significant aantal had ook deze versleuteling niet op orde waardoor het voor hackers eenvoudig is om data te onderscheppen: Dit kan uiteenlopen van facturen tot inlog gegevens van de gebruikers. Een correct geconfigureerde versleuteling wordt herkend aan het groene hangslot in de browser balk.

Buiten bovengenoemde bevindingen werden er ook gevallen geconstateerd van verouderde systemen en technieken die zeer kwetsbaar of inbraakgevoelig zijn. Veelal zie je dat dit zelf ontwikkelde portalen en systemen in eigen beheer zijn die jarenlang niet meer zijn geüpdatet.

Aandachtspunten

Voor advocatenkantoren is het aan te raden om systemen te gebruiken die voldoen aan de ISO27001 en NEN7510 standaard voor informatiebeveiliging waardoor bovenstaande kwetsbaarheden standaard vermeden worden. Daarnaast is de advocatuur niet de enige branche waar slechte of achterhaalde beveiligingstechnieken in interne online systemen aan de orde van de dag zijn. Echter kan de reputatieschade die een advocatenkantoor oploopt door lekken in de data opslag fataal worden. Het stellen van prioriteit aan het aspect veiligheid is dus van cruciaal belang voor de bedrijfsvoering alsmede voor besluiten op het gebied van de IT voorzieningen.

Plaats een reactie