Rein Advocaten & Adviseurs is een kantoor met zo’n 25 medewerkers verspreid over kantoren in Assen, Emmen en Groningen. Zoals vele ondernemingen in de zakelijke dienstverlening hebben ook zij hun bedrijfsvoering voor een groot deel gedigitaliseerd. Zo communiceren ze met de rechtbank via een aparte portal waar zij bijvoorbeeld hun bewijs- en andere processtukken aanleveren. Voor het beheer van hun debiteuren werken ze samen met een externe partij die hen regelmatig links mailt om vorderingen in te zien en bij te werken. Ook op deze bewuste doordeweekse ochtend ontvangt het advocatenkantoor een op het oog zakelijke e-mail. Echter, de e-mail is deze keer niet afkomstig van hun leverancier, maar van cybercriminelen. Wanneer een kantoormedewerker op de link klikt, worden verschillende bestanden van het kantoor gegijzeld. Om weer toegang tot de bestanden te krijgen, wordt een bedrag van € 5.750 in bitcoins geëist. Het kantoor wordt slachtoffer van ransomware .
“Ons besluit om niet te betalen stond eigenlijk meteen vast. Welke garantie heb je dan, dat je je bestanden weer terugkrijgt?”
Jeroen Sprangers
Jeroen Sprangers, partner van Rein: “Ons besluit om niet te betalen stond eigenlijk meteen vast. Welke garantie heb je dan dat je je bestanden weer terugkrijgt? Bovendien was ons back-up systeem goed op orde en met hulp van onze IT-leverancier hadden we de boel binnen een paar uur weer onder controle.” Al voor dit incident was Rein Advocaten & Adviseurs al vrij bewust van de digitale risico’s. Toch besloten ze om daar bovenop ook regelmatig pentesten te laten uitvoeren.
Kort na het incident werd de opdracht gegeven om zo’n een pentest uit te voeren. “Onze focus lag tot die tijd volledig op de technische kant van de zaak”, zegt Sprangers. Een medewerker van het bedrijf dat de pentest uitvoerde, kwam het kantoor binnenlopen en deed bij de receptie zijn verhaal: “Goedemiddag, ik kom namens Jeroen Sprangers de IT-systemen controleren. Om mijn werk te kunnen doen heb ik toegang nodig tot die en die systemen.” Sprangers: “Binnen de kortste tijd had hij toegang tot alle systemen van het kantoor. Sindsdien zijn we ons ook nog meer bewust van de menselijke kant van de zaak en besteden we hier ook in onze awareness-sessies de nodige aandacht aan.”
“Ik wil ons verhaal vertellen om andere ondernemers te waarschuwen. En omdat ik vind dat ondernemers moeten stoppen zich kapot te schamen wanneer ze door cybercrime getroffen zijn. Maar ook voor ons kantoor betekent het vertellen van dit verhaal dat we een drempel over moeten. Ons kantoor staat zelf ook cliënten bij die te maken hebben met cyberincidenten zoals datalekken . Doordat wij dit verhaal nu delen, stellen we ons kwetsbaar op. Maar als niemand dit doet of durft, verandert er nooit iets. Het taboe rond slachtofferschap van cybercriminaliteit moet verdwijnen. Het is in mijn ogen niets anders dan wanneer er bij je ingebroken wordt. Dat vertellen we toch ook gewoon?”
Dit artikel is tot stand gekomen in samenwerking met Digital Trust Center.