De online werkomgevingen, intranetten en portalen van zestien kantoren uit de Top 50 advocatuur 2016 blijken slecht beveiligd te zijn tegen de meest eenvoudige vorm van cyber criminaliteit. Dat blijkt uit recent onderzoek van Files42. De betreffende kantoren zijn door de onderzoekers inmiddels geattendeerd op de beveiligingsrisico’s.
Wanneer de problemen niet verholpen of onderzocht worden is het zeer aannemelijk dat de veiligheid van cliënt gerelateerde informatie in het geding komt. Daarnaast is het volgens Files42 opvallend dat zeven van de vijftig kantoren gebruik maakt van servers in het buitenland voor de opslag van privacy gevoelige en vaak cliënt gerelateerde informatie. “Dat komt voornamelijk doordat een groot deel internationaal georiënteerd is en systemen door het hoofdkantoor in het buitenland krijgt toegespeeld,” aldus Jerry Donker, die het onderzoek leidde.
Login aanvallen Schrikbarend zijn volgens de onderzoekers het hoge aantal kantoren die zich niet gewapend hebben tegen zogenaamde ‘brute-force attacks’ waarbij cyber criminelen duizenden login combinaties per minuut uitproberen. Deze aanvallen zijn eenvoudig te voorkomen door een limiet te stellen op het aantal foutieve inlog pogingen. Op het moment van schrijven worden er op systemen die geen limiet hebben op het aantal foutieve pogingen dagelijks meerdere brute-force attacks uitgevoerd.
Versleuteling van de verbinding Bij zes van de vijftig kantoren is de versleuteling van de verbinding tussen de server en de gebruiker niet in orde. Een versleutelde verbinding is te herkennen aan het groene slot in de adresbalk van de browser. Een niet-versleutelde verbinding kan tot gevolg hebben dat inloggegevens en documenten die tijdens het gebruik worden ingevoerd of opgevraagd moeiteloos kunnen worden afgetapt door cybercriminelen.
Buiten bovengenoemde bevindingen werden er ook gevallen geconstateerd van verouderde systemen en technieken die zeer kwetsbaar of inbraakgevoelig zijn. Donker: “Veelal zie je dat dit zelf ontwikkelde portalen en systemen in eigen beheer zijn die jarenlang niet meer zijn geüpdatet”.
Aandachtspunten Voor advocatenkantoren is het aan te raden om systemen te gebruiken die voldoen aan de ISO27001 en NEN7510 standaard voor informatiebeveiliging waardoor bovenstaande kwetsbaarheden standaard vermeden worden. Daarnaast is de advocatuur niet de enige branche waar slechte of achterhaalde beveiligingstechnieken in interne online systemen aan de orde van de dag zijn. Echter kan de reputatieschade die een advocatenkantoor oploopt door lekken in de data opslag fataal worden. Het stellen van prioriteit aan het aspect veiligheid is dus van cruciaal belang voor de bedrijfsvoering alsmede voor besluiten op het gebied van de IT voorzieningen.
Website: www.files42.nl