Hacken is het inbreken in een computer om er gegevens te wijzigen, gegevens te achterhalen en/of om zwakke plekken aan te tonen. Hacking is een actueel probleem waar niet alleen particulieren, maar ook bedrijven slachtoffer van worden. Bij bedrijven is de schade vaak extra groot. Er is namelijk ook sprake van omzetschade en eventueel kunnen ze zelfs boetes krijgen opgelegd, bijvoorbeeld wanneer er persoonsgegevens uitlekken.

Verschillende partijen kunnen aansprakelijk zijn

Met hacking kan men veel schade berokkenen. Toch is het niet altijd alleen de hacker die aansprakelijk is. Bedrijven kunnen namelijk aansprakelijk zijn omdat ze hun IT-systemen onvoldoende beveiligden. Daarom is het heel belangrijk om van een goede IT-beveiliging te zijn voorzien, maar ook het belang van een goede cyberverzekering kan niet worden onderschat.

Aansprakelijkheid van de hacker

Wat de aansprakelijkheid betreft, komt men uiteraard al snel bij de hacker zelf uit. Als zo'n hacker – aangenomen dat het niet gaat om een ethische hacker die door het bedrijf zelf is ingeschakeld – toeslaat en daarbij schade berokkent, moet hij deze schade ook vergoeden. Dat is ook logisch, want er is aan alle voorwaarden voldaan: fout, schade en een oorzakelijk verband tussen fout en schade. Vaak kan een hacker zijn identiteit echter goed verbergen en hierdoor is het niet zo eenvoudig om de hacker daadwerkelijk aansprakelijk te stellen.

Aansprakelijkheid van de IT-beheerder

In de tweede plaats kan het ook dat een IT-beheerder een fout heeft begaan. Van een deugdelijke IT-beheerder kan namelijk worden verwacht dat hij de systemen en het netwerk voldoende beveiligt, net om hacking te voorkomen.

Een voorbeeld hiervan vinden we bij een vonnis van Rechtbank Amsterdam (ECLI:NL:RBAMS:2018:10124). Hierbij had een administratiekantoor het onderhoud en het beheer van het netwerk aan een IT-bedrijf uitbesteed. Het ging om een totaalopdracht en dit hield volgens de rechtbank in, hoewel dit niet zwart op wit stond, dat het IT-bedrijf de infrastructuur diende aan te leggen, te beheren, te onderhouden en te beveiligen. Hoe dan ook werd het netwerk zonder firewall opgeleverd.

Vervolgens vond er een ransomware-aanval plaats waarbij alle gegevens werden versleuteld en het kantoor een week uit de lucht was. Uiteindelijk kon het kantoor niks anders meer doen dan de gijzelnemers 3 bitcoins te betalen. Vervolgens duurde het opnieuw een week alvorens alles opnieuw online was. De IT-beheerder werd aansprakelijk gesteld en diende ook alle schade te vergoeden. De schadevergoeding was enorm, want het bedrijf had ook een technisch recherchebureau moeten inschakelen en er was sprake van omzetderving. Net omdat de schade vaak groot is, is het altijd aan te raden om een goede cyberverzekering of – in het geval van het IT-bedrijf – aansprakelijkheidsverzekering af te sluiten. Het moet wel gezegd worden dat er veel zaken niet op papier stonden. Het blijft natuurlijk aan te raden om schriftelijk overeen te komen dat de IT-beheerder niet of beperkt aansprakelijk is of dat beveiliging geen deel uitmaakt van zijn takenpakket.

Aansprakelijkheid van het gehackte bedrijf

Vervolgens kan ook het gehackte bedrijf mogelijk zelf aansprakelijk zijn voor de hack. Het klinkt vreemd, maar we mogen niet vergeten dat bedrijven een grote verantwoordelijkheid dragen. Ze zijn namelijk de eindverantwoordelijke en moeten ervoor zorgen dat gegevens goed worden beveiligd. Onder meer in het kader van de AVG (de Europese privacywetgeving) is bepaald dat bedrijven voor een afdoende beveiliging van persoonsgegevens moeten zorgen. Hoever ze daarin dienen te gaan, is afhankelijk van een aantal factoren. Onder meer de hoeveelheid data, de grootte van het bedrijf en de gevoeligheid van de persoonsgegevens bepalen mee wat er van een bedrijf mag worden verwacht. Dit moet dus geval per geval worden beoordeeld.

Zelfs wanneer een bedrijf voldoende beveiliging heeft geregeld, kan het echter nog steeds aansprakelijk zijn. Bedrijven hebben namelijk ook een meldplicht en moeten datalekken tijdig melden bij de Autoriteit Persoonsgegevens. In sommige gevallen mag er ook van hen worden verwacht dat ze datalekken aan de getroffenen meedelen. Hierdoor zijn ze alvast voorbereid en kunnen ze minder eenvoudig het slachtoffer worden van phishing of andere vormen van cybercrime. Wanneer een gehackt bedrijf het datalek niet tijdig meldt, kan het dus nog steeds tegen flinke schadeclaims aankijken.

Stap voor stap bouwen aan een goede beveiliging

Nergens, ook niet in de AVG, is vereist dat er 100% veiligheid wordt bekomen. In de praktijk is dit ook vrijwel onmogelijk. Wel is het zo dat er altijd een afdoende beveiliging moet worden geregeld, waarbij per geval moet worden nagegaan wat al dan niet volstaat. Een IT-beheerder die geen firewall installeert, zoals in het aangehaalde voorbeeld, zal dus al snel aansprakelijk zijn. Was de beveiliging wel in orde, maar bleek er ergens nog een klein achterdeurtje te zijn dat de beheerder niet kon voorzien, dan is dit wellicht anders.

Stap 1: gespecialiseerde hulp inschakelen

De Autoriteit Persoonsgegevens benadrukt dat organisaties een moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. Een goede beveiliging is inderdaad de enige manier om privacy te garanderen. Wanneer men intern niet over de juiste expertise beschikt, zeker bij een sterke netwerkafhankelijkheid of bij het verwerken van persoonsgegevens, is het dan ook aan te raden om een derde partij in te schakelen.

Zorg er dan wel voor dat er goede afspraken worden gemaakt en dat deze afspraken op papier staan. Neem bijvoorbeeld duidelijk op wat er van de tegenpartij wordt verwacht en ga niet zomaar akkoord met clausules die elke vorm van aansprakelijkheid uitsluiten.

Stap 2: scans en audits laten uitvoeren

Cybercriminelen gaan op zoek naar gaten in de beveiliging en dit is exact wat bedrijven ook zelf moeten doen. Via een interne audit en scans gaat men op zoek naar de zwakke plekken in het systeem. Hierbij kunnen informatiebeveiligingsstandaarden zoals NEN 7510 als basis dienen. Dergelijke scans en audits zijn overigens geen eenmalig fenomeen. Het is belangrijk om ze met de regelmaat van de klok te herhalen, want zowel de technologie als de hackers staan niet stil.

Stap 3: opstellen van een informatiebeveiligingsstrategie

Op basis van de auditresultaten en een risicoanalyse kan er nu een informatiebeveiligingsstrategie worden opgesteld. In de informatiebeveiligingsstrategie wordt vastgelegd welke stappen te doorlopen zijn. Het zorgt voor een multidisciplinaire blik op de beveiligingssituatie en het is een ideaal werkmoment voor de verdere implementatie.

Stap 4: implementeren van de informatiebeveiligingsstrategie

Stapsgewijs kan de opgestelde informatiebeveiligingsstrategie in de praktijk worden gebracht. De verschillende beveiligingsmethoden worden geïmplementeerd. Hierbij gaat er niet alleen aandacht naar de technische beveiliging, maar ook naar awareness. Dit wordt bijvoorbeeld bekomen door collega's te betrekken en ze bewust te maken van eventuele menselijke zwakheden in de beveiliging.

Stap 5: opvolgen en bijsturen

Beveiliging is nooit af. Het is nodig om het netwerk blijvend te monitoren en om in te grijpen indien nodig, bijvoorbeeld bij een aanval. Daarnaast zullen nieuwe scans en audits mogelijk nieuwe zwakheden blootleggen. Een systeem dat vandaag nog veilig is, kan morgen alweer onveilig zijn. Ook voor de verdere opvolging is het met andere woorden wenselijk om te blijven rekenen op interne of externe IT-experts.

Onderdelen van een goede IT-beveiliging

Een goede IT-beveiliging vergt altijd een aantal componenten die niet mogen ontbreken. Een antivirusprogramma en een firewall zijn daar voorbeelden van, maar denk ook aan MFA en gegevensversleuteling. In de praktijk kan dit nog verder gaan, bijvoorbeeld door ook ATA of Advanced Threat Analytics aan dit rijtje toe te voegen. Eventuele exacte noden zullen dan ook altijd blijken uit audits en vastgelegd zijn in de informatiebeveiligingsstrategie.

Firewall

Een firewall is te vergelijken met een virtuele muur die rond de IT van de onderneming wordt gebouwd. In de muur zitten toegangspoorten, maar daar laat men enkel veilig verkeer binnen. In de praktijk is het echter al lang niet meer zo eenvoudig. Waar er vroeger maar enkele poorten te controleren waren, zijn er tegenwoordig zoveel applicaties, gebruikers, toestellen en systemen er talloze wegen naar de IT leiden. Een NextGen-firewall is daarom belangrijk. Een NextGen-firewall leert hoe het normale verkeer verloopt en herkent abnormaal verkeer. Waar de klassieke firewall te vergelijken valt met de douane die op specifieke plaatsen controleert, is een NextGen-firewall te vergelijken met een intelligente inlichtingendienst.

Antivirusprogramma

Zelfs bij een NextGen-firewall kan het gebeuren dat criminelen alsnog toegang krijgen tot de IT-omgeving. Daarom is er ook een antivirusprogramma nodig. Dit verzorgt de zogenaamde endpoint protection en valt het best te vergelijken met patrouillerende agenten. De eenvoudige antivirusprogramma's detecteren op basis van vroegere aanvallen. De agenten krijgen dus een profielbeschrijving mee en halen criminelen van de straat. De complexe antivirusprogramma's, met Next-Generation Endpoint Protection, begrijpen het gedrag van applicaties en detecteren vreemde acties en gebeurtenissen. Het grijpt dus ook in wanneer het gaat om onbekende malware.

Wachtwoorden en MFA

Een van de manieren waarop men toegang kan krijgen tot een netwerk is door zich te identificeren. Dit gebeurt veelal door middel van gebruikersnamen en wachtwoorden. Dit is een zwak punt, want eenmaal men de gebruikersnaam of het wachtwoord heeft, krijgt men ook toegang en kan men bijvoorbeeld persoonsgegevens stelen. Daarom is het noodzakelijk om eisen te stellen aan de wachtwoorden. Dit maakt ze moeilijker te raden. Een nadeel is dan weer dat het risico toeneemt dat men het wachtwoord ergens opschrijft. Een goede oplossing is MFA of multifactorauthenticatie. Hierbij wordt een tweede beveiligingslaag toegevoegd. Men moet dan niet alleen een wachtwoord weten, maar men dient ook een zijn (bv. een irisscan) of een hebben (bv. een tokengenerator) te bewijzen.

Versleutelen van gegevens

Ondanks al deze acties zullen er nog steeds gegevens worden uitgewisseld, bijvoorbeeld door via internet gegevens te verzenden naar lokale gebruikers. Het is belangrijk dat deze gegevens niet kunnen worden onderschept en daarom worden ze versleuteld. Zo kan enkel de rechtmatige ontvanger de gegevens daadwerkelijk lezen. Het is ook belangrijk dat de sleutel niet kan worden geraden of niet kan worden bemachtigd via een brute-force-aanval. We spreken hier in de praktijk van AES of de Advanced Encryption Standard. Bij 256-bitsversleuteling zijn er namelijk 115.792.089.237.316.195.423.570.985.008.687.907.853.269.984.665.640.564.039.457.584.007.913.129.639.936 verschillende combinaties. Zelfs de Tianhe-2, een 33,86-petaflops-supercomputer in China en de snelste supercomputer ter wereld, zou miljoenen jaren nodig hebben om de sleutel te ontcijferen. Tot wanneer de kwantumcomputer er is, is dit met andere woorden ruimschoots voldoende veilig.

Back-ups

Online is 100% veiligheid nooit gegarandeerd, maar we kunnen het wel trachten te bereiken. Hoe dan ook blijft er altijd een risico bestaan en net daarom is het belangrijk om back-ups te maken. Dankzij dergelijke back-ups is het mogelijk om na een succesvolle aanval alle gegevens te herstellen. Zo hoeft men bij ransomware niet te betalen, maar kan men gewoon de back-up raadplegen. Minstens een dagelijkse back-up op een externe locatie is dan wel noodzakelijk.

Mensen als onderdeel van een goede IT-beveiliging

Mensen blijven een enorm zwak punt in de beveiliging. Zelfs met een goede IT-beveiliging kan een werknemer nog steeds het slachtoffer worden van CEO-fraude en manueel een bankrekeningnummer wijzigen. Daarom is het belangrijk om in te zetten op awareness, maar ook om duidelijke procedures uit te werken. Maak het bijvoorbeeld duidelijk dat een rekeningnummer niet op basis van een mail wordt aangepast, maar dat dit eerst telefonisch moet worden bevestigd. Daarnaast is het belangrijk om de juiste mensen de juiste toegangsrechten toe te kennen. Medewerkers die bepaalde gegevens niet nodig hebben, horen er ook geen toegang toe te hebben. Dit is overigens ook wat de Autoriteit Persoonsgegevens daarvan denkt, want zij hebben om deze reden eerder al boetes uitgedeeld aan bedrijven.

Veelgestelde vragen over de aansprakelijkheid bij hacking

  • Wat moet ik doen nadat ik slachtoffer ben geworden van een hack?

Het is belangrijk om heel rustig te blijven en zo nodig een expert op het gebied van cybercrime in te schakelen. De vervolgstappen zijn namelijk sterk afhankelijk van wat er exact is gebeurd. Ga samen met de expert na of er gegevens zijn gestolen. Als er persoonsgegevens zijn gestolen, moet men dit altijd melden aan de Autoriteit Persoonsgegevens. Bij ernstige gegevensdiefstallen moet men ook de betrokkenen op de hoogte brengen. Doe daarnaast altijd aangifte bij de politie en dicht zwakke plekken om nieuwe inbreuken te voorkomen.

  • Moet ik betalen als ik het slachtoffer ben geworden van ransomware?

Ga nooit meteen over tot betalen, maar schakel een expert in. Soms is betalen niet nodig en kan de schadelijke software worden verwijderd of kan een oude back-up worden gebruikt. In andere gevallen kan betalen de enige optie zijn – zelfs cyberverzekeraars gaan soms tot betalen over –, maar dan is het nog niet altijd zeker dat dit wel degelijk in oplossingen resulteert.

  • Bij een hack zijn er persoonsgegevens gestolen. Zal ik nu een boete krijgen?

Dit kan, maar dan moet er ook sprake zijn van een inbreuk. De Autoriteit Persoonsgegevens zal nagaan of de IT-omgeving voldoende beveiligd was. Hierbij houdt het ook rekening met de gevoeligheid van de gegevens en zelfs met de grootte van de onderneming. Wanneer een onderneming alle redelijke inspanningen heeft gedaan om een hack te voorkomen en nadien ook correct heeft gehandeld, zal het niet zomaar een boete krijgen. Het toont wel aan hoe belangrijk het is om van een goede IT-beveiliging te zijn voorzien.

  • Wat is een ethische hacker?

Een ethische hacker is iemand die, vaak als hobby, op zoek gaat naar zwakheden in beveiligde netwerken. Zij hebben echter niet de bedoeling om dit netwerk te kraken en zullen dergelijke zwakke punten ook melden. Vele organisaties belonen ethische hackers voor dergelijke meldingen. Vaak gaat het om een eervolle vermelding en enkele honderden euro's, maar bij kritische fouten worden soms hogere beloningen uitgereikt. Bij Google kennen ze bijvoorbeeld beloningen tot 50.000 dollar toe aan ethische hackers die erin slagen om aan spraakgegevens van mensen te geraken.

  • Wat is het verschil tussen een hacker en een cracker?

Binnen de hackersgemeenschap maakt men wel eens het onderscheid tussen hackers en crackers. Vooral de intentie speelt daarbij een rol. Zo handelen crackers vanuit een vernielzuchtig of crimineel oogpunt, terwijl hackers eerder constructief handelen. Taalkundig gezien wordt dit onderscheid echter niet gemaakt en is een hacker iemand die in een computer of netwerk inbreekt, ongeacht de bedoeling die men heeft.