Hoe cyberweerbaar zijn de websites van de notaris- en advocatenkantoren?

Onderzoeksrapport notaris- en advocatenkantoren Nederland, april 2021

Een onderzoek naar de basisbeveiliging van de websites van notaris- en advocatenkantoren

Managementsamenvatting

Hoe goed is mijn organisatie daadwerkelijk tegen cyberaanvallen beveiligd en krijgt het onderwerp voldoende aandacht? Voor een goede weerbaarheid tegen cyberaanvallen is het voor een kantoor belangrijk om te weten waar mogelijke zwakheden zitten en hoe hun IT-omgeving eruitziet. Vanuit Sygnius helpen wij kantoren inzicht te geven in hun cyberweerbaarheid en met als doel waar nodig te verhogen. Een belangrijke eerste stap hiervoor is het verkrijgen van inzicht in de huidige situatie. Middels dit inzicht kunnen wij samen met deze kantoren effectief snel bepalen wat mogelijke risico’s zijn en welke maatregelen passend zijn om de weerbaarheid te verhogen.

Dit rapport gaat uitgebreid in op ons onderzoek naar de basisbeveiliging van de websites van notaris- en advocatenkantoren. De beveiliging van een website verraadt regelmatig de staat van de algehele cyberbeveiliging van een IT-omgeving en is dus een interessante graadmeter. Op basis van ons onderzoek constateren wij dat bij meer dan de helft van de onderzochte websites gematigde of zelfs kritische beveiligingslekken zijn gevonden. Gezien het vitale belang van gegevens en data binnen deze branche is ons advies dat er meer aandacht komt voor de cyberweerbaarheid. Actie hierop is dan ook nodig om de cyberweerbaarheid te verhogen. Dit rapport gaat uitgebreid in op onze bevindingen en deze worden aangevuld met sectorspecifieke aanbevelingen.

Introductie

Notaris- en advocatenkantoren werken met uiterst vertrouwelijke gegevens. Gegevens die ook voor derden interessant kunnen zijn om te bemachtigen. Ook voor de interne organisatie wordt bij deze kantoren veelvuldig gewerkt met gevoelige gegevens. Dossierbeheer, facturatie, compliant blijven met wetgeving zoals de AVG: tegenwoordig allemaal van groot belang binnen het juridische domein. Daarnaast komen advocaten regelmatig met hun laptop, tablet en smartphone op talloze plekken in aanraking met verschillende (openbare) netwerken. Goedwerkende IT is absoluut noodzakelijk maar brengt uiteraard ook een nieuwe dimensie van veiligheidsvraagstukken rondom informatiebeveiliging en digitale bedreigingen.

Informatiebeveiliging heeft een directe link met een van de belangrijkste fundamenten van het beroep van notaris en advocaat: het beroepsgeheim. Hieraan wordt al de nodige aandacht aan besteed. Zo hebben in 2018 veertien grote Nederlandse advocatenkantoren een Legal Information Sharing and Analysis Centre opgericht (Legal-ISAC) voor het uitwisselen van informatie en ervaringen over cybersecurity.

Bij een branche waarin vertrouwelijkheid en integriteit van gegevens zo belangrijk is, moet men ‘cyberbewust’ zijn en moet weerbaarheid een belangrijke plaats innemen.

Al met al kan gesteld worden dat de notaris- en advocatenkantoren zich in het algemeen in redelijke mate bewust zijn van de noodzaak van hun informatiebeveiliging en hier ook al het een en ander aan doen. ‘Het een en ander aan doen’ is helaas onvoldoende. Als organisatie wil je inzicht hebben in hoeverre deze informatiebeveiliging op orde is. Zodoende heeft Sygnius, met behulp van haar websitescan, de actuele stand van de beveiliging van de websites van de notaris- en advocatenkantoren inzichtelijk gemaakt. Dit rapport gaat dieper in op de vraag in hoeverre de bescherming van verschillende websites en domeinen van de notaris- en advocatenkantoren op orde zijn. Dit rapport sluit af met een conclusie en enkele aanbevelingen.

Websitescans

De relevantie om websites te scannen wordt mede gevormd door twee redenen:

De beveiliging van een website geeft doorgaans een goede indicatie van de mate waarin aandacht is besteed aan de algehele beveiliging van de IT-infrastructuur. Een website kent namelijk meerdere fundamentele beveiligingseisen die, als aan deze niet wordt voldaan, het aanvallers erg makkelijk kunnen maken het netwerk binnen te dringen.
Websites zijn vaak de eerste plek waar aanvallers zoeken naar potentiële beveiligingslekken. Ze vormen dus ook wel het ‘topje van de ijsberg’ binnen de IT-beveiliging.

De beveiliging van een website geeft een goede indruk van de mate waarin er aandacht is besteed aan de algehele beveiliging van de IT-infrastructuur.

Voor ons onderzoek zijn alle websites van de notaris- en advocatenkantoren onderzocht en gescand door middel van aan 20 verschillende beveiligingstests. Dit zijn passieve tests die vergeleken kunnen worden met van buiten naar een huis kijken of er deuren en ramen openstaan of dure spullen in het zicht liggen. De resultaten van deze websitescans zijn vervolgens zorgvuldig vergeleken om zodoende een scherp beeld te schetsen van het algehele veiligheids-landschap van de websites van de notaris- en advocatenkantoren.

Resultaten

Kijken we naar de gemiddelde risico-score van alle notaris- en advocatenkantoren (op een schaal van 0 tot 10, waarbij een score van 0 een hoge cyberweerbaarheid aangeeft, oftewel de website loopt weinig risico), dan zien we een gemiddelde score van 3,91.

In algemene zin laat dit onderzoek zien dat er ook vanuit de techniek bij de notaris- en advocatenkantoren enige aandacht is voor veiligheid binnen de digitale omgeving. Tevens zien we ook dat ze achterlopen bij andere branches. Tegelijk moeten we aangeven dat een gemiddelde slechts een beperkte weergave is, omdat het om de zwakste schakel gaat: 10 goede tests kunnen het negatieve effect van 1 slecht resultaat immers niet opheffen, want een kwaadwillende buitenstaander heeft slechts 1 opening nodig.

Een gemiddelde score over een set van tests kan een verkeerd gevoel van veiligheid geven. Kijk altijd naar individuele zwakheden in een IT-omgeving! Een kwaadwillende derde heeft slechts 1 opening nodig.

Het gemiddelde van alle onderzochte websites scoort weliswaar lager dan de eerder aangegeven grens van 4, het merendeel van alle gescande websites (58%) behoort wel degelijk tot de categorie met een score van 4 of hoger, dus kwetsbaar voor cyberaanvallen. Met name deze websites, en mogelijk de gehele IT-omgevingen rond deze websites, vragen om aandacht.

Van de 88 geteste websites scoort slechts 42% een score lager dan 4, wat beperkte risico’s aangeeft. Hier kunnen echter nog steeds kwetsbaarheden zijn die een grote impact hebben op de organisatie. 58% van de onderzochte websites is onveilig en dat vraagt om actie.

Ook bij een klein risico, kan de impact erg groot zijn! Het is belangrijk om niet alleen naar de risico’s te kijken, maar vooral welke impact ze kunnen hebben.

Websites en risicoscores

Wanneer wordt uitgezoomd en gekeken wordt naar de verdeling van de scores van de websites valt ten eerste op dat er relatief weinig websites zijn met een hele lage dan wel een hele hoge risico-score. Echter is wel duidelijk te zien dat de nadruk binnen de verdeling ligt op de websites die een score van 4 of hoger hebben. Deze observatie benadrukt nogmaals eerdergenoemd oordeel dat het merendeel van de websites, namelijk 58%, van de gescande notaris- en advocatenkantoren meer aandacht vereist.

Heeft grootte van kantoor invloed op cyberweerbaarheid?

Ja dit heeft invloed. Wij hebben gekeken naar de score van de websites gecategoriseerd op het aantal werknemers van het kantoor. De kantoren zijn onderverdeeld in drie categorieën: kleinere kantoren met 0-10 werknemers (31 van de 88), middelgrote kantoren met 10-50 werknemers (29/88) en de grotere kantoren met 50+ werknemers (28/88).

Zoals te zien is heeft ongeveer 65-70% van de kantoren met 0-10 en 10-50 werknemers een score van 4 of hoger. Van de kantoren met meer dan 50 werknemers, is dit slechts 40%. Een aanzienlijk verschil. Grote kantoren doen het dus beter op het gebied van cyberweerbaarheid.

Uit het onderzoek volgt dat de cyberweerbaarheid bij veel kleine en middelgrote kantoren nog vaak tekortschiet. Deze kantoren, meestal zonder eigen IT-afdeling, zijn bovendien veel interessanter voor een hacker dan ze zelf denken maar het ontbreekt hier vaak aan kennis en capaciteit om de cyberweerbaarheid naar het juiste niveau te krijgen.

Meest voorkomende risico’s

In ons onderzoek zijn enkele risico’s veel teruggekomen en deze worden hierna verder toegelicht om een beeld te schetsen van concrete mogelijke organisatie- en/of bedrijfsrisico’s. De tests die behandeld worden zijn de slechtst scorende tests of tests waar kritische beveiligingsrisico’s mee gemoeid gaan:

Open poorten: Het falen van deze tests impliceert dat er een poort (‘een deur van het gebouw’) open staat. Hierdoor kan een hacker niet alleen toegang krijgen tot het netwerk, hij kan mogelijkerwijs zelfs bij de kern van het netwerk en zou in theorie bijvoorbeeld toegangsrechten tot vertrouwelijke documenten aan kunnen passen. Belangrijk is dus om deze poorten te sluiten of om zogenaamde ‘whitelisting’ toe te passen waarmee vertrouwde bronnen worden toegestaan.
SSH: Wat deze test onderzoekt is of specifiek de SSH-dienst aangeboden wordt op het onderliggende systeem. Deze dienst zorgt ervoor dat op afstand beheer kan worden uitgevoerd op een server. Dit beheer op afstand biedt flexibiliteit, maar ook een risico. Daarom bevelen wij altijd aan deze allen aan te bieden aan vertrouwde bronnen d.m.v. ‘whitelisting’.
Zoekmachine-functie: Deze test onderzoekt of informatie over de website is vrijgegeven in een zogenaamde robots.txt file. Deze file gebruiken zoekmachines voor het indexeren van hun zoekresultaten. Deze op het oog onbruikbare informatie kan voor een aanvaller wel degelijk bruikbaar zijn om de website binnen te dringen of zelfs offline te halen. Advies is dus om geen locaties van gevoelige applicaties in een robots.txt file te vermelden.
Meta-data informatie: Een onsuccesvolle test betekent dat de basisprincipes voor de configuratie van een website niet op orde zijn en dat te veel informatie prijs wordt gegeven over meta-data, zoals bijvoorbeeld computergegevens of de locatie waar deze computer staat. Wederom voor een aanvaller kritieke informatie om zodoende tot de kern van een website door te kunnen dringen,

Over Sygnius

Als specialist in informatiebeveiliging, met een focus op het MKB, helpt Sygnius kantoren om hun cyberweerbaarheid te verhogen. Dit start door het geven van inzicht. Deze inzichten helpen bij het maximaal benutten van de technologische oplossingen, terwijl tegelijkertijd oog is voor de risico’s die dat met zich meebrengt. Met onze ervaring hebben wij de kennis om potentiële security-risico’s te vertalen naar de mogelijke impact op organisaties. Middels deze manier komen wij tot een succesvolle en pragmatische aanpak en laten security-oplossingen voor u werken.

Graag lichten wij ons rapport verder toe en helpen we uw organisatie bij het verbeteren van de cyberweerbaarheid. Neem contact op met info@sygnius.nl voor meer informatie.