Van Wingerden werkt bij Fox-IT als Principal CIRT Consultant en houdt zich vooral bezig met het onderzoeken van cyberincidenten. Of, zoals hij het zelf uitdrukt, “met objectieve waarheidsvinding". Hij leidt in het Verbondsgebouw een deelsessie over cyberaansprakelijkheid en deelt daarin onder meer de ervaringen van Incident Responders. Niet voor niets heeft hij op het eerste sheet van zijn presentatie de zinsnede ‘Wat Incident Responders juristen liever vandaag dan morgen vertellen’ geschreven. Hij benadrukt het onderscheid in de diverse rollen. “Wij nemen een deel van de beeldvorming op ons. De oordeelsvorming laten we bewust bij juristen en schade-experts.”
Feiten, aannames en risico's
Van Wingerden begint zijn inleiding met een uitleg over Incident Response in zestig seconden. “Wij onderscheiden feiten van aannames en van risico's. Dat doen we aan de hand van drie vragen. Wat is er aantoonbaar gebeurd? Wat is aannemelijk? En wat valt niet uit te sluiten? Die drie vragen schuren vaak met de aansprakelijkheid. Want er blijven vaak onzekerheden bestaan, terwijl je wel de risico's, meldplichten en communicatie moet afwegen.”
Publieke onrust
Hij neemt de deelnemers aan de sessie vervolgens via meerdere casussen mee naar de dagelijkse praktijk. "Als er een datalek is geweest, kan dat leiden tot publieke onrust", benadrukt hij. “We hebben de afgelopen tijd meerdere voorbeelden in de media voorbij zien komen, waarbij datalekken tot onrust leidden. Soms heb je alleen zicht op het volume van de data die is gelekt en is het niet mogelijk om vast te stellen van welke personen specifieke data is geraakt. Dat maakt de communicatie erg onzeker: ‘er is een kans dat jouw data is gelekt, maar dat weten we niet zeker’. Wat communiceer je dan? Je hebt immers nog geen volledig beeld van wat er precies is gebeurd.”
Bas van Wingerden (Fox-IT): "Soms is het niet mogelijk om vast te stellen van welke personen specifieke data is geraakt. Dat maakt de communicatie erg onzeker"
Meldplichten
Hij wil er maar mee zeggen dat de communicatie vaak is gebaseerd op risico's in plaats van op zekerheden. “Je kunt niet alles uitsluiten en juist dat aspect leidt al snel tot publieke onrust. Zeker als de media er lucht van krijgen en melden dat er bij jou een datalek is geweest, dan móet je wel communiceren.”
Daarnaast heeft een bedrijf met meldplichten te maken. Bijvoorbeeld bij de Autoriteit Persoonsgegevens (AP). Van Wingerden: “Je moet binnen 72 uur na het ontdekken van een datalek een melding doen bij de AP, maar wie vertel je wat en wanneer? En ga je aangifte doen? Wanneer en hoe informeer je je stakeholders, zoals klanten, werknemers en andere betrokkenen? Bij een vermoeden? Of pas als je de impact kent? Of, wat we de laatste tijd steeds vaker zien gebeuren, pas als er media-aandacht is? Allemaal keuzes die je vaak moet maken, terwijl het forensisch beeld nog onvolledig is.”
Pers voor de deur
Zijn gezicht verraadt wat zijn advies zou zijn. “Als de pers letterlijk voor de deur staat, ben je rijkelijk laat.”
Grote bedrijven hebben meestal wel een protocol voor dergelijke gevallen, maar Van Wingerden waarschuwt ook voor ‘te smalle communicatie'. “Als je zes miljoen klanten hebt en van 100.000 is er data gelekt, dan levert dat een dilemma op. Te smalle communicatie of een latere bijstelling maakt de juridische en reputatierisico's echter nog groter. Onze adviezen zijn in zo'n geval daarom vooral gericht op het beperken van vervolgrisico's. Wij noemen dat defensieve logica.”
Data is verwijderd
Tijd voor casus 2: Data is verwijderd. “Kun je data eigenlijk wel verwijderen”, vraagt hij de zaal. “Jazeker. Dat kan inderdaad”, antwoordt een van de deelnemers. “Is er dan nog wel sprake van een datalek?”, vraagt Van Wingerden weer. “In de praktijk zien wij soms dat organisaties zeggen dat een incident is opgelost zodra de data is ‘teruggehaald’ of verwijderd. Maar vanuit forensisch perspectief ligt dat meestal genuanceerder.”
Het komt simpelweg op vertrouwen neer. “Vertrouw je een aanvaller? Als een aanvaller weet dat data waardevol is, kan hij ervoor kiezen een kopie te maken. Of hij slaat de data op een andere plek op. Je weet niet wat er met die data is gebeurd. Verwijderd wil niet zeggen dat het echt weg is.”
"Je weet niet altijd wat er met de data is gebeurd. Verwijderd wil niet zeggen dat het ook écht weg is"
Juridisch verdedigbaar?
Volgens Van Wingerden zijn verklaringen van een aanvaller nooit forensisch bewijs, maar spelen ze in de praktijk wel vaak een rol. “Je kunt je ook afvragen of het juridisch verantwoord is? In deze specifieke casus is naar buiten gebracht dat de aanvaller heeft gezegd dat de data is verwijderd. In dergelijke situaties is het echter lastig om met zekerheid uit te sluiten dat er wel of niet sprake is geweest van een datalek. Bovendien zeg je nu ook dat je hebt betaald. Dat soort keuzes vergen een zorgvuldige afweging.”
In zijn ogen verschuift de discussie in deze casus van feiten naar aannemelijkheid. En hij vraagt zich hardop af of dat juridisch verdedigbaar is?
Factuurfraude
De laatste casus die hij behandelt, heet Business Email Compromise. Deze vorm wordt vaak geassocieerd met factuurfraude, maar is in de praktijk breder inzetbaar. Een aanvaller neemt het e-mailverkeer over of doet zich voor als een leverancier. Bijvoorbeeld om betalingen om te leiden, maar ook om toegang te krijgen tot systemen of interne processen verder te compromitteren. In sommige gevallen wordt het zelfs gebruikt als eerste toegangspunt voor bredere aanvallen. “De schade is duidelijk”, aldus Van Wingerden, “maar de toedracht en verantwoordelijkheid vaak niet.”
De vraag wie aansprakelijk is, hangt sterk af van de omstandigheden. Waaronder interne controles, de communicatie tussen partijen en het moment waarop signalen zijn gemist. “Dat maakt dit soort casussen juridisch complex.”