Groene Hart Ziekenhuis pakt hacker aan

28-11-2012 11:57 | Door Rik Sanders | Lees meer artikelen over: Hacking, EPD | Lees meer over de bedrijven: KLPD, Fox-IT | Er zijn 6 reacties op dit artikel | Permalink

Het Groene Hart Ziekenhuis uit Gouda heeft aangifte bij de politie gedaan naar aanleiding van de digitale inbraak waarbij gegevens over 47 patiënten zijn gedownload. De Nationale Recherche heeft inmiddels een verdachte aangehouden, een 26-jarige man uit Nieuwerkerk aan den IJssel. Hoe de hacker aan de benodigde inloggegevens kwam, is nog onduidelijk. Volgens het ziekenhuis is het nieuwe epd-systeem niet in gevaar geweest.

De directie van het Goudse ziekenhuis laat in een verklaring het volgende weten: 'In de periode tussen 26 september en 7 oktober zijn meerdere malen zonder onze toestemming gegevens gedownload vanaf een van onze servers. Natuurlijk zijn wij als ziekenhuis verantwoordelijk voor het veiligstellen van de medische gegevens van onze patiënten. Maar dat betekent niet dat iemand zich zomaar zonder onze toestemming daar toegang toe mag verschaffen. Ter bescherming van deze patiëntgegevens en  de feiten die uit het onderzoek naar de inbraak naar voren kwamen, waren reden voor Fox-IT, politie, justitie en het Nationaal Cyber Security Centrum (NCSC) om ons te adviseren aangifte te doen.'

Beslaglegging

Het team High Tech Crime van het KLPD is in oktober een onderzoek gestart nadat berichten in de media verschenen waaruit bleek dat een computersysteem van het Groene Hart Ziekenhuis was gehackt. Het onderzoek wordt geleid door het Landelijk Parket van het Openbaar Ministerie.

De Nationale Recherche hield op 27 november een 26-jarige man aan op verdenking van betrokkenheid bij een digitale inbraak in een computersysteem van het Groene Hart Ziekenhuis in Gouda. Na de computerkraak is een grote hoeveelheid patiëntgegevens uit het systeem weggenomen. De woning van de verdachte in Nieuwerkerk aan den IJssel is inmiddels doorzocht. Daarbij heeft de Nationale Recherche beslag gelegd op computers en digitale gegevensdragers, meldt het Openbaar Ministerie.

Ingezien

Overigens gaat het om patiëntengegevens van voor 2008 die in 2010 op een aparte server waren geparkeerd. De hacker heeft pagina's uit 47 patiëntendossiers ingezien en/of gekopieerd, met daarin bijvoorbeeld medische diagnostiek, analyses, brieven en behandeling. Het betreft papieren dossiers van de afdeling Interne Geneeskunde van voor 2008 die daarna gedigitaliseerd zijn.

Verder gaat het om een gehackt bestand uit 2008 met naw-gegevens en bsn-combinaties van 496.176 patiënten, en een databestand van 15.262 initialen, achternamen en patiëntnummers afkomstig van de afdeling Cardiologie en Kindergeneeskunde. Volgens het ziekenhuis slaagde de inbraakpoging dankzij ongeautoriseerd gebruik van inloggevens. Hoe dit heeft kunnen gebeuren, wordt nog onderzocht. In samenwerking met Fox-IT is er ook een plan opgesteld dat momenteel wordt ingevoerd. Doel van dit traject is het veiligheidsniveau van het ziekenhuisnetwerk op een hoog niveau te brengen.

Epd niet in gevaar

Het ziekenhuis benadrukt dat het elektronisch patiëntendossier niet direct toegankelijk was vanaf de server waarop is ingebroken. Uit onderzoek zou gebleken zijn dat er geen epd-gegevens zijn ingezien. Het beveiligingsysteem vereist dat alle gebruikers hun wachtwoord frequent wijzigen. Het Groene Hart Ziekenhuis nam in april 2011 Norma, het epd-systeem van leverancier MI Consultancy, in gebruik na een driejarige, stapsgewijze implementatie.

Reacties op dit artikel
De redactie vindt deze reactie: MatigGerard, 28-11-2012 12:33
Wat moet die gast nu met medische gegevens van mensen die hij niet kent
De redactie vindt deze reactie: OKBart, 28-11-2012 13:50
Deze gast toont aan dat het EPD van af buiten toegankelijk is. Hij moet beloond worden i.p.v. bestraft. Straks ligt mijn EPD op straat! En denk nu niet dat onze EPD-toegang van buiten niet toegankelijk is! In DWDD was een gast die (rollator-generatie) denkt dat EPD 2.0 veilig beschermt is! Slaap lekker, dus niet..
De redactie vindt deze reactie: OKICT-er, 28-11-2012 14:05
Vreemde gedachtekronkel van de directie van het Groene Hart Ziekenhuis. “Het ziekenhuis benadrukt dat het elektronisch patiëntendossier niet direct toegankelijk was”, maar het gaat wel om “dossiers van de afdeling Interne Geneeskunde van voor 2008 die daarna gedigitaliseerd zijn” en “op een aparte server” zijn gezet, en nog wat meer bestanden.
 
In gewoon Nederlands, een deel van het elektronisch patiëntendossier is gehackt.
 
Ben benieuwd of de directie de beheerders van de gebruikte systemen ook worden aanpakt door de directie.
Verder zou de raad van commissarissen door externen moeten laten bekijken of de directie adequaat beveiligingsbeleid heeft ontwikkeld en daar goed op toeziet
 

 
De redactie vindt deze reactie: OKHenri Koppen, 28-11-2012 15:36
EPD is niet 1 systeem, maar een soort software. Het is ook niet een centraal iets.
 
Je kunt dus niet praten als "het EPD" maar meer als "een EPD".
 
http://nl.wikipedia.org/wiki/Elektronisch_pati%C3%ABntendossier
 
Ge-hacked worden kan iedereen gebeuren, maar simpel ge-hacked worden is vaak een combinatie van onwetendheid en onkunde.
De redactie vindt deze reactie: OKErwin, 28-11-2012 15:41
"Volgens het ziekenhuis slaagde de inbraakpoging dankzij ongeautoriseerd gebruik van inloggevens"
 
en
 
"Uit onderzoek zou gebleken zijn dat er geen epd-gegevens zijn ingezien. Het beveiligingsysteem vereist dat alle gebruikers hun wachtwoord frequent wijzigen"
 
Dus de Hacker is binnengekomen door UserID en Wachtwoord van een Gebruiker te 'misbruiken', en toegang tot het volledige EPD vereist een UserID en Wachtwoord. Hoe kan men dan zeker zijn dat de Hacker ook daar niet in is geweest ?
 
Doekje voor het bloeden dus... Echte onderzoeksgegevens zullen wel geheim zijn.
 
De redactie vindt deze reactie: OKJan, 29-11-2012 10:53
Volgens Webwereld ging het om toegang tot een ftp server waar een te makkelijk wachtwoord op zat en hierachter ruim 493 duizend patiëntengegevens waren in te zien. Hij bleek gegevens van ruim 40 patienten te hebben gedownloaded.
De betreffende persoon had dit bij Brenno de Winter gemeld en zo te zien is het eerder een hacktivist dan iemand met moedwillig kwade bedoelingen.
 
Het is geenszins verdedigbaar dat zoveel patiëntengegevens via een simpele ftp toegankelijk was. Dit voorbeeld spreekt ook boekdelen over de instelling van deze zorginstelling zelf en het omgaan met patiëntengegevens.
7 vacatures
Senior adviseur cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Analist / Onderzoeker cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Co\u00f6rdinator cybersecurity analysis

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Senior Securityspecialist (met co\u00f6rdinerende taken)

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1575 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1272 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 1000 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 528 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0