Geen versleuteling, geen netwerkscheiding, geen spoedalarm? Ransomware-aanval op het lab van Eurofins toont zwakke plek Nederlandse gezondheidszorg en het nieuwe normaal voor diens cliënten: wantrouw élk contact van je zorgaanbieders.
De ransomware-hack in juli bij een Nederlands lab van het Franse Eurofins, Clinical Diagnostics LCPL, die gisteren pas bekend werd gemaakt, heeft juist daarom veel stof doen opwaaien. Wat vooral ook steekt is de ‘inadequate encryptie van gevoelige gegevens. De aanvallers kregen toegang tot namen, adressen en medische testresultaten. Dit is een ernstige tekortkoming op het gebied van gegevensbeveiliging. Wanneer je met gezondheidsdata werkt, moet je alle gegevens goed versleutelen,’ reageert Marijus Briedis, Chief Technology Officer bij NordVPN.
Vooral bij screeningsdata van kankeronderzoeken gaat het om uiterst vertrouwelijke informatie. ‘Door persoonlijke gegevens te combineren met medische resultaten ontstaat de ideale situatie voor gerichte phishing-aanvallen. Deze criminelen hebben nu genoeg informatie om zich geloofwaardig voor te doen als zorgverleners’, stelt Briedis. ‘Het grootschalig stelen van gezondheidsdata komt steeds vaker voor, omdat de zorgsector niet snel genoeg meebeweegt met moderne beveiligingsmaatregelen.’
Dat de gegevensdiefstal veel verder ging dan het bevolkingsonderzoek was al bekendgemaakt. Nu beginnen ook andere getroffen organisaties details te geven. ‘Het feit dat zowel persoonlijke als medische informatie eenvoudig toegankelijk was, wijst erop dat Clinical Diagnostics belangrijke beveiligingsprincipes, zoals netwerkscheiding, niet goed heeft toegepast. Dit is een fundamenteel probleem in hun systeemontwerp,’ aldus Briedis.
Zorgsector heeft een probleem
Eerder meldde Computable al dat meer dan vijftigduizend medische apparaten in Nederland die in verbinding staan met internet zeer slecht beveiligd zijn. In sommige gevallen gebruiken deze systemen helemaal geen authenticatiemethoden of zeer zwakke wachtwoorden (admin, demo, secret, 123456, 123456789). Ook bleek dat patches niet altijd werden toegepast. Of dat ook de ingang was van deze aanval, wil of kan Eurofins nog niet zeggen. Het lijkt er verder op dat er bij het lab geen gegevens zijn gewijzigd, ‘voor zover bij ons bekend zijn de gegevens ingezien en gekopieerd,’ zegt het bedrijf tegen Computable.
De hack ‘onderstreept pijnlijk hoe kwetsbaar onze zorgsector is voor digitale dreigingen. Het gaat hier niet alleen om gestolen gegevens, maar om een directe aantasting van de persoonlijke levenssfeer en het vertrouwen van honderdduizenden,’ reageerde Anouck Teiller, chief strategy officer bij het Europese cybersecuritybedrijf HarfangLab.
‘Uit recente cijfers blijkt dat de zorg de afgelopen zes maanden de hardst getroffen sector is, met gemiddeld 3.138 aanvallen per week.’ ‘Kritieke infrastructuur, waaronder ziekenhuizen en laboratoria in heel Europa, is steeds vaker doelwit van zowel criminele als geopolitiek gemotiveerde actoren,’ voegde Teiller er nog aan toe.
Verwacht phishing & spoofing
‘De gestolen gegevens zijn voor criminelen langdurig waardevol, waardoor het risico op identiteitsdiefstal of frauduleuze activiteiten niet snel verdwijnt,’ zo waarschuwt NordVPN. Daarom moeten de honderdduizenden personen van wie de data gestolen kan zijn ‘ervan uitgaan dat elke medische communicatie verdacht is, tenzij het via officiële kanalen wordt bevestigd.’
Slachtoffers wordt aangeraden ‘meteen tweefactorauthenticatie in te stellen voor al hun zorggerelateerde accounts, zoals die van hun huisarts of ziekenhuisportalen. Daarnaast moeten ze altijd rechtstreeks contact opnemen met hun zorgverlener, en nooit via (verdachte) links of telefoonnummers. Ook is het belangrijk dat ze hun verzekeringsafschriften goed in de gaten houden voor frauduleuze medische claims.’
Laat de Autoriteit Persoonsgegevens het bedrijf Eurofins een boete van tientallen miljoen opleggen, ongeveer 1000 euro per gelekt persoonsdossier.
Maak van hen een voorbeeld zodat duidelijk wordt dat we niet accepteren dat dit soort gevoelige medische informatie niet goed beveiligd wordt.
of in een glazen kooi berechten.
verplicht naar het front sturen.
uit raam gooien.
of heel lang samen met oudlid in 1 cel.
IT komt van ver, maar ja ik ben ook oud.
Ik weet nog het beleid van 2006 om data nooit weg te gooien, omdat het goedkoper was data altijd zonder meer te bewaren dan te classificeren.
en dan zou je je nu met doelbinding, minimalisatie en nauwkeurigheid bezig moeten houden. Pas je voorwaarden toe op journalistiek dan kun je je afvragen hoe de suggestie met vraagteken: “Geen versleuteling, geen netwerkscheiding, geen spoedalarm?” samen met de stelling “wantrouw élk contact van je zorgaanbieders.”
zich daarmee verhoudt.
Slachtoffers op basis van de hack meteen 2FA in te laten stellen voor al hun zorggerelateerde accounts klinkt niet logisch als juist duidelijk is dat er geen wachtwoorden zijn gelekt.
Gestolen data kan verder nog best goed versleuteld zijn geweest, maar je moet toch ergens in de architectuur de data kunnen interpreteren en daar is die kwetsbaar.
Vanachter zijlijn ongenuanceerd roepen is blijkbaar niet meer alleen mij voorbehouden 😉
Vroeger stond alles op mainframes waar je alleen fysiek bij kon komen en waarvan bijna niemand informatie had over de werking ervan.
Tegenwoordig moet alles beschikbaar zijn via internet en draaien servers op open-source of eenvoudig verkrijgbare commerciële besturingssystemen die op commodity hardware draaien die iedereen ook thuis heeft. Dat maakt het heel eenvoudig voor criminelen om kwetsbaarheden te vinden en uit te buiten.
Als daarnaast de beveiliging ook nog eens een ondergeschoven kindje is (want het kost veel geld om het goed te beveiligen) dan krijg je dit soort grootschalige lekken.
Wij moeten als maatschappij anders omgaan met dit soort gevoelige informatie. Te beginnen met het uitdelen van astronomische boetes bij het niet goed beveiligen ervan.
In 2024 legde AP voor zo’n €328 miljoen aan boetes op terwijl de zorgsector in dat jaar 112 datalekken had gemeld maar er is nog niks betaald want de toezichthouder heeft maar een klein team juristen en de bedrijven hebben teams van advocaten die het jarenlang kunnen rekken. Dus ja, de zorgsector heeft een probleem maar de toezichthouder heeft een nog groter probleem door de juridische kosten-baten analyse van schikken of boetes verlagen want het gaat om een Oudhollandse Zwarte Pieten:
1. Bestuur wijst naar IT-afdeling: “We hadden beleid, zij hebben het niet uitgevoerd.”
2. IT-afdeling wijst naar de leverancier: “Updates zijn niet geleverd.”
3. Leverancier wijst naar contract wat geen securitypatches bevat.
4. Juristen proberen schade voor rechtspersoon te beperken.
5. Slachtoffers wachten nog op heldere communicatie.
Op de website meldt Clinical Diagnostics Nederland trouwens dat ze het incident direct gemeld hebben bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC). Dat klinkt als: “We hebben het gemeld, zij hebben er niks mee gedaan” om te beginnen bij punt 1. Als AP onderbezet is en NCSC nog druk met de hack bij OM dan is het excuus nog plausibel ook al wordt daarmee de schade niet verzacht. Ik sla punt 2 tot en met 4 even over en ga direct voor deur 5 want tot 2020 bevatte het BTW-nummer voor eenmanszaken het volledige BSN van de ondernemer.
Het duurde jaren dat een nieuw BTW-identificatienummer niet direct herleidbaar is tot een BSN zoals dat het ook jaren duurde om de BTW op groente en fruit te verlagen. Maar de BTW verhogen was geen probleem waardoor de overheid niet erg geloofwaardig meer is. Hetzelfde geldt trouwens voor cybersecuritybedrijven want meer dan vijftigduizend medische apparaten die in verbinding staan met Internet maar geen brug of toegang hebben tot medische gegevens is geen probleem. Een smartwatch is tenslotte al een medisch apparaat dus de open deur intrappen van IoT zegt iets over de onkunde van deze adviseurs.
Advies over de netwerk segmentatie is prima maar geen nieuws en dat geldt ook voor data classificatie want Dino vergeet alle oude koeien in de sloot. Want ik hou al jaren de verzekeringsafschriften goed in de gaten omdat frauduleuze medische claims van zorgverleners komen die met een vork proberen te schrijven. Want in de zelfhulp en kameradenhulp gaat het om regie op de eigen medische gegevens waarin de overheid al jaren faalt.
Een fundamenteel probleem in het systeemontwerp is niet luisteren naar de patiënt en de zorgverlener want de huidige koers van de overheid is een doodlopende weg. De directe aantasting van de persoonlijke levenssfeer en het vertrouwen van honderdduizenden wordt niet bepaald door een hack want privacy wordt overschat als je je leven op het spel staat. Ik roep niet vanaf de zijlijn maar de frontlijn want ik ben een zorgverlener en ik wantrouw daarom niet het contact maar het contract. Eén letter verschil in de relatie gaat om een sector waarin uiteindelijk iedereen werkzaam is.
Alleen omdat je het meldt wil niet zeggen dat je er zonder boete vanaf komt. Sterker nog: het kan als een schuldbekentenis worden opgevat.
Laat de AP lekker doorgaan met het innen van die boetes. Wat in het vat zit verzuurt niet.
Voldoen aan wettelijke verplichting is juridisch geen schuldbekentenis want het doel van de melding gaat om risicobeheersing en niet om de bewijsvoering. Deze communicatie wordt daarom gedaan door advocaten zodat het geen erkenning van aansprakelijkheid wordt. Kennisgeving van een feit zonder informatie over de oorzaken gaat vooral om de compliance en is daarom niet de heldere communicatie die verwacht wordt.
Wraakzuchtig roepen over boetes die pas in beeld komen als uit onderzoek blijkt dat een organisatie nalatig is zal niet helpen in de risicobeheersing. Maar bovenal kunnen organisaties in bezwaar gaan tegen een opgelegde boete of ze kunnen deze bij de rechter aanvechten. In 2024 werden er 209 bezwaren ontvangen en liepen er 60 beroepszaken. De verdediging van een besluit kost geld en tijd terwijl de kraan blijft lekken want het aantal meldingen van medische datalekken is niet afgenomen.
In 2024 werd er €466 miljoen aan boetes voor snelheidsovertredingen opgehaald en is het er iets veiliger op geworden want er vielen 9 doden minder dan in 2023 door een verkeersongeval. Dit geldt niet voor AVG-boetes omdat deze niet tot een aantoonbaar effect op het terugdringen van incidenten leiden. Wraak als motief lijkt me contraproductief aan de risicobeheersing als het om een koers gaat.
Heeft niks met wraakzucht te maken. Je wil voorkomen dat organisaties qua beveiliging met de pet ernaar gooien omdat ze weten dat er toch geen repercussies zijn.
En de hoogte van de boete hangt natuurlijk af van de mate van nalatigheid. Als de hackers een onbekende zero-day gebruiken dan zal de boete veel lager zijn dan wanneer de gehackte organisatie nooit zijn software update en “admin” als wachtwoord gebruikt.
Maar er moet altijd een boete zijn omdat zelfs als je er weinig aan kan doen had je ook maatregelen kunnen treffen die de schade beperken, zoals gewoon geen herleidbare persoonsgegevens opslaan.