Geen versleuteling, geen netwerkscheiding, geen spoedalarm? Ransomware-aanval op het lab van Eurofins toont zwakke plek Nederlandse gezondheidszorg en het nieuwe normaal voor diens cliënten: wantrouw élk contact van je zorgaanbieders.
De ransomware-hack in juli bij een Nederlands lab van het Franse Eurofins, Clinical Diagnostics LCPL, die gisteren pas bekend werd gemaakt, heeft juist daarom veel stof doen opwaaien. Wat vooral ook steekt is de ‘inadequate encryptie van gevoelige gegevens. De aanvallers kregen toegang tot namen, adressen en medische testresultaten. Dit is een ernstige tekortkoming op het gebied van gegevensbeveiliging. Wanneer je met gezondheidsdata werkt, moet je alle gegevens goed versleutelen,’ reageert Marijus Briedis, Chief Technology Officer bij NordVPN.
Vooral bij screeningsdata van kankeronderzoeken gaat het om uiterst vertrouwelijke informatie. ‘Door persoonlijke gegevens te combineren met medische resultaten ontstaat de ideale situatie voor gerichte phishing-aanvallen. Deze criminelen hebben nu genoeg informatie om zich geloofwaardig voor te doen als zorgverleners’, stelt Briedis. ‘Het grootschalig stelen van gezondheidsdata komt steeds vaker voor, omdat de zorgsector niet snel genoeg meebeweegt met moderne beveiligingsmaatregelen.’
Dat de gegevensdiefstal veel verder ging dan het bevolkingsonderzoek was al bekendgemaakt. Nu beginnen ook andere getroffen organisaties details te geven. ‘Het feit dat zowel persoonlijke als medische informatie eenvoudig toegankelijk was, wijst erop dat Clinical Diagnostics belangrijke beveiligingsprincipes, zoals netwerkscheiding, niet goed heeft toegepast. Dit is een fundamenteel probleem in hun systeemontwerp,’ aldus Briedis.
Zorgsector heeft een probleem
Eerder meldde Computable al dat meer dan vijftigduizend medische apparaten in Nederland die in verbinding staan met internet zeer slecht beveiligd zijn. In sommige gevallen gebruiken deze systemen helemaal geen authenticatiemethoden of zeer zwakke wachtwoorden (admin, demo, secret, 123456, 123456789). Ook bleek dat patches niet altijd werden toegepast. Of dat ook de ingang was van deze aanval, wil of kan Eurofins nog niet zeggen. Het lijkt er verder op dat er bij het lab geen gegevens zijn gewijzigd, ‘voor zover bij ons bekend zijn de gegevens ingezien en gekopieerd,’ zegt het bedrijf tegen Computable.
De hack ‘onderstreept pijnlijk hoe kwetsbaar onze zorgsector is voor digitale dreigingen. Het gaat hier niet alleen om gestolen gegevens, maar om een directe aantasting van de persoonlijke levenssfeer en het vertrouwen van honderdduizenden,’ reageerde Anouck Teiller, chief strategy officer bij het Europese cybersecuritybedrijf HarfangLab.
‘Uit recente cijfers blijkt dat de zorg de afgelopen zes maanden de hardst getroffen sector is, met gemiddeld 3.138 aanvallen per week.’ ‘Kritieke infrastructuur, waaronder ziekenhuizen en laboratoria in heel Europa, is steeds vaker doelwit van zowel criminele als geopolitiek gemotiveerde actoren,’ voegde Teiller er nog aan toe.
Verwacht phishing & spoofing
‘De gestolen gegevens zijn voor criminelen langdurig waardevol, waardoor het risico op identiteitsdiefstal of frauduleuze activiteiten niet snel verdwijnt,’ zo waarschuwt NordVPN. Daarom moeten de honderdduizenden personen van wie de data gestolen kan zijn ‘ervan uitgaan dat elke medische communicatie verdacht is, tenzij het via officiële kanalen wordt bevestigd.’
Slachtoffers wordt aangeraden ‘meteen tweefactorauthenticatie in te stellen voor al hun zorggerelateerde accounts, zoals die van hun huisarts of ziekenhuisportalen. Daarnaast moeten ze altijd rechtstreeks contact opnemen met hun zorgverlener, en nooit via (verdachte) links of telefoonnummers. Ook is het belangrijk dat ze hun verzekeringsafschriften goed in de gaten houden voor frauduleuze medische claims.’
Laat de Autoriteit Persoonsgegevens het bedrijf Eurofins een boete van tientallen miljoen opleggen, ongeveer 1000 euro per gelekt persoonsdossier.
Maak van hen een voorbeeld zodat duidelijk wordt dat we niet accepteren dat dit soort gevoelige medische informatie niet goed beveiligd wordt.