Geen versleuteling, geen netwerkscheiding, geen spoedalarm? Ransomware-aanval op het lab van Eurofins toont zwakke plek Nederlandse gezondheidszorg en het nieuwe normaal voor diens cliënten: wantrouw élk contact van je zorgaanbieders.
De ransomware-hack in juli bij een Nederlands lab van het Franse Eurofins, Clinical Diagnostics LCPL, die gisteren pas bekend werd gemaakt, heeft juist daarom veel stof doen opwaaien. Wat vooral ook steekt is de ‘inadequate encryptie van gevoelige gegevens. De aanvallers kregen toegang tot namen, adressen en medische testresultaten. Dit is een ernstige tekortkoming op het gebied van gegevensbeveiliging. Wanneer je met gezondheidsdata werkt, moet je alle gegevens goed versleutelen,’ reageert Marijus Briedis, Chief Technology Officer bij NordVPN.
Vooral bij screeningsdata van kankeronderzoeken gaat het om uiterst vertrouwelijke informatie. ‘Door persoonlijke gegevens te combineren met medische resultaten ontstaat de ideale situatie voor gerichte phishing-aanvallen. Deze criminelen hebben nu genoeg informatie om zich geloofwaardig voor te doen als zorgverleners’, stelt Briedis. ‘Het grootschalig stelen van gezondheidsdata komt steeds vaker voor, omdat de zorgsector niet snel genoeg meebeweegt met moderne beveiligingsmaatregelen.’
Dat de gegevensdiefstal veel verder ging dan het bevolkingsonderzoek was al bekendgemaakt. Nu beginnen ook andere getroffen organisaties details te geven. ‘Het feit dat zowel persoonlijke als medische informatie eenvoudig toegankelijk was, wijst erop dat Clinical Diagnostics belangrijke beveiligingsprincipes, zoals netwerkscheiding, niet goed heeft toegepast. Dit is een fundamenteel probleem in hun systeemontwerp,’ aldus Briedis.
Zorgsector heeft een probleem
Eerder meldde Computable al dat meer dan vijftigduizend medische apparaten in Nederland die in verbinding staan met internet zeer slecht beveiligd zijn. In sommige gevallen gebruiken deze systemen helemaal geen authenticatiemethoden of zeer zwakke wachtwoorden (admin, demo, secret, 123456, 123456789). Ook bleek dat patches niet altijd werden toegepast. Of dat ook de ingang was van deze aanval, wil of kan Eurofins nog niet zeggen. Het lijkt er verder op dat er bij het lab geen gegevens zijn gewijzigd, ‘voor zover bij ons bekend zijn de gegevens ingezien en gekopieerd,’ zegt het bedrijf tegen Computable.
De hack ‘onderstreept pijnlijk hoe kwetsbaar onze zorgsector is voor digitale dreigingen. Het gaat hier niet alleen om gestolen gegevens, maar om een directe aantasting van de persoonlijke levenssfeer en het vertrouwen van honderdduizenden,’ reageerde Anouck Teiller, chief strategy officer bij het Europese cybersecuritybedrijf HarfangLab.
‘Uit recente cijfers blijkt dat de zorg de afgelopen zes maanden de hardst getroffen sector is, met gemiddeld 3.138 aanvallen per week.’ ‘Kritieke infrastructuur, waaronder ziekenhuizen en laboratoria in heel Europa, is steeds vaker doelwit van zowel criminele als geopolitiek gemotiveerde actoren,’ voegde Teiller er nog aan toe.
Verwacht phishing & spoofing
‘De gestolen gegevens zijn voor criminelen langdurig waardevol, waardoor het risico op identiteitsdiefstal of frauduleuze activiteiten niet snel verdwijnt,’ zo waarschuwt NordVPN. Daarom moeten de honderdduizenden personen van wie de data gestolen kan zijn ‘ervan uitgaan dat elke medische communicatie verdacht is, tenzij het via officiële kanalen wordt bevestigd.’
Slachtoffers wordt aangeraden ‘meteen tweefactorauthenticatie in te stellen voor al hun zorggerelateerde accounts, zoals die van hun huisarts of ziekenhuisportalen. Daarnaast moeten ze altijd rechtstreeks contact opnemen met hun zorgverlener, en nooit via (verdachte) links of telefoonnummers. Ook is het belangrijk dat ze hun verzekeringsafschriften goed in de gaten houden voor frauduleuze medische claims.’
Laat de Autoriteit Persoonsgegevens het bedrijf Eurofins een boete van tientallen miljoen opleggen, ongeveer 1000 euro per gelekt persoonsdossier.
Maak van hen een voorbeeld zodat duidelijk wordt dat we niet accepteren dat dit soort gevoelige medische informatie niet goed beveiligd wordt.
of in een glazen kooi berechten.
verplicht naar het front sturen.
uit raam gooien.
of heel lang samen met oudlid in 1 cel.
IT komt van ver, maar ja ik ben ook oud.
Ik weet nog het beleid van 2006 om data nooit weg te gooien, omdat het goedkoper was data altijd zonder meer te bewaren dan te classificeren.
en dan zou je je nu met doelbinding, minimalisatie en nauwkeurigheid bezig moeten houden. Pas je voorwaarden toe op journalistiek dan kun je je afvragen hoe de suggestie met vraagteken: “Geen versleuteling, geen netwerkscheiding, geen spoedalarm?” samen met de stelling “wantrouw élk contact van je zorgaanbieders.”
zich daarmee verhoudt.
Slachtoffers op basis van de hack meteen 2FA in te laten stellen voor al hun zorggerelateerde accounts klinkt niet logisch als juist duidelijk is dat er geen wachtwoorden zijn gelekt.
Gestolen data kan verder nog best goed versleuteld zijn geweest, maar je moet toch ergens in de architectuur de data kunnen interpreteren en daar is die kwetsbaar.
Vanachter zijlijn ongenuanceerd roepen is blijkbaar niet meer alleen mij voorbehouden 😉