Een hackersgroep die zich Embargo noemt, heeft deze week gedreigd om patiëntgegevens van ChipSoft online te zetten. De zorgleverancier levert systemen aan onder meer huisartsen. Op dinsdag 7 april werd bekend dat het bedrijf is gehackt. Het duurde vervolgens meer dan een week voordat ChipSoft toegaf dat persoonlijke gegevens van patiënten waren gestolen, waaronder medische data.
Afgelopen maandag verscheen op het darkweb een bericht waarin Embargo claimt 100 GB aan data van ChipSoft in handen te hebben. Op de site stonden twee aftelklokken die deze week zouden aflopen, aldus de NOS.
‘Die klok is erop gericht om hun slachtoffers onder druk te zetten‘, zegt Harm Teunis, security evangelist bij het cybersecurity-bedrijf Eset Nederland. Zo’n klok is ook het doel van zo’n site op het darkweb. ‘Daarmee laten ze zien dat ze gegevens in handen hebben en dreigen die te publiceren.’
Onderhandelingen
Het dreigement is inmiddels van de website verdwenen. ‘Vaak gebeurt dat pas als het bedrijf heeft betaald om te voorkomen dat de gegevens worden gepubliceerd’, zegt Teunis. Maar hij houdt ook rekening met de mogelijkheid dat Embargo de naam heeft weggehaald omdat dat tijdens de onderhandelingen is afgesproken.
ChipSoft bevestigt aan de NOS dat onderhandelingen met de cybercriminelen nog gaande zijn. Het bedrijf onthoudt zich van een verdere reactie. Zo is niet duidelijk of de leverancier van elektronische patiëntendossiers bereid is om losgeld te betalen. Telecomprovider Odido weigerde dat onlangs.
Geen statelijke actor
Embargo is een relatief onbekende hackersgroep. Over de herkomst en identiteit van de hackers valt niets te zeggen. De groep ontkent een statelijke actor te zijn. Op het darkweb omschrijft de groep zichzelf als een ‘internationaal team zonder politieke banden’.
Uit een lijst met recente slachtoffers blijkt dat Embargo ervaring heeft met aanvallen op de zorgsector. Zo werden ziekenhuizen uit de Verenigde Staten belaagd. Eset volgt de groep sinds juni 2024. ‘Dat is vlak nadat we ze voor het eerst hebben gezien. Hun werkwijze is in die jaren niet veel anders geworden’, licht Teunis toe. ‘Wat ze doen, noemen we dubbele afpersing. Daarbij worden bestanden van het bedrijf niet alleen versleuteld, maar downloaden de hackers ook gegevens om het bedrijf af te persen.’
Afpersing
ChipSoft maakte eerder zelf bekend dat het bedrijf slachtoffer is geworden van een ransomware-aanval. Daarbij maken criminelen bestanden ontoegankelijk door ze te versleutelen: de bestanden worden ‘gegijzeld’. Daarna vragen de hackers losgeld, in ruil voor de digitale sleutel. Daarmee kan het slachtoffer zijn bestanden weer toegankelijk maken.
Met de gestolen gegevens kunnen zij het slachtoffer ook chanteren door te dreigen om die te publiceren. Bij dubbele afpersing worden bestanden versleuteld én gevoelige gegevens gestolen, zodat het slachtoffer op twee fronten onder druk staat. Het slachtoffer moet dan twee keer betalen: om weer aan het werk te kunnen, en om te voorkomen dat er gegevens openbaar worden. Teunis: ‘Medische gegevens zijn extra gevoelig. De druk om te betalen kan daardoor hoger worden. Maar het kwaad is natuurlijk al geschied: de criminelen hebben de gegevens al in handen.’
De Landelijke Huisartsen Vereniging heeft alle huisartsen die getroffen zijn door de hack bij ChipSoft, geadviseerd om hun patiënten daarover te informeren. De vereniging zegt dat er mogelijk gegevens van ‘enkele tientallen huisartsenpraktijken’ zijn gestolen, maar zegt niet te weten hoeveel het er precies zijn. Behalve bij huisartsen zijn ook bij andere zorginstellingen zoals het Oogziekenhuis Rotterdam patiëntgegevens gestolen. Om welke instellingen het precies gaat en om hoeveel personen, maakt ChipSoft niet bekend.
Ik vind dat ChipSoft gewoon moet betalen. Deze patiëntendossiers wil je echt niet op straat hebben liggen.
Als ChipSoft betaald en de gegevens niet verspreid worden gaat de AP het bedrijf dan nog controleren en eventueel een boete opleggen voor lakse beveiliging?