ChipSoft is na een week nog niet in staat om conclusies te trekken over oorzaak, omvang, bron en impact van het ransomware-incident dat de software-maker heeft getroffen. Het forensisch onderzoek bij de leverancier van het elektronisch patiëntendossier (epd) HiX heeft meer tijd nodig.
Zelfs security-experts die ChipSoft bijstaan, hebben nog maar weinig informatie gekregen over wat er nu precies is gebeurd. Als de Cyberbeveiligingswet al van kracht was geweest, had ChipSoft binnen 72 uur rapport moeten uitbrengen.
Voorlopig blijft de toegang tot mogelijk getroffen systemen geblokkeerd. Sinds woensdag 8 april zijn de verbindingen met het Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en het Zorgplatform uitgezet.
Via dat laatste platform zijn geen gegevens uit te wisselen. Ziekenhuizen hebben verbindingen naar systemen van andere zorgverleners uitgeschakeld. Intern zijn dossiers wel toegankelijk. De patiëntenportalen die door ChipSoft worden gehost, zijn extern niet beschikbaar. Ook werken in sommige ziekenhuizen de aanmeldzuilen niet.
Website onbereikbaar
ChipSoft krijgt veel vragen uit de zorgwereld. Op LinkedIn kondigt het bedrijf een nieuwe webpagina aan met de laatste informatie en antwoorden op vragen. Zodra deze pagina online staat, zal ChipSoft de link delen. De eigen website is onbereikbaar.
De systemen van ChipSoft worden gebruikt om diagnoses, medicatie, laboratorium-rapporten en psychiatrische notities op te slaan. Om die reden vereisen ze het hoogste niveau van beveiliging. Want in handen van criminelen kunnen die data mensen zwaar benadelen. Overigens zijn er geen aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd.
Behalve software voor patiëntendossiers levert ChipSoft ook andere digitale systemen voor ziekenhuizen. Behalve ziekenhuizen zijn ook een aantal huisartsenpraktijken en andere zorgverleners door de hack geraakt.
HiX = Healthcare Information eXchange.
De vraag is van waar naar waar en door wie.
Heel mysterieus allemaal.
Met passend plaatje, die harry potter dementors.
“geen aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd.”
Kijk, compleet met dooddoeners 😉
“Zelfs security-experts die ChipSoft bijstaan, hebben nog maar weinig informatie gekregen over wat er nu precies is gebeurd.”
Zou het dan om geestelijk bijstand gaan ?
Maar goed, wat dan wel..
“Op LinkedIn kondigt het bedrijf een nieuwe webpagina aan met de laatste informatie en antwoorden op vragen. Zodra deze pagina online staat, zal ChipSoft de link delen. De eigen website is onbereikbaar.”
Een aankondiging dat er een webpagina komt, deze keer wel met antwoorden.
“na een week nog niet in staat om conclusies te trekken over oorzaak, omvang, bron en impact van het ransomware-incident dat de software-maker heeft getroffen”
Precies de huidige staat van ict security.
Heel kwetsbaar, heel ingewikkeld, totaal ondoorzichting : “Als de Cyberbeveiligingswet al van kracht was geweest, had ChipSoft binnen 72 uur rapport moeten uitbrengen.”
What-if analyse ?
Ik vind het erg verontrustend dat ChipSoft zelfs geen idee heeft van de oorzaak en omvang van deze hack. Voor hetzelfde geld zijn de hackers al diep in hun systemen doorgedrongen en kunnen ze zelfs de on-premise software infecteren en de informatie daarin doorsturen naar C&C servers. Dan heb je het potentieel over de meest gevoelige informatie van miljoenen Nederlanders.
Nogmaals, de politiek schiet hier dik tekort. De AP moet de mogelijkheid krijgen om boetes uit te delen die kunnen oplopen tot 20% a 50% van de JAARomzet!
De boetes die nu opgelegd kunnen worden schrikken totaal niet af (los van het feit dat de AP nooit controleert) en ze maken gewoon de afweging tussen tientallen miljoenen besparen door niet te investeren in veiligheidsmaatregelen en de twee ton boete als het mis gaat.