Man infecteert per ongeluk ziekenhuis
Een 38-jarige Amerikaan die zijn partner wilde monitoren, heeft per ongeluk een kinderziekenhuis met spyware geïnfecteerd. Scott Graham kocht vorig jaar voor 115 dollar het programma SpyAgent en stuurde het naar de vrouw met wie hij een relatie had. Vervolgens stuurde hij de spyware naar het Yahoo e-mailadres van de vrouw, in de hoop haar te kunnen monitoren. Ze opende het bericht en spyware op een ziekenhuiscomputer.
Tussen 19 en 28 maart werden meer dan duizend screenshots via e-mail naar Graham gestuurd. Het ging om medische procedures, diagnoses en andere vertrouwelijke informatie van 62 patiënten. Tevens wist hij de e-mail en financiële gegevens van vier andere ziekenhuismedewerkers te bemachtigen. Graham zal op 30 september schuld bekennen en het ziekenhuis wegens de veroorzaakte schade 33.000 dollar betalen. Hij kan maximaal een gevangenisstraf van vijf jaar krijgen.
Spyware
Volgens zijn advocaat had Graham nooit de intentie om het ziekenhuis te infecteren. "Hij heeft op de harde manier geleerd dat wat op het internet geadverteerd wordt, niet altijd waar is." Producten als SpyAgent doen zich voor als legitieme software waarmee ouders en werkgevers computers in de gaten kunnen houden, aldus Eric Howes van Sunbelt Software. Hij omschrijft de software als een "commerciele keylogger". Toch gaat volgens Howes ook het ziekenhuis niet vrijuit, aangezien de systeembeheerder het mogelijk maakte dat iemand via een Yahoo e-mailaccount spyware kon downloaden en installeren.
Ik kan me voorstellen, dat het ziekenhuis faciliteiten wil verstrekken aan patienten om contact met vrienden enz. te hebben. Gelet op de grootte van de VS is mail en messaging dan zinvol. Alleen moet zoiets op een apart LAN gebeuren, losgekoppeld van het eigen systeem. Dan voorkom je dit soort ellende.
Ik kan me voorstellen, dat het ziekenhuis faciliteiten wil verstrekken aan patienten om contact met vrienden enz. te hebben. Gelet op de grootte van de VS is mail en messaging dan zinvol. Alleen moet zoiets op een apart LAN gebeuren, losgekoppeld van het eigen systeem. Dan voorkom je dit soort ellende.
Dit heeft niets te maken met met verstrekken van faciliteiten aan patienten.
Dit is nalatigheid van systeembeheer.
Op bedrijfs(kritisch)netwerk geen privé e-mail toegankelijk maken en geen rechten om software te downloaden en/of te installeren.
Belachelijk dat het zo simpel is om:
-medische procedures;
-diagnoses over patienten;
-vertrouwelijke informatie over patienten;
-financiële ziekenhuisgegevens
te bereiken
Meer dan 20 man voor 2 weken inzetten en procedures herschrijven, initieel testen, nogmaals herschrijven, etc. kost dus echt wel dat bedrag, en dan komt hij er nog goed vanaf!
Wel is het zo dat het ziekenhuis (ict beheer) nalatig is, zelfs voor een landelijk uitzendbureau waarvoor ik werk kan men niks komma nul installeren en zit men in een apart lan en is internettoegang zeer beperkt via een externe firwall (tunix).
Tja..............
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
