Schippers: ziekenhuizen moeten ransomware zelf aanpakken
De aanpak van ransomware is de verantwoordelijkheid van ziekenhuizen zelf en niet van de overheid, zo heeft minister Schippers van Volksgezondheid op Kamervragen van D66 laten weten. De Kamervragen werden gesteld naar aanleiding van een noodtoestand bij een Amerikaans ziekenhuis dat door ransomware werd veroorzaakt. In Nederland heeft een dergelijke situatie zich volgens Schippers nog niet voorgedaan.
"Het Nationaal Cyber Security Centrum (NCSC) is bekend met signalen dat in Nederland, ziekenhuizen, evenals andere sectoren, geconfronteerd worden met aanvallen op kantoorautomatisering door ransomware. Bij het NCSC zijn echter geen signalen bekend dat deze aanvallen hebben geresulteerd in grootschalige uitval of verstoring", aldus de minister. Daarnaast stelt ze dat dit soort incidenten sinds 1 januari van dit jaar verplicht bij de Autoriteit Persoonsgegevens moeten worden gemeld als er persoonsgegevens zijn gecompromitteerd.
D66-Kamerlid Pia Dijkstra wilde van Schippers ook weten welke situaties er worden genomen om situaties zoals die van het Amerikaanse ziekenhuis in Nederlandse ziekenhuizen te voorkomen. "Informatiebeveiliging is een eigen verantwoordelijkheid van ziekenhuis. Vanuit de sectorale verantwoordelijkheid voor de zorg bestaat thans reeds een uitvoerig wettelijk kader ter bescherming van gegevens", antwoordt de minister.
Dijkstra had Schippers ook gevraagd of artsen en medewerkers in ziekenhuizen 'cyberhygiëne'-training krijgen om infecties door ransomware of andere malware te voorkomen. Volgens de minister is het borgen van de continuïteit van dossiers een verplichting van zorgaanbieders. "Als zodanig is cyber-awareness daarvan een onderdeel. Het is de verantwoordelijkheid van de instellingen om zijn personeel op te leiden in het (veilig) omgaan met software. Het geven van trainingen kan daar, naast bijvoorbeeld het treffen van technische maatregelen, deel van uitmaken."
Als laatste moest de minister laten weten of ze bereid is de ict-systemen van Nederlandse ziekenhuizen op het gebied van cybersecurity te laten testen. "Zoals eerdere reeds aangegeven is het de eigen verantwoordelijkheid van ziekenhuizen om de informatiebeveiliging op orde te hebben. Ziekenhuizen kunnen hun informatiebeveiligheidsbeleid en de beveiligingsmaatregelen periodiek laten auditen", aldus het antwoord (pdf).
Ben je van een hoop gezeik af.
Het is toch van de dolle dat een medisch apparaat instort vanwege een virusscan / av-update?
Terugtreden van de overheid.
Idioot hoge eigen bijdragen en forse premies voor de diverse zorgverzekeringen met onderling volstrekt onvergelijkbare dekkingen (marktwerking...) en dan als toetje: Je krijgt per ongeluk een stoma i.p.v. een simpele ingreep ter verwijdering van je blinde darm omdat het netwerk van je zorgaanbieder was versleuteld...
...en zijne excellentie, partij maatje Henk Kamp gaat eigenzinnig door met Gmailen....
https://www.security.nl/posting/470708/Minister+Kamp+blijft+eigen+Gmail-account+voor+werk+gebruiken
(edit: URL toegevoegd)
TheYOSH
Nee, ?
Kunnen ze bij de NCSC niet googlen? Hebben ze GMAIL al geblokkeerd bij het Minister-Ik-doe-wat-ik-zelf-wil Kamp?
Ik snap dat het lastig is met woorden als VIRUS en ZIEKENHUIS om iets te vinden (je vind meer over resistente bacterien dan virussen overigens, en dat is toch wel een grote fout bij google dat ze denken dan bacterien en virussen hetzelfde zijn maar ach, ze vinden ook dat Volkswagen betrouwbare en millieuvriendelijke auto's maakt als je er op zoekt. dus wat dat betreft heeft de google afdeling voor realistische resultaten nog wat te tweaken.
Ziekenhuis Hoorn, Maastricht zijn toch duidelijk zodanig getroffen dat de dagelijkse gang van zaken niet mogelijk was.
Tel daarbij op dat 75% van de ziekenhuizen niet eens een security beleid heeft voor medische apparatuur, en ik toevallig weet dat een groot ziekenhuis onlangs nog een microscoop van 2 miljoen euro gekocht heeft met Windows XP erop, dan weet je wel dat het niet de vraag is OF er iets gebeurd met een ziekenhuis maar hoeveel het dit jaar zullen worden.
€ 2.251,- en € 3.363,- bruto per maand
Goh, gek he, dat ziekenhuizen problemen met de beveiliging hebben...
Er zijn nog leveranciers die hun apparatuur aanleveren op 10 Mb half-duplex met windows xp als os. Oh ja en ziekenhuizen kopen dat nog steeds omdat er geen alternatieven zijn voor dat soort apparatuur. Het is te bizar voor woorden, maar ik maak het elke dag mee als netwerkbeheerder in een ziekenhuis.
Ben je van een hoop gezeik af.
Het is toch van de dolle dat een medisch apparaat instort vanwege een virusscan / av-update?
Inderdaad. In plaats van slecht Windows-beheer is een ziekenhuis veel beter af met slecht Linux-beheer.
a/ IT is maar een bijzaak in de medische wereld (onderbouwing salaris).
b/ De IT-ers die er er zijn hebben eigen ideeen over de techniek maar staan ver van de realiteit gebruikers-eisen mogelijkheden
c/ De kritiek op het beperkte OS beeld is reeel maar natuurljk zeer ongewenst voor OS fanaten.
Ooit gehoord van HIS informatiesystemen bijvoorbeeld http://innocura.nl/historische-week-voor-het-nederlandse-epd-landschap/ van EPIC of chipsoft. De software wordt ingekocht er worden externen bij gehaald voor de implementatie en nog wat verder de hele verwerkng wordt buiten de deur gedaan. Dat is de strategische keus https://www.computable.nl/artikel/achtergrond/magazine/5251650/5215853/amc-en-vumc-draaien-epd-buiten-de-deur.html
Overigens is schippers consequent in de houding. Zorg & ziekenhuizen zijn geprivatiseerd. Ze moeten de eigen broek ophouden en de eigen verantwoordeljkheden nemen. Dat de strategische keuze bij ziekenhuizen is dat ICT niets voorsteld is een beleidskeus. Daar moeten ze gewoon op aangesproken worden.
Alleen waar ze schippers niet goed zit is dat de controles op cybnersecurity geen vrijblijvend iets voor de ziekenhuizen is. Er is niet voor niets een AP NZA en meer controle instanties. Nu weten we uit eerdere perikelen dat ze die controleinstanties liever monddood heeft. Dat is volgens mij de echte uitdaging.l
Nee, ? Ziekenhuis Hoorn, Maastricht zijn toch duidelijk zodanig getroffen dat de dagelijkse gang van zaken niet mogelijk was.
De volksvertegenwoordigers vragen kennelijk letterlijk naar het effect van ransomware. Als je het nieuws van toen mag geloven ging het bij die ziekenhuizen niet om ransomware. In de politiek moet je de juiste vragen stellen als je iets wil bereiken, niet de verkeerde vragen stellen en dan gaan klagen.
2010 is in de ICT een eeuw geleden. Computers zijn ondertussen al 2x afgeschreven en ontwikkelingen in beveiliging staan ook niet stil.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
