image

Twee ziekenhuizen melden malwarebesmetting bij NCSC

dinsdag 12 juli 2016, 16:26 door Redactie, 7 reacties

Het afgelopen jaar hebben twee ziekenhuizen bij het Nationaal Cyber Security Center (NCSC) van de overheid gemeld dat ze een malwarebesmetting hadden opgelopen. Bij de Inspectie voor de Gezondheidszorg (IGZ) kwamen helemaal geen meldingen over cyber-incidenten binnen.

In het geval van de malware-infecties bleek het om aanvallen op de kantoorautomatisering te gaan en zijn er bij het NCSC geen signalen bekend dat deze aanvallen hebben gezorgd voor grootschalige uitval of verstoring. Dat laat minister Schippers van Volksgezondheid op Kamervragen van D66 weten. Aanleiding voor de vragen was een onderzoek naar de veiligheid van ziekenhuisapparatuur in Europa, het Midden-Oosten en Afrika.

Bij meer dan de helft van de 24 onderzochte ziekenhuizen werden standaardwachtwoorden gebruikt om apparatuur te beveiligen. Ook bleek dat bijna de helft van de ziekenhuizen niet weet of hun apparatuur voldoet aan de aankomende Europese privacyregelgeving. Daarnaast geeft maar een vijfde van de onderzochte ziekenhuizen aan bij het merendeel van hun apparatuur gebruik te maken van een versleutelde verbinding met het netwerk om de betrouwbaarheid en vertrouwelijkheid van gegevens te borgen.

D66-Kamerleden Dijkstra en Verhoeven wilden weten hoe vaak Nederlandse ziekenhuizen met malware zijn besmet. Volgens Schippers zijn er bij het NCSC twee vrijwillige meldingen binnengekomen. Ook wilden de Kamerleden weten of de minister bereid is onderzoek te doen onder Nederlandse ziekenhuizen en andere zorginstellingen naar het voldoen van apparatuur aan de privacyregelgeving, het gebruikmaken van versleutelde verbindingen bij op het netwerk aangesloten apparaten en beleid rondom het dichten van kwetsbaarheden in software van medische apparatuur.

Schippers laat weten dat informatiebeveiliging een verantwoordelijkheid van de ziekenhuizen zelf is. Wel vinden er verschillende activiteiten plaats op het gebied van cybersecurity in de zorg, die met betrokkenheid van het NCSC worden ontplooid. Zo heeft het NCSC in samenwerking met de sector een Information Sharing and Analysis Centre (ISAC) voor de zorg opgezet. Daarnaast wordt gewerkt aan de inrichting van een Computer Emergency Response Team (CERT) voor de zorg (Z-CERT).

De minister stelt verder in haar antwoord (pdf) dat er een groeiend bewustzijn is rondom de risico’s van de steeds meer verbonden medische apparaten. Tevens wordt gewerkt aan het vergroten van het risicobewustzijn bij zorgverleners en instellingen op het gebied van cyberveiligheid en privacy. Zo heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) een Netwerk Informatiebeveiliging waar kennis en ervaring wordt uitgewisseld.

Reacties (7)
12-07-2016, 17:55 door karma4
De minister volksgezondheid is de baas van de controlerende instanties onder andere de NZA.
Het is correct dat in de liberalisering de ziekenhuizen zelf voor de cybersecurity invulling verantwoordelijk geworden zijn. De controles zijn een overheidstaak en vallen onder deze minister. Beweert ze nu dat het niet zo is of dat controles te lastig voor de ziekenhuizen zijn. Dat zou een vreemde opvatting zijn.
Nu heeft er weg van de vraagstellers met een kluitje in het riet te sturen.
12-07-2016, 20:09 door Anoniem
In het geval van de malware-infecties bleek het om aanvallen op de kantoorautomatisering te gaan
Ahum, aanvallen op de kantoorautomatisering zegt u?
Daar waar bijna al onze persoonsgegevens inclusief BSN worden verwerkt en opgeslagen?...
12-07-2016, 22:47 door Anoniem
Door Anoniem:
In het geval van de malware-infecties bleek het om aanvallen op de kantoorautomatisering te gaan
Ahum, aanvallen op de kantoorautomatisering zegt u?
Daar waar bijna al onze persoonsgegevens inclusief BSN worden verwerkt en opgeslagen?...
Ja die ja, en waarbij je je ook nog eens bij iedere afdeling mag legitimeren en je gegevens opnieuw moet opgeven. Door een internist langs verschillende afdelingen van een ziekenhuis gestuurd worden levert je een dag op van overal dezelfde gegevens achterlaten. Ziekenhuizen hebben nooit gehoord van de wet op de eenmalige uitvraag en blijven meerdere keren om dezelfde gegevens vragen en vastleggen. Even naar de internist, gegevens plus legitimatie. Dan even foto maken, hetzelfde riedeltje, daarna bloedprikken en wederom hetzelfde riedeltje. Dag later terugkomen om urine in te leveren, gewoon weer alles vragen terwijl stickers met naam en bsn gewoon op potje staan. Een aanval op zo'n inefficiënte werkomgeving met kansloze regels en dito werknemers moet echt een datalek van hier tot Tokio veroorzaken. En dan heb ik het over een groot ziekenhuis in de regio Amsterdam hé? Dus geen klein plattelands hospitaaltje.
13-07-2016, 10:23 door Anoniem
wel een goed plan, een CERT! is er al meer over bekend wanneer die actief gaat zijn? wij willen daar graag aan meedoen
15-07-2016, 14:03 door Anoniem
Door Anoniem:
Door Anoniem:
In het geval van de malware-infecties bleek het om aanvallen op de kantoorautomatisering te gaan
Ahum, aanvallen op de kantoorautomatisering zegt u?
Daar waar bijna al onze persoonsgegevens inclusief BSN worden verwerkt en opgeslagen?...
Ja die ja, en waarbij je je ook nog eens bij iedere afdeling mag legitimeren en je gegevens opnieuw moet opgeven. Door een internist langs verschillende afdelingen van een ziekenhuis gestuurd worden levert je een dag op van overal dezelfde gegevens achterlaten. Ziekenhuizen hebben nooit gehoord van de wet op de eenmalige uitvraag en blijven meerdere keren om dezelfde gegevens vragen en vastleggen. Even naar de internist, gegevens plus legitimatie. Dan even foto maken, hetzelfde riedeltje, daarna bloedprikken en wederom hetzelfde riedeltje. Dag later terugkomen om urine in te leveren, gewoon weer alles vragen terwijl stickers met naam en bsn gewoon op potje staan. Een aanval op zo'n inefficiënte werkomgeving met kansloze regels en dito werknemers moet echt een datalek van hier tot Tokio veroorzaken. En dan heb ik het over een groot ziekenhuis in de regio Amsterdam hé? Dus geen klein plattelands hospitaaltje.
Denk eerst eens na voordat je dit soort onzin post. In de zorg geldt een identificatieplicht. Telkens verifiëren van identiteit is een eis om verwisseling te voorkomen. En in alle ziekenhuizen zijn de medische gegevens gescheiden van de kantoorautomatisering.
15-07-2016, 14:06 door Anoniem
Door Anoniem: wel een goed plan, een CERT! is er al meer over bekend wanneer die actief gaat zijn? wij willen daar graag aan meedoen
Wordt hard aan gewerkt. Zijn jullie een zorginstelling?
26-07-2016, 08:39 door Anoniem
Door Anoniem:
Door Anoniem: wel een goed plan, een CERT! is er al meer over bekend wanneer die actief gaat zijn? wij willen daar graag aan meedoen
Wordt hard aan gewerkt. Zijn jullie een zorginstelling?
Waar kan ik mij aanmelden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.