image

Schotse ziekenhuizen annuleerden operaties wegens ransomware

dinsdag 29 augustus 2017, 15:29 door Redactie, 9 reacties

De Schotse ziekenhuizen die vorige week afspraken en operaties moesten annuleren blijken geïnfecteerd te zijn geraakt door ransomware. Het ging om ziekenhuizen die onderdeel van NHS Lanarkshire uitmaken en met een variant van de Bitpaymer-ransomware te maken kregen, zo meldt de BBC.

In een verklaring stelt de zorgorganisatie dat het personeel na ontdekking van de ransomware 's nachts heeft doorgewerkt om systemen te beveiligen en te herstellen. Volgens NHS Lanarkshire zou een "klein aantal systemen" door de ransomware zijn getroffen, maar zorgde dit er wel voor dat een aantal operaties en afspraken moest worden geannuleerd. Ook werd patiënten gevraagd niet langs te komen tenzij dit strikt noodzakelijk was. Dit weekend waren de meeste diensten weer hersteld, maar het kan enige tijd duren voordat alles weer als vanouds draait, zo laat de zorgorganisatie verder weten.

Hoe de ransomware het netwerk van de ziekenhuizen kon infecteren wordt nog onderzocht. De Bitpaymer-ransomware is sinds vorige maand in omloop en eist in totaal 53 bitcoin voor het ontsleutelen van bestanden, wat op dit moment 196.000 euro is. Als er niet wordt betaald dreigen de criminelen achter de ransomware om bestanden met de media te delen, maar NHS Lanarkshire heeft nog geen meldingen ontvangen dat dit ook is gebeurd, aldus STV News.

Image

Reacties (9)
29-08-2017, 17:59 door karma4
Een DR BCM planning met een backup kost?
29-08-2017, 18:12 door [Account Verwijderd]
Waar ik nu erg nieuwsgierig naar ben is, of buiten al die stemming makerij er ook gezocht wordt naar de oorzaak (root cause).

Te vaak worden er allemaal vingertjes gewezen naar allerlei afdelingen of systemen, maar zaken als bezuinigingen, out sourcing, management beslissingen blijven vaak buiten beeld.

Het zou wel eens interessant zijn om te weten hoe de hele keten heeft bijgedragen aan deze situatie waarbij een ziekenhuis operaties moet annuleren.
29-08-2017, 18:27 door SecGuru_OTX
Initiele infectie verliep via een RDP brute force aanval.

Ik ken de situatie bij deze ziekenhuizen zelf niet, maar ik hoop dat de verantwoordelijke ICT beveiliger ergens heeft aangegeven dat directe RDP toegang(zonder 2FA) vanaf het Internet erg gevaarlijk kan zijn.
29-08-2017, 18:31 door karma4
Door SecGuru_OTX: Initiele infectie verliep via een RDP brute force aanval.

Ik ken de situatie bij deze ziekenhuizen zelf niet, maar ik hoop dat de verantwoordelijke ICT beveiliger ergens heeft aangegeven dat directe RDP toegang(zonder 2FA) vanaf het Internet erg gevaarlijk kan zijn.
Natuurlijk niet ik nergens een ict cybersecurity statement vinden in de jaarverslagen. Als er security beleid is wat wil je dan. Het npfit debacle helpt niet echt mee.
29-08-2017, 20:28 door softwaregeek
Dit is 26 augustus ook al ter sprake geweest.
29-08-2017, 21:39 door Anoniem
Door softwaregeek: Dit is 26 augustus ook al ter sprake geweest.
Ik denk dat ze security.nl ook ge-restored hebben :)
29-08-2017, 22:10 door SecGuru_OTX
Op 26-08 was het bij mijn weten nog niet bekend dat het om Ransomware ging.
30-08-2017, 07:40 door Anoniem
Door karma4: Natuurlijk niet ik nergens een ict cybersecurity statement vinden in de jaarverslagen.
Op zich zegt dat niet zo veel. Er gebeurt daar zoveel meer dan alleen IT dat ze niet alle posten tot in detail uitsplitsen in de algemene jaarverslagen. Als je hun "Annual Accounts" van 2015-2016 bekijkt (recenter zie ik niet op hun website) dan kom je op pagina's 69-71 tegen dat "information technology" alleen is uitgesplitst naar softwarelicenties en "information technology - software". En op dat detailniveau is het al een verslag van 114 pagina's. Hun "Annual Report" ziet eruit als een PR-nieuwsbrief, daar staat sowieso weinig concreets in. In het "Annual Review" wordt in algemene termen over risk management gesproken zonder dat ze in detail treden over welke risico's ze onderkennen. Het is mogelijk dat IT-risico's daaronder vallen zonder dat je dat op dit globale niveau ziet staan. Het is domweg allemaal te algemeen om er conclusies uit te kunnen trekken. Intern zullen ze gedetailleerdere jaarverslagen over specifieke aandachtsgebieden hebben, waaronder IT en risicomanagement, en daar kan wat je mist wel degelijk in staan. Die staan alleen niet op hun website.

Dat ze het niet goed genoeg op orde hadden is overigens duidelijk. Hopenlijk leren ze van dit incident dat het beter moet.

http://www.nhslanarkshire.org.uk/About/annual-reviews-reports/Pages/default.aspx
30-08-2017, 18:28 door karma4
Door Anoniem: ...
Dat ze het niet goed genoeg op orde hadden is overigens duidelijk. Hopenlijk leren ze van dit incident dat het beter moet.

http://www.nhslanarkshire.org.uk/About/annual-reviews-reports/Pages/default.aspx
Het jaarverslag weerspiegelt wat de boardroom belangrijk vindt, tevens is her waar ze op agerekend worden met een accountantsverklaring. Zij bepalen de strategie en wat er met de budgetten gebeurt. Je mening van het hoge pr gehalte deel ik. Dat is nu net wat ik als "het probleem" zie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.