Kamervragen over aanval op servers ziekenhuis Leeuwarden
Het CDA en SP willen opheldering van minister De Jonge van Volksgezondheid over de aanval op de Citrix-servers van het Medisch Centrum Leeuwarden (MCL). Vanwege de aanval besloot het ziekenhuis het dataverkeer met de buitenwereld af te sluiten. Vandaag maakte het ziekenhuis bekend dat de aanval een zeer beperkt effect had en er geen aanwijzingen zijn dat de aanvallers toegang tot interne systemen van het MCL of patiëntgegevens hebben gekregen.
CDA-Kamerlid Van den Berg wil van de minister weten welke andere ziekenhuizen met Citrix-servers werken en of daar pogingen zijn gedaan om in te breken. Ook vraagt Van den Berg of het MCL de workaround van Citrix heeft toegepast en of dit ook bij andere ziekenhuizen het geval is die met Citrix werken. "Wordt met de 'workaround' van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?", wil het CDA-Kamerlid verder weten.
Afsluitend moet de minister duidelijk maken welke ziekenhuizen nog niet zijn aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg, en wat hij zal doen om dit te bevorderen. SP-Kamerlid Hijink vraagt aan De Jonge waarom er op de website van Z-Cert sinds december geen bericht te lezen is over de risico's voor organisaties die werken met Citrix.
"Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?", vraagt het SP-Kamerlid verder. De minister moet ook duidelijk maken hoe het kan dat het ziekenhuis niet gehandeld heeft op de waarschuwing van het Nationaal Cyber Security Centrum (NCSC) dat aanvallers actief zochten naar de kwetsbaarheid. Tevens vraagt Hijink welke schade er bij het ziekenhuis is aangericht en of er patiëntgegevens of andere belangrijke data zijn gekomen. De minister heeft drie weken de tijd om de vragen te beantwoorden.
- bij 1/ Welke andere ziekenhuisen? Je hoeft enkel de lijst na te lopen van ziekenhuizen met EPIC en een portaal met epic.
- bij 2/ Of het voldoende is? Review van de hele stack
- bij 3/ Wat er gebeurt is? Ziekenhuizen zijn zelfstandige ondernemingen, mogen hun eigen beslissingen nemen.
Daar gaat de minister niet over.
Dat soort vragen stellen had beter gekund, dit kost nu een boel waarvan de antwoorden zelf te geven waren.
Daar gaat de minister niet over.
https://nos.nl/nieuwsuur/artikel/2318812-hack-poging-in-ziekenhuis-en-gemeente-urgentie-lek-leek-niet-duidelijk.html
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
Een regionale luchthaven, ziekenhuizen en diverse overheidsinstellingen stonden op een lijst met ongeveer 700 kwetsbare servers. En niemand komt op het idee c.q. rekent het tot zijn taak emails te versturen, of de telefoon te grijpen ?
Minister Grapperhaus verklaarde in de Tweede Kamer (tijdens een Kamerdebat, maar in de uitzending werd niet vermeld op welke datum) dat de "doorzettingsmacht van het NCSC moet worden vergroot".
Tandje erbij, een beetje meer vaart, Grapperhaus .... ?
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
Het hoort een taak te zijn van een of meer aangewezen personen -in elke organisatie die gebruik maakt van ICT- om ervoor te zorgen dat ze op de hoogte zijn en blijven van actuele dreigingen. Op z'n minst zorg je dat je bent ingeschreven op maillijsten van de betrokken leveranciers, maar het is altijd verstandig om actief security-nieuws in de gaten te houden.
Elke organisatie die hier geen mensen voor in dienst heeft, of niet in de SLA heeft opgenomen dat een ICT onderhoudspartij dit voor haar rekening neemt, is geen knip voor de neus waard v.w.b. security.
De wetgever heeft gekozen om de zorg te liberaliseren, dat betekent dat het vrije ondernemingen zijn waar de overheid weinig zeggenschap heeft over de bedrijfsvoering. Dat de overheid wel een publieke taakstelling voor zorg heeft, dat wringt.
Neem nu Z-cert https://www.z-cert.nl/over-z-cert Dat is geen overheid.
"Z-CERT is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU) en GGZ Nederland (GGZ). Z-CERT is een stichting en heeft geen winstoogmerk.
Op dit moment zijn voornamelijk ziekenhuizen (UMC, STZ, algemeen en categoraal) en GGZ instellingen lid. De bedoeling is dit op termijn uit te breiden naar de hele zorgsector."
Omdat een ieder voor zich te klein is voor de benodigde kennis en benodigde tegenspel naar leveranciers een samenwerkingsverband, geen toezichthouder of wat dan ook.
De toezichthouder is https://www.igj.nl/. Als je dan vragen hebt over toezicht benoem dan de juiste toezichthouder. Vraag waarom het Z-Cert niet onder IGJ valt met een proactief beleid naar de zorg.
Het antwoord daarop is denk ik wel bekend: kostenbesparing. Maar nu kan je daarover doorgaan met het conflict in verantwoording voor zorg en kostenbesparing.
https://nos.nl/nieuwsuur/artikel/2318812-hack-poging-in-ziekenhuis-en-gemeente-urgentie-lek-leek-niet-duidelijk.html
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
Z-CERT vervult die rol.
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
En of ziekenhuizen vitale infra moeten zijn... nou ja, ik vind van wel, en in veel andere landen is dat ook zo. Maar dat zijn ze niet.
Met betrekking tot je aanname "dat er dan niets mee gedaan wordt": waar haal je dat vandaan? Dat het NCSC niet zelf contact opneemt, betekent nog niet dat die bedrijven niet gecontact worden. Dit lijkt mij meer een taak van Z-CERT dan van het NCSC, in ieder geval in de huidige situatie.
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
En of ziekenhuizen vitale infra moeten zijn... nou ja, ik vind van wel, en in veel andere landen is dat ook zo. Maar dat zijn ze niet.
Met betrekking tot je aanname "dat er dan niets mee gedaan wordt": waar haal je dat vandaan? Dat het NCSC niet zelf contact opneemt, betekent nog niet dat die bedrijven niet gecontact worden. Dit lijkt mij meer een taak van Z-CERT dan van het NCSC, in ieder geval in de huidige situatie.
Klopt Z-CERT heeft dat gedaan: https://www.z-cert.nl/mededelingen/articles/kwetsbaarheid-in-citrix
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
