image

Kamervragen over aanval op servers ziekenhuis Leeuwarden

donderdag 16 januari 2020, 14:31 door Redactie, 9 reacties

Het CDA en SP willen opheldering van minister De Jonge van Volksgezondheid over de aanval op de Citrix-servers van het Medisch Centrum Leeuwarden (MCL). Vanwege de aanval besloot het ziekenhuis het dataverkeer met de buitenwereld af te sluiten. Vandaag maakte het ziekenhuis bekend dat de aanval een zeer beperkt effect had en er geen aanwijzingen zijn dat de aanvallers toegang tot interne systemen van het MCL of patiëntgegevens hebben gekregen.

CDA-Kamerlid Van den Berg wil van de minister weten welke andere ziekenhuizen met Citrix-servers werken en of daar pogingen zijn gedaan om in te breken. Ook vraagt Van den Berg of het MCL de workaround van Citrix heeft toegepast en of dit ook bij andere ziekenhuizen het geval is die met Citrix werken. "Wordt met de 'workaround' van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?", wil het CDA-Kamerlid verder weten.

Afsluitend moet de minister duidelijk maken welke ziekenhuizen nog niet zijn aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg, en wat hij zal doen om dit te bevorderen. SP-Kamerlid Hijink vraagt aan De Jonge waarom er op de website van Z-Cert sinds december geen bericht te lezen is over de risico's voor organisaties die werken met Citrix.

"Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?", vraagt het SP-Kamerlid verder. De minister moet ook duidelijk maken hoe het kan dat het ziekenhuis niet gehandeld heeft op de waarschuwing van het Nationaal Cyber Security Centrum (NCSC) dat aanvallers actief zochten naar de kwetsbaarheid. Tevens vraagt Hijink welke schade er bij het ziekenhuis is aangericht en of er patiëntgegevens of andere belangrijke data zijn gekomen. De minister heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (9)
16-01-2020, 14:53 door karma4
Antwoorden:
- bij 1/ Welke andere ziekenhuisen? Je hoeft enkel de lijst na te lopen van ziekenhuizen met EPIC en een portaal met epic.
- bij 2/ Of het voldoende is? Review van de hele stack
- bij 3/ Wat er gebeurt is? Ziekenhuizen zijn zelfstandige ondernemingen, mogen hun eigen beslissingen nemen.
Daar gaat de minister niet over.
Dat soort vragen stellen had beter gekund, dit kost nu een boel waarvan de antwoorden zelf te geven waren.
16-01-2020, 15:24 door Anoniem
Door karma4: Ziekenhuizen zijn zelfstandige ondernemingen, mogen hun eigen beslissingen nemen.
Daar gaat de minister niet over.
Op zich klopt dat, maar het is wel zo dat als wetten en beleidsmaatregelen niet goed werken of niet goed gehandhaafd worden dat tot uiting komt in incidenten en misstanden ergens in de samenleving. Het parlement moet de uitvoerende macht controleren en dat gebeurt mede door vragen te stellen over incidenten en misstanden die een symptoom kunnen zijn van dit soort problemen.

Dat soort vragen stellen had beter gekund, dit kost nu een boel waarvan de antwoorden zelf te geven waren.
Kamerleden stellen heel vaak vragen waar ze zelf prima het antwoord op kunnen bedenken. Het punt van zo'n vraag is niet om iets over de materie te leren maar om te horen hoe de uitvoerende macht ermee omgaat en om die scherp te houden.
16-01-2020, 15:59 door Anoniem
Woensdag 15 januari besteedde Nieuwsuur in haar uitzending aandacht aan deze Citrix-kwetsbaarheid.
https://nos.nl/nieuwsuur/artikel/2318812-hack-poging-in-ziekenhuis-en-gemeente-urgentie-lek-leek-niet-duidelijk.html

In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?

https://www.security.nl/posting/639015/Honderden+Nederlandse+Citrix-servers+kwetsbaar+voor+aanvallen
Een regionale luchthaven, ziekenhuizen en diverse overheidsinstellingen stonden op een lijst met ongeveer 700 kwetsbare servers. En niemand komt op het idee c.q. rekent het tot zijn taak emails te versturen, of de telefoon te grijpen ?

Minister Grapperhaus verklaarde in de Tweede Kamer (tijdens een Kamerdebat, maar in de uitzending werd niet vermeld op welke datum) dat de "doorzettingsmacht van het NCSC moet worden vergroot".
Tandje erbij, een beetje meer vaart, Grapperhaus .... ?
16-01-2020, 16:38 door Erik van Straten
Door Anoniem: In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
De verantwoording hiervoor ligt ALTIJD primair bij de eigenaar/beheerder van systemen. Het NCSC, of welke externe adviserende partij dan ook, heeft geen idee welke hardware en software jij in huis hebt, en welke versies.

Het hoort een taak te zijn van een of meer aangewezen personen -in elke organisatie die gebruik maakt van ICT- om ervoor te zorgen dat ze op de hoogte zijn en blijven van actuele dreigingen. Op z'n minst zorg je dat je bent ingeschreven op maillijsten van de betrokken leveranciers, maar het is altijd verstandig om actief security-nieuws in de gaten te houden.

Elke organisatie die hier geen mensen voor in dienst heeft, of niet in de SLA heeft opgenomen dat een ICT onderhoudspartij dit voor haar rekening neemt, is geen knip voor de neus waard v.w.b. security.
17-01-2020, 08:55 door karma4 - Bijgewerkt: 17-01-2020, 08:59
Door Anoniem: .….
Dat soort vragen stellen had beter gekund, dit kost nu een boel waarvan de antwoorden zelf te geven waren.
Kamerleden stellen heel vaak vragen waar ze zelf prima het antwoord op kunnen bedenken. Het punt van zo'n vraag is niet om iets over de materie te leren maar om te horen hoe de uitvoerende macht ermee omgaat en om die scherp te houden.
De minister is de wetgevende macht niet de uitvoerende, dan is het aan de verkeerde vragen stellen.

De wetgever heeft gekozen om de zorg te liberaliseren, dat betekent dat het vrije ondernemingen zijn waar de overheid weinig zeggenschap heeft over de bedrijfsvoering. Dat de overheid wel een publieke taakstelling voor zorg heeft, dat wringt.
Neem nu Z-cert https://www.z-cert.nl/over-z-cert Dat is geen overheid.
"Z-CERT is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU) en GGZ Nederland (GGZ). Z-CERT is een stichting en heeft geen winstoogmerk.
Op dit moment zijn voornamelijk ziekenhuizen (UMC, STZ, algemeen en categoraal) en GGZ instellingen lid. De bedoeling is dit op termijn uit te breiden naar de hele zorgsector."
Omdat een ieder voor zich te klein is voor de benodigde kennis en benodigde tegenspel naar leveranciers een samenwerkingsverband, geen toezichthouder of wat dan ook.

De toezichthouder is https://www.igj.nl/. Als je dan vragen hebt over toezicht benoem dan de juiste toezichthouder. Vraag waarom het Z-Cert niet onder IGJ valt met een proactief beleid naar de zorg.
Het antwoord daarop is denk ik wel bekend: kostenbesparing. Maar nu kan je daarover doorgaan met het conflict in verantwoording voor zorg en kostenbesparing.
17-01-2020, 09:16 door Anoniem
Door Anoniem: Woensdag 15 januari besteedde Nieuwsuur in haar uitzending aandacht aan deze Citrix-kwetsbaarheid.
https://nos.nl/nieuwsuur/artikel/2318812-hack-poging-in-ziekenhuis-en-gemeente-urgentie-lek-leek-niet-duidelijk.html

In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?

Z-CERT vervult die rol.
17-01-2020, 11:42 door Anoniem
Door Anoniem:
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
Maar ziekenhuizen worden niet gerekend tot de vitale infrastructuur. Als je het dan oneens bent met het handelen van het NCSC, moet dus de conclusie niet zijn dat hier gefaald is, maar dat ze vitale infra moeten zijn. Dit is een logisch gevolg van het feit dat ze geen vitale infra zijn.

En of ziekenhuizen vitale infra moeten zijn... nou ja, ik vind van wel, en in veel andere landen is dat ook zo. Maar dat zijn ze niet.

Met betrekking tot je aanname "dat er dan niets mee gedaan wordt": waar haal je dat vandaan? Dat het NCSC niet zelf contact opneemt, betekent nog niet dat die bedrijven niet gecontact worden. Dit lijkt mij meer een taak van Z-CERT dan van het NCSC, in ieder geval in de huidige situatie.
17-01-2020, 11:44 door Anoniem
Het lijkt erop dat de eerste actie (in de politiek) is om schuldigen op te zoeken. Wie heeft hier gefaald? Dat is zeer frustrerend en dat is meer politiek profileren dan daadwerkelijk meehelpen, meedenken en constructief handelen. Het leidt of van de werkelijkheid, namelijk er is een voortdurend risico van gehackt worden. Hoe kan Nederland zich op de juiste wijze toerusten? Welke kennis en kunde is er beschikbaar? Hoe kan deze kennis en kunde optimaal worden ingezet?
17-01-2020, 21:10 door Anoniem
Door Anoniem:
Door Anoniem:
In deze uitzending werd door Ralph Moonen gesteld dat het NCSC ziekenhuizen niet heeft gewaarschuwd, omdat die niet worden gerekend tot de "vitale infrastructuur"....
Dat vind ik echt onvoorstelbaar, de kwetsbare Citrix-servers zijn dus in beeld, maar niemand die daar actief iets mee doet?
Maar ziekenhuizen worden niet gerekend tot de vitale infrastructuur. Als je het dan oneens bent met het handelen van het NCSC, moet dus de conclusie niet zijn dat hier gefaald is, maar dat ze vitale infra moeten zijn. Dit is een logisch gevolg van het feit dat ze geen vitale infra zijn.

En of ziekenhuizen vitale infra moeten zijn... nou ja, ik vind van wel, en in veel andere landen is dat ook zo. Maar dat zijn ze niet.

Met betrekking tot je aanname "dat er dan niets mee gedaan wordt": waar haal je dat vandaan? Dat het NCSC niet zelf contact opneemt, betekent nog niet dat die bedrijven niet gecontact worden. Dit lijkt mij meer een taak van Z-CERT dan van het NCSC, in ieder geval in de huidige situatie.

Klopt Z-CERT heeft dat gedaan: https://www.z-cert.nl/mededelingen/articles/kwetsbaarheid-in-citrix
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.