image

Medisch Centrum Leeuwarden had Citrix-oplossing niet op tijd doorgevoerd

dinsdag 11 februari 2020, 10:33 door Redactie, 5 reacties

Het Medisch Centrum Leeuwarden (MCL) dat op 15 januari een aanval op de Citrix-systemen meldde had de beschikbare oplossing van Citrix die bescherming moest bieden niet op tijd doorgevoerd. Dat heeft minister Bruins van Medische Zorg laten weten op vragen van het CDA over de aanval. Vanwege de aanval sloot het MCL, één van de grootste ziekenhuizen van Nederland, al het dataverkeer met de buitenwereld af.

Patiënten konden daardoor tijdelijk niet bij hun elektronisch patiëntendossier en voor medewerkers was het niet mogelijk om thuis te werken. Uit onderzoek van het ziekenhuis bleek dat de aanvaller geen toegang heeft gekregen tot de interne systemen van het MCL of patiëntgegevens. CDA-Kamerlid Van den Berg wilde weten of het MCL de beschikbare oplossing van Citrix had doorgevoerd. Die was medio december op de website van Citrix gepubliceerd. Ook het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde hier op 18 december voor.

"Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen", antwoordt Bruins. De minister gaf hetzelfde antwoord op Kamervragen van de SP over de aanval op het ziekenhuis.

Van den Berg vroeg ook of andere ziekenhuizen via het Citrix-lek waren aangevallen. De minister stelt dat hij op dit moment geen aanwijzingen heeft dat bij andere ziekenhuizen pogingen zijn gedaan om binnen te dringen. Wel liet de minister op de vragen van de SP weten dat het College Beoordeling Geneesmiddelen slachtoffer van een Citrix-aanval was geworden. Tevens moest Bruins duidelijk maken welke ziekenhuizen met Citrix werken, maar daar kan de bewindsman geen antwoord op geven. "Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ict en welke systemen en/of servers zij gebruiken."

Als laatste wilde het CDA-Kamerlid duidelijkheid over Z-Cert, het Computer Emergency Response Team voor de zorg. Volgens de minister zijn alle ziekenhuizen via de koepel van Nederlandse Vereniging van Ziekenhuizen en de koepel van Nederlandse Federatie van Universitair Medische Centra op Z-CERT aangesloten. Op dit moment wordt onderzocht of deelname aan Z-Cert door zorginstellingen kan worden verplicht. Na het zomerreces zal Bruins de onderzoeksresultaten met de Tweede Kamer delen.

Reacties (5)
11-02-2020, 11:09 door Happy Linux User
Tja, kan een keer gebeuren. man man man.
Was je internet ook afgesloten, zodat je geen nieuws meer kon lezen?
Ik denk dat er één op zoek mag naar een nieuwe job.
11-02-2020, 12:17 door Anoniem
Door Happy Linux User: Tja, kan een keer gebeuren. man man man.
Was je internet ook afgesloten, zodat je geen nieuws meer kon lezen?
Ik denk dat er één op zoek mag naar een nieuwe job.
ik denk dat het iedereen zijn schuld is en er daardoor niemand vertrekt.

systeembeheerder is ziek/overspannen/overwerkt, en wordt alleen ingepland op nieuwe hippe projecten, en niet op saai beheer.
die inplanner plant dat zo omdat HR met hun duffe vacatures en te weinig geld geen medewerkers kunnen aantrekken, en de interim HR manager zit er pas 2 maanden.
de project-organisatie moet door, vanwege alle nieuwe regels vanuit de overheid en die software schrijft zichzelf niet.
De security-officer had zijn advies wel gemaild naar de IT-manager, maar die was al een half jaar niet meer verantwoordelijk voor operations, en bezig met een interne training tot consultant, plus dat de Security Officer eigenlijk alleen de audits begeleidt, en zich niet bemoeit met operations.

dus wie ga je nu ontslaan?
11-02-2020, 12:23 door [Account Verwijderd]
Op dit moment wordt onderzocht of deelname aan Z-Cert door zorginstellingen kan worden verplicht.
Ik vind het nogal merkwaardig dat een goed veiligheidsbeleid zou moeten afhangen van een lidmaatschap van een CERT. Zelf ben ik ook geen lid van een of ander CERT, maar mijn veiligheidsbeleid is gewoon op orde. Waarom kon dat niet plaatsvinden bij het Medisch Centrum Leeuwarden?

Van Z-Cert kan je al zeggen dat het tenminste goed is dat ze een PGP-key hebben zodat incidenten gemeld kunnen worden via versleutelde e-mail. Maar daar is dan wel alles mee gezegd.
https://www.z-cert.nl/

De PGP-public key is overigens via deze pagina te downloaden:
https://www.z-cert.nl/contact
11-02-2020, 12:29 door Anoniem
Uit het artikel:
".. Het Medisch Centrum Leeuwarden (MCL) dat op 15 januari een aanval op de Citrix-systemen meldde had de beschikbare oplossing van Citrix die bescherming moest bieden niet op tijd doorgevoerd.."
(..)
".. Uit onderzoek van het ziekenhuis bleek dat de aanvaller geen toegang heeft gekregen tot de interne systemen van het MCL of patiëntgegevens .."

Je kan een aanval toch alleen vaststellen als er malware wordt aangetroffen op de interne systemen? Of is er alleen sprake van een enkele verdachte log regel? Is er een backdoor (account) gevonden? Zijn er ICT specialisten ingevlogen? Eigenlijk zegt het MCL (via de beantwoordeing van minister Bruins) niets nieuws. Gaat u rustig slapen. Dit lijkt meer op verdoezelen.

Daar steekt de openheid die de Universiteit Maastricht in samenwerking met Fox-IT heeft laten zien schril bij af. Daar valt wat van te leren. En die openheid wordt ook breed gewaardeerd.
11-02-2020, 12:35 door Anoniem
En weer een open deur ingetrapt: Als laatste wilde het CDA-Kamerlid duidelijkheid over Z-Cert

Want als je ingeschreven bent op een nieuwsbrief voeren je verantwoordelijke IT' ers wel het juiste beleid en werk uit.
Weer een succesvolle aanval toe te schrijven aan falend personeel, falend beleid en.of vedoren. Geen zero day, geen onbekend gat maar gewoon het niet uitvoeren van werkzaamheden is de reden van succesvolle aanvallen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.