image

Datalek Onafhankelijk Ziekenfonds door menselijke fout bij migratie

donderdag 16 september 2021, 09:47 door Redactie, 5 reacties

Een datalek bij het Belgische Onafhankelijk Ziekenfonds is veroorzaakt door een menselijke fout bij een systeemmigratie. Eén van de poorten bleef na de migratie open voor het internet staan, waardoor een aanvaller toegang tot het systeem kon krijgen en data van maximaal 190.000 mensen bemachtigde. Dat laat het Ziekenfonds tegenover DataNews weten.

Het gaat om naam, adresgegevens, contactgegevens, bankrekeningnummers, verzekering- en betaalinformatie, familiegegevens, volmachten, medische akkoorden, terugbetalingen, uitkeringen en ziekteperiodes. De aanvaller waarschuwde het Ziekenfonds en stelde de buitgemaakte gegevens te hebben verwijderd. Om openbaarmaking van het datalek te voorkomen vroeg hij wel losgeld.

Het Ziekenfonds gaf daar geen gehoor aan en maakte het datalek zelf bekend. Volgens de organisatie ontstond de inbraak op een technisch logsysteem waar acties op 'Mijn OZ' worden bijgehouden. Door een menselijke fout bleef na een migratie van het systeem één van de poorten openstaan, waardoor de aanvaller handelingen op het platform enige tijd kon inzien.

Reacties (5)
16-09-2021, 10:31 door Anoniem
Een datalek is toch altijd een menselijke fout?
16-09-2021, 10:56 door Anoniem
Door Anoniem: Een datalek is toch altijd een menselijke fout?

Niet helemaal. Het kan ook kwade wil zijn. Vaak maakt een menselijke fout dat mogelijk, maar er zijn (enkele) uitzonderingssituaties waarin er echt sprake van overmacht is.

Wel ben ik het eens dat 99,99% van de datalekken minimaal een van de oorzaken terug te leiden is via de vijf Why's naar simpelweg onvoldoende besef in de organisatie dat persoonsgegevens iets is dat je grondig tegen datalekken moet beschermen.

A propos een handige lakmoesproef. Als je kritische vragen aan een verwerkingsverantwoordelijke stelt en je krijgt harde taal, juridische taal (we houden ons aan de wet), drang (anders neem je onze dienst maar niet af), een combinatie daarvan of welke andere reactie dan een respectvol inzicht in hoe men jouw gegevens beschermt terug, reken dan op een hogere kans op datalekken.
16-09-2021, 11:42 door Anoniem
Betreft dit een menselijke fout, of een fout in de migratieprocedures (ontbreken van controleslag) waardoor de menselijke fout niet gedetecteerd is en ondervangen is?
16-09-2021, 12:10 door Anoniem
Een openstaande poort kan toch niet de hoofdoorzaak zijn van het datalek? Ik mag toch aannemen dat de systemen zelf ook een safeguard hebben in de vorm van authenticatie? Ook dat dat een openstaande poort tot gevolg kan hebben dat je gelijk toegang hebt tot de database waarin alle gegevens staan is zeer kwalijk. Ieder modern platform moet toch enige mate van segmentatie in zich hebben waarbij je niet direct op de achterkant van het systeem kan komen.

Met de kennis van nu lijkt mij dat het hele ontwerp van de omgeving zo lek als een mandje is, een enkele menselijke fout mag dit nooit tot gevolg hebben.
16-09-2021, 12:52 door Anoniem
Door Anoniem:
Door Anoniem: Een datalek is toch altijd een menselijke fout?

Niet helemaal. Het kan ook kwade wil zijn. Vaak maakt een menselijke fout dat mogelijk, maar er zijn (enkele) uitzonderingssituaties waarin er echt sprake van overmacht is.

Wel ben ik het eens dat 99,99% van de datalekken minimaal een van de oorzaken terug te leiden is via de vijf Why's naar simpelweg onvoldoende besef in de organisatie dat persoonsgegevens iets is dat je grondig tegen datalekken moet beschermen.

A propos een handige lakmoesproef. Als je kritische vragen aan een verwerkingsverantwoordelijke stelt en je krijgt harde taal, juridische taal (we houden ons aan de wet), drang (anders neem je onze dienst maar niet af), een combinatie daarvan of welke andere reactie dan een respectvol inzicht in hoe men jouw gegevens beschermt terug, reken dan op een hogere kans op datalekken.
Kan natuurlijk ook zijn, dat zo'n aanbieders het gewoon spuugzat zijn, om die zogenaamde klanten telkens weer uit te leggen hoe er gewerkt wordt, je weet wel. Zo'n klant, die alles denkt te weten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.