Minister moet opheldering geven over ransomware-aanval op zorginstelling
Minister Kuipers van Volksgezondheid moet opheldering geven over de ransomware-aanval op de Gelderse zorginstelling Attent Zorg en Behandeling, waar criminelen systemen met ransomware infecteerden en allerlei gevoelige gegevens buitmaakten. Buitgemaakte paspoorten van artsen, verpleegkundigen en fysiotherapeuten werden vervolgens op internet gepubliceerd.
Daarnaast bleek deze week ook dat een andere ransomwaregroep naaktfoto's van Amerikaanse borstkankerpatiënten die waren gestolen bij een ziekenhuis online heeft gezet. Beide aanvallen zijn aanleiding voor de VVD om Kamervragen te stellen. "Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden?", willen VVD-Kamerleden Hermans, Rajkowski en Rahimi weten.
De minister moet ook duidelijk maken welke maatregelen worden genomen om het cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen. "Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?", willen de VVD-Kamerleden verder weten.
Kuipers moet ook aangeven hoe hij ervoor gaat zorgen dat de KopieID-app van de Rijksoverheid meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn, zo vragen de VVD-Kamerleden. Een deel van de paspoortkopieën die bij Attent Zorg en Behandeling werd gestolen en online verscheen is al tien jaar niet meer geldig, maar werd toch nog in de systemen van Attent Zorg en Behandeling bewaard.
"Hoe kan er zorg voor gedragen worden dat 'vervuilde data', zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?", vragen Hermans, Rajkowski en Rahimi verder. Die willen tevens weten of de minister mogelijkheden ziet om op korte termijn aanvullende maatregelen te nemen om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten. Kuipers heeft drie weken de tijd om met een reactie te komen.
Attent Zorg en Behandeling kwam naar aanleiding van de berichtgeving met een verdere verklaring. "We herkennen ons niet in alle details van het geschetste beeld in de eerste publicatie van RTL Nieuws. Wel ondersteunen we het belang om de impact van cybercriminaliteit in de media goed voor het voetlicht te brengen", zo stelt de zorginstelling. Die laat ook weten dat het in het kader van het onderzoek niet op alle vragen kan ingaan, maar in een latere fase "graag" kijkt hoe het de opgedane kennis en ervaring breder kan delen. Hoe de organisatie besmet kon raken is niet bekendgemaakt.
Bij de indiensttreding hoort er een checklijst [1] te worden afgewerkt waarvan de bewijsvoering eigenlijk bij de kopie-ID bewaard zou moeten worden. De pagina op rijksoverheid.nl [2] is STOM (zoals wel meer pagina's op die site): het is juist niet de bedoeling dat deze kopiën worden vervangen: de bedoeling is dat werkgevers kunnen aantonen wie zij hebben aangenomen, wanneer en hoe grondig de identiteitscheck toen is uitgevoerd.
[1] https://www.nlarbeidsinspectie.nl/onderwerpen/stappenplan-verificatieplicht
[2] https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht
Behalve gemakzucht bestaat er geen enkele goede reden om deze kopiën online te bewaren. Sterker, naast wat er nu gebeurd is, vergroot dat het risico op gerommel (integriteit) met die kopiën. Bewaar die kopiën gewoon in een fysieke kluis.
Ik begrijp niet dat de overheid, die zelf de absurde [3] online authenticatie met een kopietje paspoort propageert, dit niet eerder heeft bedongen. Of heeft bedongen dat die kopiën ASAP aan de controlerende instantie(s) zouden worden overhandigd en niet meer ter plaatse (of in een wolk) bewaard.
[3] https://security.nl/posting/788021
Afperssoftware is een openbare ordekwestie. Mensen in de zorg zijn bezig met zorg. Niet met de handhaving van de openbare orde.
Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.
Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.
Het is zeker een kwestie van openbare orde, maar binnen zorg Nederland hebben we toch echt de NEN7510 en aanvullende maatregelen. Volgens de AVG wet moet ook een zorgorganisatie "Passende technische en organisatorische maatregelen" nemen om de informatie te beveiligen. In de context van de zorg is voldoen aan de NEN7510 daarmee onvermijdelijk.
Lost dat het compleet op? Nee, helaas. Criminelen blijven creatief en waar een informatiebeveiliger altijd goed moet zitten heeft een crimineel vaak maar één ingang nodig om toe te kunnen slaan. Het is dus een complex verhaal, maar de vraag aan deze minister is wel terecht. Concreter zou de vraag nog beter kunnen worden geformuleerd als: Beste Minister, kunt u eens cijfers overleggen hoeveel zorgorganisaties voldoen aan de NEN7510 en toelichten waarom dit getal afwijkt van de wens van 100%?
Want geloof mij... die wijkt af.
Met vriendelijke groet,
Een bevlogen informatiebeveiligings-auditor die o.a. de NEN7510 toetst.
Afperssoftware is een openbare ordekwestie. Mensen in de zorg zijn bezig met zorg. Niet met de handhaving van de openbare orde.
Beetje gelul, maar dat snap je zelf hopelijk ook wel. De zorg doet ook een grote bak administratie - boeken,declareren , en patient (en personeels) gegevens verzamelen en bewaren .
Daar zijn ze ook verantwoordelijk voor, om dat zorgvuldig te doen.
Als ze boel kwijt geweest waren vanwege een diskcrash is dat ook een "zorg"probleem.
Als ze dokers zonder geldig diploma - of zonder werkvergunning - aannemen is dat ook een "zorg"probleem
Als ze zouden frauderen met declaraties is dat ook een vraag die aan Volksgezondheid gesteld kan worden , niet alleen aan justitie .
Dat hun gegevens lekten is geen kwestie van handhaving - waar haal je nou vandaan dat IT beveiligen "handhaving van de openbare orde is" ?
Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.
Betweters op een IT nerd forum. Wie had dat verwacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
