image

Minister moet opheldering geven over ransomware-aanval op zorginstelling

woensdag 8 maart 2023, 14:41 door Redactie, 8 reacties

Minister Kuipers van Volksgezondheid moet opheldering geven over de ransomware-aanval op de Gelderse zorginstelling Attent Zorg en Behandeling, waar criminelen systemen met ransomware infecteerden en allerlei gevoelige gegevens buitmaakten. Buitgemaakte paspoorten van artsen, verpleegkundigen en fysiotherapeuten werden vervolgens op internet gepubliceerd.

Daarnaast bleek deze week ook dat een andere ransomwaregroep naaktfoto's van Amerikaanse borstkankerpatiënten die waren gestolen bij een ziekenhuis online heeft gezet. Beide aanvallen zijn aanleiding voor de VVD om Kamervragen te stellen. "Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden?", willen VVD-Kamerleden Hermans, Rajkowski en Rahimi weten.

De minister moet ook duidelijk maken welke maatregelen worden genomen om het cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen. "Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?", willen de VVD-Kamerleden verder weten.

Kuipers moet ook aangeven hoe hij ervoor gaat zorgen dat de KopieID-app van de Rijksoverheid meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn, zo vragen de VVD-Kamerleden. Een deel van de paspoortkopieën die bij Attent Zorg en Behandeling werd gestolen en online verscheen is al tien jaar niet meer geldig, maar werd toch nog in de systemen van Attent Zorg en Behandeling bewaard.

"Hoe kan er zorg voor gedragen worden dat 'vervuilde data', zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?", vragen Hermans, Rajkowski en Rahimi verder. Die willen tevens weten of de minister mogelijkheden ziet om op korte termijn aanvullende maatregelen te nemen om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten. Kuipers heeft drie weken de tijd om met een reactie te komen.

Attent Zorg en Behandeling kwam naar aanleiding van de berichtgeving met een verdere verklaring. "We herkennen ons niet in alle details van het geschetste beeld in de eerste publicatie van RTL Nieuws. Wel ondersteunen we het belang om de impact van cybercriminaliteit in de media goed voor het voetlicht te brengen", zo stelt de zorginstelling. Die laat ook weten dat het in het kader van het onderzoek niet op alle vragen kan ingaan, maar in een latere fase "graag" kijkt hoe het de opgedane kennis en ervaring breder kan delen. Hoe de organisatie besmet kon raken is niet bekendgemaakt.

Reacties (8)
08-03-2023, 15:01 door Erik van Straten - Bijgewerkt: 08-03-2023, 15:03
Ik herhaal (met enkele wijzigingen) uit https://security.nl/posting/788400:

Bij de indiensttreding hoort er een checklijst [1] te worden afgewerkt waarvan de bewijsvoering eigenlijk bij de kopie-ID bewaard zou moeten worden. De pagina op rijksoverheid.nl [2] is STOM (zoals wel meer pagina's op die site): het is juist niet de bedoeling dat deze kopiën worden vervangen: de bedoeling is dat werkgevers kunnen aantonen wie zij hebben aangenomen, wanneer en hoe grondig de identiteitscheck toen is uitgevoerd.

[1] https://www.nlarbeidsinspectie.nl/onderwerpen/stappenplan-verificatieplicht

[2] https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht

Behalve gemakzucht bestaat er geen enkele goede reden om deze kopiën online te bewaren. Sterker, naast wat er nu gebeurd is, vergroot dat het risico op gerommel (integriteit) met die kopiën. Bewaar die kopiën gewoon in een fysieke kluis.

Ik begrijp niet dat de overheid, die zelf de absurde [3] online authenticatie met een kopietje paspoort propageert, dit niet eerder heeft bedongen. Of heeft bedongen dat die kopiën ASAP aan de controlerende instantie(s) zouden worden overhandigd en niet meer ter plaatse (of in een wolk) bewaard.

[3] https://security.nl/posting/788021
08-03-2023, 15:01 door Anoniem
he he he die VVD vraagt? hoezo, de markt lost het toch altijd op?
08-03-2023, 16:33 door _R0N_
Alsof Kuipers er ook maar iets zinnigs over kan zeggen.
08-03-2023, 20:41 door Anoniem
Door _R0N_: Alsof Kuipers er ook maar iets zinnigs over kan zeggen.
Dat is een interessante vraag... Attent zorg is een stichting. Dat wekt op zijn minst de suggestie dat deze zorgaanbieder op afstand van het ministerie staat. Ik ken de wet- en regelgeving rond de zorg niet. Daarin zal vast vastgelegd zijn in hoeverre de minister wel of niet verantwoordelijk is voor dit soort zorgaanbieders.
09-03-2023, 03:40 door Anoniem
Ik blaas hem maar even op. Het is net als de batavus fabriek ter verantwoording roepen over hoe iemand van zijn fiets geknald kon worden. Volautomatisch of nog erger.

Afperssoftware is een openbare ordekwestie. Mensen in de zorg zijn bezig met zorg. Niet met de handhaving van de openbare orde.

Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.
09-03-2023, 10:22 door Anoniem
Afperssoftware is een openbare ordekwestie. Mensen in de zorg zijn bezig met zorg. Niet met de handhaving van de openbare orde.
Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.

Het is zeker een kwestie van openbare orde, maar binnen zorg Nederland hebben we toch echt de NEN7510 en aanvullende maatregelen. Volgens de AVG wet moet ook een zorgorganisatie "Passende technische en organisatorische maatregelen" nemen om de informatie te beveiligen. In de context van de zorg is voldoen aan de NEN7510 daarmee onvermijdelijk.

Lost dat het compleet op? Nee, helaas. Criminelen blijven creatief en waar een informatiebeveiliger altijd goed moet zitten heeft een crimineel vaak maar één ingang nodig om toe te kunnen slaan. Het is dus een complex verhaal, maar de vraag aan deze minister is wel terecht. Concreter zou de vraag nog beter kunnen worden geformuleerd als: Beste Minister, kunt u eens cijfers overleggen hoeveel zorgorganisaties voldoen aan de NEN7510 en toelichten waarom dit getal afwijkt van de wens van 100%?
Want geloof mij... die wijkt af.

Met vriendelijke groet,
Een bevlogen informatiebeveiligings-auditor die o.a. de NEN7510 toetst.
09-03-2023, 12:11 door Anoniem
Hadden we nu maar een minister voor Digitale Zaken gehad. Er is nog genoeg te regelen in de zorg zelf. Val die man toch niet lastig met zoiets. Zonde van onze belastingcenten.
09-03-2023, 15:14 door Anoniem
Door Anoniem: [..]

Afperssoftware is een openbare ordekwestie. Mensen in de zorg zijn bezig met zorg. Niet met de handhaving van de openbare orde.

Beetje gelul, maar dat snap je zelf hopelijk ook wel. De zorg doet ook een grote bak administratie - boeken,declareren , en patient (en personeels) gegevens verzamelen en bewaren .
Daar zijn ze ook verantwoordelijk voor, om dat zorgvuldig te doen.

Als ze boel kwijt geweest waren vanwege een diskcrash is dat ook een "zorg"probleem.
Als ze dokers zonder geldig diploma - of zonder werkvergunning - aannemen is dat ook een "zorg"probleem

Als ze zouden frauderen met declaraties is dat ook een vraag die aan Volksgezondheid gesteld kan worden , niet alleen aan justitie .

Dat hun gegevens lekten is geen kwestie van handhaving - waar haal je nou vandaan dat IT beveiligen "handhaving van de openbare orde is" ?


Verkeerde vraag aan de verkeerde minister. Dat je dat dan ook nog moet uitleggen dan. Aan de grootste politieke partij.

Betweters op een IT nerd forum. Wie had dat verwacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.