Italiaans ziekenhuis via lek in firewall getroffen door ransomware-aanval
Een Italiaans ziekenhuis is via een kwetsbaarheid in de firewall die het gebruikte het doelwit van een ransomware-aanval geworden, waarbij de aanvallers persoonlijke gegevens van patiënten en personeel buitmaakten, waaronder ook gezondheidsdata. Wat voor firewall het universitair ziekenhuis van Alessandria gebruikte laat de Italiaanse privacytoezichthouder GPDP niet weten. De toezichthouder deed onderzoek naar de aanval en het datalek.
Via de gecompromitteerde firewall wisten de aanvallers 'domain credentials' te stelen en konden uiteindelijk lateraal door het netwerk bewegen. Zo wisten ze onder andere toegang tot de fileserver te krijgen. Deze server was alleen voor administratie doeleinden bedoeld, maar bleek ook bestanden met gezondheidsgegevens te bevatten. De data werd vervolgens gestolen. Daarnaast lukte het de aanvallers om de aanwezige antivirussoftware uit te schakelen, waarna ze op allerlei systemen ransomware uitrolden. De ransomware werd echter niet ingeschakeld en er werd geen data versleuteld.
De Italiaanse privacytoezichthouder deed onderzoek en stelde vast dat het ziekenhuis geen maatregelen had getroffen om datalekken te detecteren. Zo beschikte het ziekenhuis niet over een systeem voor het bijhouden van logs. Daarnaast schoot de beveiliging van het ziekenhuis tekort. Zo was er geen netwerksegmentatie toegepast, was er voor vpn-toegang geen multifactorauthenticatie vereist, gebruikten maintenance accounts gedeelde admin credentials en beschikten zo'n honderddertig gebruikers over volledige adminrechten. Daarnaast gebruikte het ziekenhuis verouderde communicatieprotocollen.
Het ziekenhuis heeft dan ook verschillende bepalingen van de AVG overtreden, aldus de Italiaanse toezichthouder. Bij het opleggen van een sanctie liet de GPDP als verzachtende omstandigheden meewegen dat het ziekenhuis na ontdekking het datalek snel meldde, volledig aan het onderzoek meewerkte, de beveiliging inmiddels heeft aangescherpt en dat de coronapandemie ervoor zorgde dat processen voor het verbeteren van de it-beveiliging werden vertraagd. Aangezien er wel gezondheidsgegevens zijn gestolen besloot de toezichthouder het ziekenhuis een boete van 25.000 euro op te leggen.
de beheeromgeving van de firewalls, als er dan toch al een LDAP koppeling moet zijn, hoort ook niet toegankelijk te zijn voor beheerders, anders zouden die immers een firewall regel kunnen aanpassen.
en op een beheeromgeving zou al helemaal geen userdata moeten staan.
zoveel fout op fout... dat kan alleen in italie of frankrijk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?