Het beheren van domeinnamen is bij veel zorginstellingen niet op orde. Zo staat bijna een derde van de onderzochte domeinnamen niet op naam van de zorginstelling. Ook zijn bij zo'n 17 procent van de domeinnamen in de jeugdzorg contactgegevens geregistreerd die niet van de zorginstelling zijn. Dat blijkt uit onderzoek van ongeveer 2.900 domeinnamen door SIDN, beheerder van het .nl-domein, in samenwerking met Z-CERT, het expertisecentrum voor cybersecurity in de zorg. Wat de gevaren zijn, lees je in dit artikel.
Door de toenemende digitalisering van de zorg, verschuift de focus van fysieke naar digitale veiligheid. Patiëntgegevens, communicatie tussen zorgverleners en zelfs medische apparatuur zijn steeds meer afhankelijk van een betrouwbare en veilige online infrastructuur. Domeinnamen worden hierbij vaak over het hoofd gezien als potentieel risico. Toch laten recente datalekken zien dat kwetsbaarheden in domeinnaambeheer een cruciale rol kunnen spelen in het ontstaan van beveiligingsincidenten.
Uit het onderzoek blijkt dat bijna de helft van de onderzochte domeinnamen van zorginstellingen problemen vertoont. Deze problemen variëren van onjuiste registratiegegevens tot potentieel malafide praktijken.
Verkeerde contactgegevens
Een deel van de domeinnamen (ongeveer 7 procent) bevat verkeerde contactgegevens. Hoewel de domeinnaam wel geregistreerd is door de zorginstelling, zijn de bijbehorende contactgegevens niet van de organisatie. Bij de registratie staat dan het privémailadres van een medewerker, een extern webdesignbureau en in een enkel geval zelfs een lokale sportvereniging. Staan de contactgegevens niet op naam van de organisatie, dan kan de domeinnaam zonder medeweten van de zorginstelling worden overgezet naar iemand anders, of worden opgezegd. Het probleem met verkeerde houderdata komt regelmatig voor. Bij jeugdzorg ziet SIDN dat ongeveer 17 procent van de domeinregistraties externe contactgegevens bevat.
Domeinnaam geen eigendom
Bij ongeveer 30 procent van de onderzochte domeinregistraties ligt het eigendom buiten de zorginstelling. Vaak staat de domeinnaam dan op naam van een IT-dienstverlener of marketingbureau, maar soms ook op naam van een individuele arts of onderzoeker. Dit gebeurt vaak uit gemak: een medewerker of externe partij registreert even snel een domeinnaam, zonder tussenkomst van de IT-afdeling.
Als de dienstverlening van de IT-leverancier stopt, of als de medewerker de organisatie verlaat, kan dit grote problemen veroorzaken. Vaak worden deze domeinnamen nog vertrouwd in interne mailservers en applicaties. Een kwaadwillende kan deze domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens.
Aandachtspunt voor kleine organisaties en ziekenhuizen
Dit risico is vooral hoog bij kleinere organisaties, zoals organisaties in de verpleeg- en verzorgingshuizen en thuiszorg (VVT), maar ook gehandicaptenzorg, stelt SIDN. Daar wordt rond de 35 procent van de domeinnamen extern beheerd. Ook universitaire medische centra (UMC) scoren opvallend hoog (36 procent), waarschijnlijk door het grote aantal domeinnamen dat zij gebruiken en de zelfstandigheid van onderzoekers en afdelingen. Kenmerkend voor ziekenhuizen in het algemeen: zij hebben vaak te maken met websites van patiëntenverenigingen, jaarverslagen of fondsenwervende initiatieven (zoals “Vrienden van…”). Deze sites gebruiken vaak de huisstijl van het ziekenhuis, maar zijn niet in eigen beheer en worden extern gehost.
Schaduw-IT
Het is, zo stelt SIDN, begrijpelijk dat zorginstellingen, vooral kleinere, soms kiezen voor snelle oplossingen. Een handige medewerker of externe webdesigner regelt de domeinnaamregistratie, zonder dat de IT-afdeling erbij betrokken is. Dit lijkt efficiënt, maar kan later tot problemen leiden. Het risico van dit soort goedbedoelde ‘schaduw-IT’ is bij de meeste partijen bekend en kent in de praktijk ook pijnlijke voorbeelden. Zo zagen wij een domeinnaam van een ziekenhuis die extern geregistreerd was en niet verlengd werd. De domeinnaam werd opnieuw geregistreerd door een anonieme partij en bevatte een kopie van de echte website, met een bestelportaal voor ongereguleerde medicatie.
Potentieel malafide registraties
Tijdens het onderzoek stuitte SIDN we ook op domeinnaamregistraties die mogelijk malafide zijn. Het aantal is gelukkig laag, iets meer dan 2 procent van alle resultaten. Deze domeinnamen maken vaak gebruik van de naam van een zorginstelling, maar zijn geregistreerd door onbekende partijen, meestal met buitenlandse adressen en anonieme e-mailaccounts.
De focus op dit vlak ligt vooral bij UMC’s en ziekenhuizen. Dit lijkt verband te houden met grotere naamsbekendheid en sterkere online aanwezigheid.
Typosquats
Bij typosquatting worden domeinnamen geregistreerd die sterk lijken op bijvoorbeeld een merknaam of de naam van een bedrijf of instelling, maar met kleine typefouten (bijvoorbeeld “…zieknhuis.nl”). Deze domeinen worden vaak geregistreerd door zogenaamde ‘domainers’, die hopen ze later met winst door te verkopen. Dat kan aan de zorginstelling zelf zijn, of aan een kwaadwillende.
In de tussentijd worden op deze domeinen vaak advertenties gehost, die mogelijk malware verspreiden. SIDN zag typosquatting het meest bij UMC’s (10 procent), ziekenhuizen en jeugdzorg (ongeveer 7 procent).
Ook goed nieuws
Bij de analyse van SIDN kwam men veel zaken tegen die verkeerd gingen, maar ook opvallende partijen die alles goed op orde hadden. Zo zijn er meerdere kleine en grote zorginstellingen die een afdeling verantwoordelijk hadden gemaakt voor het domeinbeleid. En met succes zo blijkt, want SIDN trof er geen onvolkomenheden aan. Ook de GGD’s scoorden hier opvallend goed, praktisch alle registratiegegevens waren correct en de domeinnamen stonden op naam van de instelling.
Tot slot
Zorginstellingen hebben vaak te maken met kwetsbare doelgroepen en gevoelige patiëntgegevens. Daarom is het essentieel dat de IT-infrastructuur goed functioneert en betrouwbaar is. Niet iedereen kan zich gemakkelijk bewegen in het steeds complexere digitale landschap, maar door alles goed te regelen, voorkom je problemen voor zowel medewerkers als patiënten, zo stelt SIDN.
