Twee hacks, een wake-upcall

Nederland is deze zomer opgeschrikt door twee forse cyberincidenten die laten zien hoe kwetsbaar zelfs vitale instellingen zijn. Het gaat om de hack bij het Openbaar Ministerie (OM) en het datalek bij het laboratorium NMDL, dat onder andere het bevolkingsonderzoek naar baarmoederhalskanker uitvoert. Wat is het risico voor jou als lid van HCC? Lees het in dit artikel.

Hoewel justitie en gezondheidszorg op het eerste gezicht weinig gemeen hebben, delen de twee cyberincidenten een zorgwekkend patroon: aanvallen op organisaties die beschikken over extreem gevoelige informatie, waarbij de gevolgen veel verder reiken dan de directe slachtoffers. Inmiddels is duidelijk dat de gegevens van personen die hebben deelgenomen aan het baarmoederhalskankeronderzoek op het dark web zijn verschenen.

Hack bij OM
De aanval op het OM begon met een kritieke kwetsbaarheid in Citrix NetScaler-systemen. Het gaat hier om software die veel organisaties gebruiken om medewerkers op afstand te laten inloggen. Het lek, aangeduid als zero-day, werd al misbruikt voordat er een beveiligingsupdate beschikbaar was.

Uit voorzorg haalde het OM delen van het netwerk offline. Dat veroorzaakte verstoringen bij rechtszaken, interne communicatie en e-mailverkeer. Vooralsnog zijn er geen harde aanwijzingen dat er gegevens zijn buitgemaakt, maar absolute zekerheid ontbreekt. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat waarschijnlijk ook andere Nederlandse organisaties via hetzelfde lek zijn getroffen.

Hack bij NMDL
Bij laboratorium NMDL in Rijswijk wisten criminelen persoonlijke én medische gegevens van ongeveer 485.000 vrouwen te stelen. Het gaat om naam, adres, geboortedatum, BSN en testuitslagen. Mogelijk zijn ook gegevens van andere medische onderzoeken, zoals huid- en urineonderzoek, buitgemaakt.

Een deel van de data is inmiddels op het dark web gepubliceerd. In totaal zou de buit zo’n 300 gigabyte bedragen, waarvan nu zo’n 100 megabyte openbaar is. Deze gegevens zijn niet te ‘resetten’ zoals een wachtwoord: eenmaal gestolen, blijven ze circuleren.

Grotere omvang
In een tv-interview waarschuwde Z-CERT-directeur Wim Hafkamp dat het probleem in de zorg veel groter is dan aanvankelijk gedacht. Z-CERT is het Computer Emergency Response Team voor de Nederlandse zorg en analyseert dergelijke incidenten.

Volgens Hafkamp zijn naast ziekenhuizen ook huisartsenpraktijken en andere zorginstellingen geraakt. Sommige organisaties weten zelf nog niet dat ze slachtoffer zijn. Dat vergroot de kans dat persoonlijke gegevens ongemerkt misbruikt worden, terwijl betrokkenen onwetend blijven.

Risico’s voor jou
Misschien denk je: ik heb niets met het OM en laat geen uitstrijkje doen bij NMDL, dus dit gaat niet over mij. Maar de impact van zulke hacks kan veel breder zijn.

Jouw gegevens ertussen
Als je ooit hebt meegedaan aan bevolkingsonderzoek of in aanraking bent geweest met justitie – als getuige, slachtoffer of verdachte – kunnen jouw gegevens in deze systemen zitten.

Gerichte phishing
Met buitgemaakte persoonlijke data kunnen criminelen geloofwaardige e-mails, brieven of telefoontjes maken. Hoe meer details ze hebben, hoe moeilijker nepberichten te herkennen zijn.

Identiteitsfraude
Gegevens zoals naam, adres, geboortedatum en BSN zijn waardevol voor fraudeurs. Daarmee kunnen ze proberen om leningen, abonnementen of aankopen op jouw naam te doen.

Vertrouwen onder druk
Grote datalekken tasten het vertrouwen in digitale diensten aan, waardoor mensen soms minder veilige alternatieven kiezen.

Rol van Z-CERT
Z-CERT ondersteunt zorgorganisaties bij het voorkomen, detecteren en afhandelen van cyberincidenten. Het team deelt dreigingsinformatie, analyseert kwetsbaarheden en adviseert instellingen over beveiligingsmaatregelen. In het geval van NMDL helpt Z-CERT bij het in kaart brengen van de aanval en het waarschuwen van andere zorginstellingen.

Je kunt het zien als de digitale brandweer voor de zorgsector: liever voorkomen dan blussen, maar altijd klaar om in te grijpen als het misgaat.

Wat jij kunt doen
Je kunt de beveiliging van grote organisaties niet zelf verbeteren, maar je kunt wel maatregelen nemen om de impact op jou te beperken:

• Gebruik voor elke dienst een uniek wachtwoord, bij voorkeur via een wachtwoordmanager.
• Zet tweestapsverificatie aan waar het kan.
• Check regelmatig of je e-mailadres voorkomt in bekende datalekken, bijvoorbeeld via haveibeenpwned.com.
• Wees alert op phishing, zeker na nieuws over grote hacks.
• Deel zo min mogelijk persoonlijke informatie op sociale media.

De hacks bij het OM en NMDL laten zien dat geen enkele organisatie immuun is voor digitale aanvallen. Voor jou als HCC-lid is dit een duidelijke wake-upcall: digitale veiligheid is geen ver-van-je-bedshow, maar iets wat direct invloed kan hebben op jouw gegevens. Door alert te blijven en basismaatregelen te nemen, verklein je de kans dat criminelen met jouw data aan de haal gaan – ook als je zelf niet denkt in de risicogroep te zitten.