Nieuws

Bij kwart ziekenhuizen en GGD’s ontbreekt basale onlinebeveiliging

Een kwart van alle ziekenhuizen en GGD’s in Nederland heeft de basale onlinebeveiliging niet op orde. Websites en e-mails zijn niet goed beveiligd en de zorginstellingen gebruiken verouderde, niet-beveiligde techniek voor het versturen en ontvangen van bestanden.

De NCTV waarschuwde deze week al dat vitale processen in de samenleving platgelegd kunnen worden door hackers. Beeld Arie Kievit
De NCTV waarschuwde deze week al dat vitale processen in de samenleving platgelegd kunnen worden door hackers.Beeld Arie Kievit

Ziekenhuizen en GGD’s beheren gevoelige informatie van patiënten. Informatie die kwetsbaar is voor diefstal. Kwaadwillenden kunnen de gebrekkige beveiliging bij ziekenhuizen en GGD’s onder meer misbruiken om mee te kijken welke bestanden of gegevens er worden verstuurd. Buitenstaanders kunnen doen alsof ze een mail versturen vanaf het adres van een ziekenhuis, terwijl dat niet zo is en op die manier cruciale systemen aanvallen.

Deze week waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) voor aanvallen met ransomware: programma’s die computersystemen blokkeren en ze pas weer vrijgeven als er losgeld is betaald of aan voorwaarden is voldaan. Die aanvallen komen inmiddels zo vaak en op zulke grote schaal voor, dat ze ‘het zenuwstel’ van de Nederlandse maatschappij aantasten en een mogelijk gevaar zijn voor de nationale veiligheid. Belangrijke onderdelen van de infrastructuur zouden kunnen uitvallen als ze door hackers worden aangevallen en de beveiliging van een aantal vitale processen is niet goed genoeg, aldus de NCTV.

Dat een aanval grote gevolgen kan hebben, bleek in de Verenigde Staten. Daar werd Colonial Pipeline, dat een van de belangrijkste oliepijpleidingen beheert, in mei gehackt met gijzelsoftware. Uit voorzorg legde Colonial de toevoer van olie stil. In Nederland waren de gemeente Hof van Twente en een vervoerder van kaas naar supermarkten eerder slachtoffer van een aanval met gijzelsoftware. De NCTV waarschuwt dat vitale processen in de samenleving platgelegd kunnen worden door hackers.

Basale beveiligingsmaatregelen

De broze bescherming van sommige ziekenhuizen en GGD’s is ontdekt door The Internet Cleanup Foundation, een Nederlandse stichting die onderzoek doet naar de basisbeveiliging van websites en e-mailservers. De stichting controleerde alle domeinnamen van ziekenhuizen en GGD’s in Nederland met hulp van scripts – geautomatiseerde programma’s die gemaakt zijn om kwetsbaarheden te ontdekken. Dat deed de stichting eerder bij websites van Nederlandse gemeenten.

Voorzitter en ethisch hacker Elger Jonker benadrukt dat het niet gaat om hoog opgetrokken digitale muren tegen een vijandelijke aanval, maar om basale beveiligingsmaatregelen. ‘Er is veel aandacht voor cybersecurity. Maar ondanks coalities in de zorg, alle normen die worden gesteld en afspraken die worden gemaakt, blijkt de basis vaak niet op orde.’

Het onderzoek van The Internet Cleanup Foundation is gepubliceerd op Basisbeveiliging.nl, en is van tevoren naar Z-Cert gestuurd. Dat is een kenniscentrum voor computerbeveiliging in de zorg. Z-Cert heeft de bevindingen een maand voor publicatie met alle betrokken instellingen gedeeld, zegt een woordvoerder, waarna sommige kwetsbaarheden zijn verholpen. De woordvoerder benadrukt dat slechts een deel van de onlinebeveiliging van ziekenhuizen is onderzocht, maar zegt blij te zijn met de bevindingen. ‘We zijn blij dat bij driekwart van de onderzochte instellingen geen problemen zijn gevonden, maar er blijft werk aan de winkel’.

Meer over