image_pdfimage_print
21 mei 2019

Crimineel verkregen elektronisch medisch dossier tussen 250 tot 1000 dollar waard

crimineelOp 11 april 2019 publiceerde het Department of Health and Human Services (HHS) een kennisgeving over cybersecurity in de zorg. Dit departement van de V.S. is de tegenhanger van ons ministerie van VWS. De publicatie, bestaande uit 13 sheets, is een briefing met als titel “Dark Web PHI Marketplace”. PHI staat voor Protected Health Information. In de publicatie wijst het ministerie op de enorme consequenties van het illegaal verwerven en verhandelen van crimineel verkregen zorgdata op het schimmige deel van het internet, het Dark Web. Daarop is het mogelijk dat kwaadwillende personen/organisaties illegaal verkregen zorgdata kopen en verkopen die afkomstig zijn van datalekken. Dat soort marktplaatsen stimuleren cybercriminelen om zorgorganisaties elektronisch aan te vallen en de buit te gelde te maken. Zorgdata zijn volgens het ministerie op dit moment één van de meest winstgevende data op het Dark Web. Criminelen kunnen daar anoniem acteren zonder angst voor repercussies.

Lees verder

24 apr 2017

Ongeautoriseerd inzien zorgdata soms vanuit zeer onverwachte hoek

dief

Niets is wat het lijkt te zijn. Deze nogal cynische uitdrukking is helaas vaak van toepassing, zeker in de ICT-wereld. In The Wallstreet Journal van 19 april 2017 stond een schokkend artikel over een Amerikaans IT-beveiligingsbedrijf, Tanium genaamd. Het bedrijf heeft toekomstige klanten gedurende enkele jaren de mogelijkheid geboden live in het netwerk van ziekenhuizen te kijken en heeft ook video’s daarvan op YouTube gezet. Dat alles zonder dat de ziekenhuizen daar toestemming voor gaven. Terwijl het artikel in The Wallstreet Journal achter een betaalmuur zit, is er toch berichtgeving hierover die vrij te volgen is.  De zaak kwam aan het rollen toen het El Camino ziekenhuis in Santa Clara County in Californië erop attent werd gemaakt dat 15 seconden durende  filmpjes op YouTube te zien waren met informatie van het managementsysteem van het ziekenhuis. De ziekenhuisdirectie was hoogst verbaasd en verontwaardigd dat de leverancier van de software, die ze in 2010 aanschafte,  minimaal gedurende vijf jaar deze vreemde handelswijze heeft gebezigd. Dat het om die jaren gaat blijkt uit de datering van de enkele honderden filmpjes op YouTube, die overigens inmiddels allemaal verwijderd zijn. De filmpjes waren ook te zien op het bedrijfsnetwerk van het cybersecurity-bedrijf.

Lees verder

26 feb 2016

Blauwdruk over cybersecurity bij ziekenhuizen. Een heldere analyse uit de VS

castle-979597_640

Op 23 januari 2016 publiceerde het Amerikaanse bedrijf Independent Security Evaluators(IDE) een studie op basis van eigen research over de cybersecurity in de zorg, met name ten aanzien van ziekenhuizen. De titel is “Securing Hospitals”. Over dit onderwerp publiceerde ik reeds eerder op 1 februari j.l. en op 18 februari. Het is een kwestie waarvan je op voorhand zou zeggen dat in die sector de computerveiligheid goed geborgd zou moeten zijn, maar niets is minder waar. Regelmatig verschijnen er in de internationale pers berichten over gehackte ziekenhuizen of andere gezondheidszorginstellingen. Het varieert van alleen het aantonen dat hackers in de systemen binnen zijn geweest tot het plaatsen van ransomware. Daarbij versleutelt de malicieuze software van de hacker de programmatuur en data en geeft die pas vrij na betaling van “losgeld”. Zoals ik in beide artikelen al verwoordde is er ten aanzien van de cybersecurity in de zorg nog veel te doen. Natuurlijk kan men stellen dat zaken in Nederland anders geregeld zijn dan in de Verenigde Staten, maar de basis van de problematiek is overal hetzelfde. Lees verder

18 feb 2016

Cybersecurity in medische sector: Witte Huis geeft goed voorbeeld

hands-1004271_640

Terwijl enerzijds diverse veiligheidsdiensten in de Verenigde Staten koplopers zijn in het elektronisch afluisteren en volgen van burgers, is daar anderzijds ook een groeiend besef van de kwetsbaarheid van medische apparatuur en hulpmiddelen die aan elektronische ziekenhuisnetwerken gekoppeld zijn. Zeer recent, in januari 2016 werd op initiatief van het Witte Huis, aldaar een ronde tafelgesprek gehouden over cybersecurity in ziekenhuizen en rond elektronische medische apparaten. Eén van de deelnemers, Kevin Fu, professor aan de universiteit van of Michigan en leider van het Archimedes Center for Medical Device Security, bericht hierover op zijn blog. Kevin Fu was ook spreker op de Enigma 2016 conferentie waarover ik recent berichtte in het kader van het risicobewustzijn bij zorgaanbieders ten aanzien van elektronische medische apparatuur Op die bijeenkomst waren naast vertegenwoordigers van de fabrikanten van deze apparatuur ook veiligheidsexperts uit het bedrijfsleven, van overheidsinstanties(waaronder de FBI) en universiteiten aanwezig om te brainstormen over dit onderwerp.

Lees verder