Weer grote hack, nu bij zorgleverancier ChipSoft: liggen jouw patiëntgegevens op straat?
In dit artikel:
Zorg-it-bedrijf ChipSoft is recent doelwit geworden van een ransomware-aanval, waarbij de toegang tot systemen werd geblokkeerd en mogelijk data is buitgemaakt. De storing treft onder meer de website van ChipSoft, het patiëntenportaal, het HiX-zorgplatform en de cloudomgeving die veel huisartsen gebruiken. De precieze oorzaak is nog onduidelijk; criminelen werken volgens cybersecurity-expert Bernold Nieuwesteeg zowel met traditionele malware/backdoors als met social engineering om via medewerkers binnen te komen.
ChipSoft is een dominante speler in Nederland: het bedrijf levert elektronische patiëntendossiers aan ruim zeventig procent van ziekenhuizen en huisartsen. Daardoor kunnen grote delen van de zorgsector geraakt worden. Z-Cert, het expertisecentrum voor cybersecurity in de zorg, adviseert klanten de verbinding met ChipSoft te verbreken; meerdere ziekenhuizen zouden dat al hebben gedaan.
Over de vraag of patiëntgegevens zijn gelekt bestaat onzekerheid. ChipSoft zegt in een klantmail dat persoonsgegevens “waarschijnlijk” niet betrokken zijn en stelt dat het incident de zorgverlening niet belemmert. De Autoriteit Persoonsgegevens heeft echter al meerdere datalekmeldingen van klanten ontvangen. Nieuwesteeg waarschuwt dat een eventueel datalek ernstig zou zijn, omdat medische gegevens zeer privacygevoelig zijn: “Dat is heel gevoelige data.”
De hack werpt ook een blik op structurele problemen in de zorg-it: omdat de markt gedomineerd wordt door één of enkele leveranciers, hebben afnemers vaak weinig hefboom om veiligheidseisen af te dwingen en wordt cyberbeveiliging soms als kostenpost gezien. Certificeringen bieden volgens Nieuwesteeg geen garantie; ook gecertificeerde bedrijven kunnen slachtoffer worden.
Bij ransomware vragen aanvallers doorgaans losgeld om publicatie van data te voorkomen en systemen vrij te geven. Voorbeelden tonen uiteenlopende reacties: Clinical Diagnostics betaalde afgelopen zomer om data van onderzoek te beschermen, terwijl internetprovider Odido geen losgeld betaalde en daarna persoonsgegevens openbaar werden gemaakt. ChipSoft en Z-Cert hebben op vragen over het huidige incident niet gereageerd.