OM: verdachte aangehouden voor 'hacken' Groene Hart Ziekenhuis

Het Openbaar Ministerie meldt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft aangehouden. Hij zou betrokken zijn geweest bij een 'digitale inbraak' in computersystemen van het Groene Hart Ziekenhuis. Op de servers stonden gevoelige patiëntgegevens.

In oktober werd bekend dat een hacker toegang had tot patiëntgegevens van het Groene Hart Ziekenhuis uit Gouda. De data stond opgeslagen op een publiek toegankelijke server. Op het systeem zouden tientallen medische dossiers zijn te vinden. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden. Het zou gaan om gegevens van meer dan 493.000 personen.

Het OM meldt dat het team High Tech Crime van het KLPD een onderzoek is gestart na publicaties in de media over de zaak. Dinsdag heeft het Openbaar Ministerie bekendgemaakt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft gearresteerd. Hij zou betrokken zijn geweest bij de hack op de server van het Groene Hart Ziekenhuis. Volgens het Openbaar Ministerie heeft de hacker een 'grote hoeveelheid patiëntgegevens uit het systeem weggenomen'. Tegenover Nu.nl gaf de hacker destijds aan dat hij alle opgehaalde gegevens gewist zou hebben nadat het verhaal naar buiten was gekomen.

IT-banen

Reacties (58)

SidewalkSuper 27 november 2012 14:13

Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.

@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiëren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.

[Reactie gewijzigd door SidewalkSuper op 23 juli 2024 22:36]

Tijger @SidewalkSuper • 27 november 2012 14:23

Dat gaat alleen op als je de data niet download en het ziekenhuis inlicht, doe je dat wel dan ben je geen klokkenluider meer.

Sundog

@SidewalkSuper • 27 november 2012 16:09

Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.

@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiëren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.

Dit vind ik altijd een moeilijk vraagstuk.
Voor mij hoeven klokkeluiders of hackers die slechte beveiliging aantonen niet vervolgd te worden.
Maar van de andere kant, moeten we dan ook maar gewoon er op vertrouwen, dat een hacker of klokkeluider zelf niets met die data heeft gedaan? En dat hij/zij eventuele gedownloade data (als bewijs) op zijn systemen ook heeft vernietigd?

Als dat niet duidelijk is, dan kan ik me weldegelijk voorstellen dat er een onderzoek wordt opgestart door het OM, gebaseerd op een aangifte van de gehackte instantie.
Juridisch is het dan beter voor de hacker om als verdachte aan te worden gemerkt, en niet als getuige of iets anders.

Rutix 27 november 2012 14:12

Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?

Bilel @Rutix • 27 november 2012 14:21

Het gaat om een recente zaak waarbij de data NIET PUBLIEKELIJK toegankelijk waren.

De data stond namelijk op een computer, aangesloten op het netwerk, dat een slechte beveiliging had. Waardoor de hacker binnen is gekomen.

Volgens nu.nl (7 okt, 2012)

De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.

Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.

En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken. Vooraal aangezien je als persoon gewoon weet dat de data niet voor jou bestemd is als je ineens de persoonsgegevens van 493k man ziet.

EDIT: typos

[Reactie gewijzigd door Bilel op 23 juli 2024 22:36]

Anoniem: 477274 @Bilel • 27 november 2012 14:38

Als het klopt dat die bewuste server bereikbaar was met FTP, ipv iets wat veiliger/betrouwbaarder is zoals SSH of misschien zelfs een VPN, dan wil ik wel eens een hartig woordje wisselen met degene wiens idee dat was.

Zou me niks verbazen als het ziekenhuis een goedkope amateur om tips had gevraagd. Ik zou zelf (voor het spotgoedkope tarief van 0 cent) ze een waterdicht, op veiligheid gespitst advies gegeven hebben.

ronaldmathies @Anoniem: 477274 • 27 november 2012 15:03

Dat zei de persoon die ze ingehuurd hadden voor 0 euro ook.

Anoniem: 64119 @Bilel • 27 november 2012 15:10

Ik meen me te herinneren dat hacken het niet geauthoriseerd toegang verkrijgen is.
Terwijl cracken deze illegaal verschafde informatie misbruiken is.
(kaping, ransom, verkopen e.d.)

Het leek mij overigens ook al dat het niet openbaar was maar wel extern bereikbaar.

Hoe dan ook een slecht idee van die gast.

tweakerbee @Bilel • 27 november 2012 15:57

En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken.

Publiek of niet is precies het verschil. Bij publieke toegang is er geen spraken van autorisatie - en dus breek je niet in. Als het wachtwoord 1234 is, dan is er wel sprake van autorisatie. Als je dan het makkelijke wachtwoord via brute-force of anderszins achterhaald en jezelf toegang verschaft tot het systeem is het wel strafbaar.

CyBeR @Rutix • 27 november 2012 14:16

Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?

Mijn webservers zijn ook publiek toegankelijk. Betekent niet dat iedereen op de shell zomaar in kan loggen.

Rob Coops @CyBeR • 27 november 2012 14:39

Nee maar waar het heel erg op lijkt is dat de data simpel weg op een ftp of http server stond en alles dat nodig was was iemand die simpel weg even verder keek dan zijn neus lang is. Als dat hacken is dan vraag ik me af of het internet nog wel legaal gebruikt kan worden...

Immers alle data die ik op een web server kan vinden (indexing on natuurlijk) is simpel weg voor mij toegankelijk. Een robots.txt bestand kan dan wel zeggen dat een spider er niet bij mag mar dat zegt niets over mensen alleen over het opnemen van de resultaten in een search engine de reden dat de meeste spiders de data overslaan...
Als ik er gewoon bij kan zonder dat ik iets moet doen zo als een wachtwoord ontfutselen dan wel een beveiliging omzeilen dan is het toch geen hacken zelfs als de data waar ik bij kan eigenlijk niet voor mij bedoeld is. Als dat wel zo is dan kun je eigenlijk niets meer opzoeken op internet want tot je de data onder ogen krijgt kun je niet weten of de data al dan niet dor jouw gezien mag worden, zelfs als je de data ziet is dat nog steeds niet altijd duidelijk... als dat hacken is dan is het over met het vergaren van informatie via het internet want je kunt nooit meer iets op zoeken zonder het risico de wet te overtreden.

Als iemand op jouw shell kan inloggen dan is dat een ander verhaal, als daar het onderscheppen van communicatie voor nodig is om bijvoorbeeld de telnet wachtwoorden te onderscheppen dan is dat natuurlijk wel een vorm van hacken. Kun je nog als argument aanvoeren dat telnet nu ook weer niet echt veilig is maar goed dat is een ander verhaal.
Een hack is toch echt als onbevoegde toegang verschaffen tot een computer systeem, als de data gewoon beschikbaar is op de machine zonder dat er een wachtwoord of andere beveiliging is die je buiten sluit dan is het geen hacken dan is het gewoon heel erg dom om de data op deze manier beschikbaar te maken als dat niet de bedoeling is maar hacken is een totaal ander iets.

Pure_evil @Rob Coops • 27 november 2012 18:17

De dief keek even verder dan zijn neus lang was, sloeg het raam in en ging aan de haal met de autoradio, ga je nu ook beweren dat de eigenaar maar een gepantserde wagen moest kopen en in een beveiligde garage zetten, dan ging dit namelijk niet gebeurd zijn ...

Is geen persoonlijke aanval, echt niet, was gewoon even een bedenking na het lezen van een aantal reacties in die toon.

In het originele artikel staat trouwens ook dit: "Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar."
Er zat dus wel degelijk een paswoord op wat al genoeg is om duidelijk te maken dat het niet de bedoeling is dat iedereen hier toegang tot heeft. Feit blijft nog steeds dat hier sprake is van een ernstig probleem als je dit op een ftp zet (al dan niet met een simpel pw, ftp is gewoon lek en gebruik je niet voor zo'n info). Zeker omdat in 2011 reeds een onvoldoende gegeven was voor IT-beveiliging door de Inspectie voor de Volksgezondheid.

Daar komt ook bij dat het niet netjes is (mogelijks) dat de hacker dit meldt aan de media ipv eerst het betreffende bedrijf te contacteren. Vind hier echter niets van terug als dit al of niet gebeurd is dus kan er niet op oordelen.
Hier kan men uiteraard de vraag stellen of het ziekenhuis er enige aandacht aan zou gegeven hebben indien dit niet in de media kwam...

edit: klein stukje toegevoegd die ik vergeten was

[Reactie gewijzigd door Pure_evil op 23 juli 2024 22:36]

Rutix @Pure_evil • 27 november 2012 19:15

Alhoewel ik het met de rest eens ben is je eerste vergelijking een beetje krom. Als de server inderdaad publieke toegankelijk was dan is deze vergelijking beter:

"Een persoon liep langs een auto die open stond en haalde daar de autoradio uit en liet dat zien aan de eigenaar van de auto."

Deze vergelijking gaat hier beter op want de hacker heeft het gemeld en het ziekenhuis was hem zelfs dankbaar. De vraag nu is was het echt publiek toegankelijk of niet? Want dat is het verschil tussen een open auto en een dichte auto

Anoniem: 399807 @Pure_evil • 28 november 2012 11:31

In feite gaat het dus om normen en waarden.

sys64738 Moderator F&V 27 november 2012 14:43

Dit toont maar eens te meer aan dat er gewoon een goed publiek EPD moet komen. Maar ook dat zal de problemen niet oplossen want ziekenhuizen blijven intern altijd hun eigen systemen gebruiken en koppelen die vervolgens aan het landelijke EPD.

Als ik een groot project doe, komt er altijd wel iemand van ITSEC, of vergelijkbare partij, langs die eens goed aan het systeem gaat rammelen en kijkt of we alles wel netjes beveiligd hebben. Moeten we dit ook niet gewoon verplichten voor ziekenhuizen? Na iedere grote release en periodiek je systeem eens goed laten doorlichten? Tuurlijk kost die een flinke zak geld maar het is blijkbaar heel erg hard nodig. Je patiëntendossier op een publieke server?!?! Zo moeilijk is VPN toch ook weer niet?

Daarnaast vind ik het altijd grappig dat ze wel weten dat er data is meegenomen. Hoe? Of is het echt zo dat het ziekenhuis zijn IT zaken zo slecht op orde heeft, wel een database read loging bij houdt? Vreemd.

Finally: ik weet inderdaad niet wie ze beter op kunnen pakken. Zo'n huis-tuin-en-keuken hackertje of architect van het systeem zelf.

@Drq1: Nee, geen enkele systeem is waterdicht maar je kunt op z'n minst eens proberen een beetje je best te doen om het potentiële hackers lastig te maken en dat is hier overduidelijk niet gebeurd. Tegen online brute force aanvallen kun je je bijvoorbeeld prima wapenen. Waar geha(c)kt wordt, vallen spaanders en fouten zijn menselijk maar hier kun je de architect best op het matje roepen voor zijn wanprestatie.

[Reactie gewijzigd door sys64738 op 23 juli 2024 22:36]

drq1 @sys64738 • 27 november 2012 16:48

Daarnaast vind ik het altijd grappig dat ze wel weten dat er data is meegenomen. Hoe? Of is het echt zo dat het ziekenhuis zijn IT zaken zo slecht op orde heeft, wel een database read loging bij houdt? Vreemd.

Met netwerkmonitoring kom je een heel eind, maar vergeet als het om een database gaat (staat trouwens niet in het artikel) de transactie-log niet.

Finally: ik weet inderdaad niet wie ze beter op kunnen pakken. Zo'n huis-tuin-en-keuken hackertje of architect van het systeem zelf.

Met dat laatste heb ik fundamenteel problemen. Geen enkele beveiliging is onfeilbaar; kraken kost alleen maar tijd, brute-forcen of het vinden van een exploit, een zwakke plek in een systeem of de software, et voila. Wil je dan iedereen die aan een systeem werkt aanklagen als het ergens in de tijd misgaat? De architect, ontwerper, coder, de hardwareboer of zelfs de installateur? Wanneer dat namelijk het geval is kan iedereen in de IT-sector wel stoppen met werken

En het grootste beveiligingsrisico is nog altijd de mens zelf!

Maar om antwoord te geven op de laatste vraag:
Wat mij betreft deze hacker. Hij had voldoende bewijs voor toegang kunnen verzamelen met een aantal screenshots, eventueel nog een onschadelijk testbestand of record toevoegen op de server/db. Vervolgens zelf of via intermediair contact opnemen met het ziekenhuis.

Detmer

27 november 2012 14:07

Wat ik me nou altijd afvraag:

Doen ze dit alleen voor de kick? Geld valt er namelijk (volgens mij) niet te halen..

Tazzios @Detmer • 27 november 2012 14:12

De data stond opgeslagen op een publiek toegankelijke server.

Een beetje surfen voor de kick doen we allemaal toch.

himlims_ @Tazzios • 27 november 2012 14:32

De data stond opgeslagen op een publiek toegankelijke server.

Het team High Tech Crime van het KLPD is in oktober een onderzoek gestart nadat berichten in de media verschenen waaruit bleek dat een computersysteem van het Groene Hart Ziekenhuis was gehackt

waarom wordt de hacker dan aangehouden en niet de beheerders? Zij zijn duidelijk in gebreken door gevoelige patiëntgegevens open en blood op straat te leggen. Dat vind ik een grotere ramp dan wat kareltje-klik doet. Want wie zegt dat kareltje de eerste is geweest die een kijkje heeft genomen?

Standeman @himlims_ • 27 november 2012 14:46

Van het artikel van nu.nl heb ik begrepen dat hij via FTP de server kon binnen komen door het root ww te bruteforcen. Het is niet zo dat de gegevens daadwerkelijk publiekelijk toegankelijk was. De hacker was dus doelbewust aan het inbreken op een systeem.

Maar de organisatie (niet eens perse de beheerders van de server) zou inderdaad wel aangepakt mogen worden in dit geval. Medische dossiers moeten gewoon goed en veilig opgeborgen worden.
De kluis van een gemiddelde bank wordt ook niet dichtgehouden door een paar stukjes kauwgom en een dun touwtje. Als die leeggeroofd wordt, is de organisatie ook gewoon aansprakelijk.

Het wordt eens tijd dat in de wet opgenomen moet worden hoe welke data beveiligd moet worden. Het zal niet makkelijk zijn om iets dergelijks goed te formuleren, maar dergelijke nalatigheid mag van mij best een strafbaar tintje krijgen.

Sundog

@Standeman • 27 november 2012 15:45

Het wordt eens tijd dat in de wet opgenomen moet worden hoe welke data beveiligd moet worden. Het zal niet makkelijk zijn om iets dergelijks goed te formuleren, maar dergelijke nalatigheid mag van mij best een strafbaar tintje krijgen.

Er is al een wet die dit vereist: de wet bescherming persoonsgegevens.

Artikel 13 zegt:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Het probleem is dat deze wet onder het bestuursrecht valt en er geen straffen kunnen worden opgelegd, alleen dwangsommen door het CBP.
Dwangsom wordt dan alleen uitgevoerd als de aanwijzing van het CBP niet wordt opgevolgd. Dus eigenlijk bedoeld om toekomstige overtredingen tegen te gaan, niet om een eerdere overtreding te bestraffen.

Maar er was sprake van dat er een wetswijziging zou komen, waardoor het CBP ook boetes kan opleggen.
Wel is het mogelijk om voor benadeelden een civielrechterlijke procedure op te starten, om een schadevergoeding te eisen. Maar dan moet er ook aangetoond kunnen worden dat er schade is.

SoloH @Standeman • 27 november 2012 14:53

Inderdaad. Dit soort gegevens mag gewoon niet op een server staan die staat aangesloten op het internet.

champoo @SoloH • 27 november 2012 15:16

uhm ja, daarom wilde men ook landelijk het EPD invoeren.

ArgantosNL @champoo • 27 november 2012 16:16

Maar helaas is het EPD ook zo lek als een mandje, veel mensen hadden te veel toegang en was te gevoelig voor social engineering. Dit is een van de redenen dat het ook nooit volledig is ingevoerd.

Hydra @ArgantosNL • 27 november 2012 16:38

De huidige niet centrale patientendossiers zijn daar net zo gevoelig voor. Maar i.t.t. het landelijk EPD waar wel dit soort zaken meegenomen worden (in de vorm van een audit trail) is er geen haan die er naar kraait.

Ik snap ook niet dat mensen denken dat zolang er geen EPD is er geen gevaar is dat je gegevens in de verkeerde handen komen, alsof ziekenhuizen en je huisarts nog gewoon met papieren dossiers werken. Dat is eeuwen geleden al gedigitaliseerd.

Een goed voorbeeld: mijn tandarts. Die heeft gewoon als PHP hobbyist zijn eigen patentiendossier webapp gemaakt. Wie vertrouw je meer met gevoelige gegevens? Een integrator die tenminste wat kaas heeft gegeten van beveiliging of je eigen arts die een beetje heeft zitten hobbyen?

SuBBaSS @Standeman • 27 november 2012 15:58

Ja en wat is nu waarheid? Dit artikel spreekt die uitleg nogal tegen en het steekt me eerlijk gezegd een beetje dat er zo'n verschil tussen zit.
Daarnaast verwacht ik van tweakers.net eerder betrouwbare info aangaande cybersecurity dan van Nu.nl, maar dat kan natuurlijk aan mij liggen.

Ben het helemaal met je eens verder hoor, maar vind deze twee artikelen wel ver uit elkaar liggen; gegevens op een openbare server of het brute forcen van een ftp-pass. Daarnaast lijkt de uitleg van het OM wat vreemd, want met weggenomen gegevens impliceer je toch dat ze na de hack niet meer aanwezig waren.
Als dat inderdaad het geval is, dan zou dat wel terug te vinden moeten zijn in logs lijkt me. Het zou in ieder geval niet slim van de hacker geweest zijn..

tERRiON @Standeman • 27 november 2012 19:33

Van het artikel van nu.nl heb ik begrepen dat hij via FTP de server kon binnen komen door het root ww te bruteforcen.

Dan zijn er toch een aantal vragen die me onmiddellijk boven komen:
- Waarom kun je op afstand inloggen met 'root' (was dit ook werkelijk zo?)
- Waarom staan de bestanden op een server die vanaf internet bereikbaar is?
- Waarom zijn de bestanden niet versleuteld? (Ik heb het nadrukkelijk over bestandsencryptie, niet over diskencryptie)
- Waarom lijkt het erop dat er geen password/lockout-policy was? Na 3 á 5 foutieve inlogpogingen het account blokkeren is een minimale ingreep die brute forcen aanzienlijk bemoeilijkt...

Ik blijf het ronduit belachelijk vinden dat er anno 2012 nog steeds mensen op posities zitten waarbij zij een ernstig gevaar voor de privacy c.q. (digitale) beveiliging zijn!

Anoniem: 399807 @Standeman • 28 november 2012 11:25

Van mij daar ook een strafbaar tintje aan gegeven worden, zelfs een felle kleur. Maar een kluis die met een touwtje wordt dicht gemaakt is toch verzegeld waarbij het voor iedereen duidelijk is dat je er niet in mag.

M.a.w. de kracht of effectiviteit van de beveiliging of het slot is niet gerelateerd aan de vraag of er sprake is van inbraak of de strafbaarheid van de inbraak. Inbraak is het, zelfs als er maar een touwtje gebruikt wordt.

De waarde is dat je met je poten van andermans bezittingen blijft. De bijbehorende norm is de wet.

the-dark-force @himlims_ • 27 november 2012 17:04

dit is nederland, in plaats van de beheerders aan te pakken of zelf als overheid het boetekleed aan te trekken word de klokkeluider vervolgd en het liefst alles zo snel mogelijk vergeten tot het volgende "incident".

toendertijd werd het epd ons opgedrongen en van alles beloofd en ondanks dat niemand er vertrouwen in had werd het door de strot gedrukt, een tijdke geleden komt er naar buiten dat het inderdaad zoals verwacht slecht opgeslagen was en makkelijk toegang tot de gegevens was en wat gebeurt er ?
degene die het aan het licht brengt word vervolgd en vervolgens gebeurt er niets.

hoeveel krijgen de slachtoffers ter compensatie van het ziekenhuis voor het slecht beveiligen van die gevoelige data ?
wat is er gebeurt met de systeembeheerders ? (of in ieder geval degene verantwoordelijk voor deze slechte beveiliging)
worden er nu ook bij andere ziekenhuizen gecontroleerd op beveiligingslekken of zijn die nog gewoon toegankelijk voor iedereen ?

hij heeft een probleem getoond en ik ben geen fan van het lekken/kopieren van prive informatie maar anders is het anders lastig te bewijzen dat je ook daadwerkelijk toegang had.
ik zou het wel netter vinden de data zo te censureren dat er alleen vergeleken kan worden en geen informatie uitgehaald kan worden (bijv. uit elke reeks het 1e teken. naam geb. datum. verzekeringnr. = mj12)
en natuurlijk altijd een wifi hotspot gebruiken voor je eigen privacy

Anoniem: 399807 @the-dark-force • 28 november 2012 11:27

Wat gebeurt er doorgaans met zulke systeembeheerders?

De kans is groot dat ze hier op tweakers.net zitten. Ze houden zich wijselijk stil. Misschien zijn ze in staat de leiding van het ziekenhuis een rad voor ogen te draaien met wat ingewikkelde ICT terminologie.

'Ik bezweer u dat de hacker heel veel moeite heeft moeten doen om er in te komen, baas!'

The Zep Man

Netwerk en systeembeheer
Politiek en recht

@himlims_ • 27 november 2012 14:41

[...]

[...]

waarom wordt de hacker dan aangehouden en niet de beheerders? Zij zijn duidelijk in gebreken door gevoelige patiëntgegevens open en blood op straat te leggen.

Misschien hebben de beheerders het wel aangekaart, maar werd het risico geaccepteerd en is er geen ruimte gegeven om de situatie te verbeteren.

Vul in plaats van beheerders 'beslissers' in en je hebt deels een punt. Immers zijn zowel de hackers als de verantwoordelijken over de data in gebreke.

Razwer @Detmer • 27 november 2012 15:01

Geld valt er zeker wel mee te verdienen. Voor verzekeraars kan deze informatie veel geld waard zijn...

Anoniem: 310408 @Razwer • 27 november 2012 16:35

Er is geen verzekeringsmaatschappij die deze gegevens zou gebruiken. Je moet dan gaan uitleggen om welke grond je mensen uitsluit en het zal al snel uitkomen. De bestuursleden zitten dan snel jaren in het gevang.

Als je echt denkt dat de verzekeraars in Nederland zo corrupt zijn heb je echter een groter probleem dan het uitzoeken van een verkering.

Razwer @Anoniem: 310408 • 27 november 2012 17:47

daar zit je fout. een verzekeraar hoeft juridisch niet te verantwoorden waar ze hun gegevens vandaan hebben...

Anoniem: 399807 @Razwer • 28 november 2012 11:29

Erger, ze hoeven niet per individu wat dan ook te doen. Uit die gegevens kunnen patronen gedestilleerd worden. Manieren van werken en denken van medisch personeel. De achtergrond achter de dbc's zeg maar. Daar kunnen ze al veel voordeel uit halen denk ik. Allerlei conclusies kunnen getrokken worden.

PcDealer @Detmer • 27 november 2012 14:11

Met zoveel info kun je identiteitsdiefstal plegen: ofwel doen alsof je iemand anders bent.

Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen blijkt diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner.

Blazing-Studios @Detmer • 27 november 2012 15:05

als hacker valt er wel degelijk geld te verdienen, veelal als "legale" hacker in dienst van een bedrijf om de beveiliging te testen zodat dit soort dingen niet voorkomen, stond gisteren of vandaag nog een artikel over in de metro/spits.

leuk_he @Detmer • 27 november 2012 16:17

"hacker" deed het om de publicteit. zie b.v. http://webwereld.nl/nieuw...nden-pati-ntgegevens.html Het is niet zo dat het groene hart ondekte dat ze gehackt weren, nee een "hacker"maakte het bekend.

Die deed dat uiteraard voor de bekendheid, zonder werkelijk bekend te willen worden omdat klokkenluiders hier opgeknoopt worden.

Ting87 @Detmer • 27 november 2012 18:19

Voor de kick kan ik je vertellen.
Althans dat wat het vroeger bij mij, wat waar en hoe ik het hackte didnt mather....
Nou ja, thuisverbindingen is sneu dus dat deden we niet.
Meestal alleen hosting bedrijven en lekker lannen daar, maar wat je bij een ziekenhuis zoekt ?

Vraag is alleen, was dit een specifieke hack naar het ziekenhuis, of zat daar een IT-er die zijn zaakjes niet op orde heeft en de hacker geluk heeft door op dat moment net even te koekeloeren.
Vind het bij een toeval hack namelijk al stukken minder erg, als een doelgerichte hack --> dan komen er nog meer aan namelijk

Anoniem: 95759 @Detmer • 27 november 2012 14:45

Sommigen doen het uit ideëele overwegingen; om de beveiligingsproblemen aan de kaak te stellen. Dat zijn gelukkig de meeste, de zgn. White-hat hackers.

Sommige verkopen helaas de gegevens aan spammers en cybercriminelen of opzettelijk schade te berokkenen. (black-hat)

Een klein groepje doet het om te zieken, die zitten er ook tussen (grey-hat)

the-dark-force @Anoniem: 95759 • 27 november 2012 17:16

ik vind je grey hat omschrijving toch wat minder...
dit vind ik toch wat passender
grey-hat: legaal met soms een illegaal kantje (vaak de "hacktivisten")
zo zijn er grey hats, die websites neerhalen met malware of kinderporno.
machines proberen te infecteren om pedofielen op te sporen en aan te geven, internet oplichters te vinden of om problemen aan de kaak te stellen als bijvoolbeeld slecht beveiligde patienten dossiers...

PcDealer 27 november 2012 14:13

Het is al de tweede keer dat bekend is geworden dat gevoelig informatie benaderbaar was:

Het is niet de eerste keer dat de informatiebeveiliging van het Groene Hart Ziekenhuis ter discussie staat. In 2011 tikte de Inspectie voor de Volksgezondheid het ziekenhuis nog in een brief op de vingers.Na een controle bleken ze een onvoldoende te scoren.

Ik neem aan dat het OM niet tot vervolging zal overgaan:

Samen met het National Cyber Security Center en beveiligingsbedrijf Fox IT wordt gewerkt aan een definitieve oplossing voor het probleem om dit in de toekomst te voorkomen. Er werd al gewerkt aan verbetering van de beveiliging. “We vinden het niet leuk dit te moeten horen, maar zijn de hacker dankbaar dat het gemeld is”, stelt de zegsvrouw.

koenderoo 27 november 2012 14:29

Beetje vreemd om te lezen dat het om tientallen dossiers gaat en vervolgens om bijna een half miljoen patienten. Mag toch aannemen dat die half miljoen patienten allemaal een eigen dossier hebben? Dan zou het toch ook om duizenden dossiers gaan?

World Citizen 27 november 2012 14:30

Tsja, zo bleek dat ik gewoon MMC kon opstarten om vervolgens een lokale user aan te maken, en via Shares die niet beveiligd waren overal bij kon. Een share niet mounten betekend niet dat je er niet bij kunt.

Dit hadden ze trouwens zo opgelost

Is wel al weer een 3 jaar geleden.

Batiatus 27 november 2012 15:25

Er worden daar dus ook geen logs of activity monitors bijgehouden? Als de FTP server wordt ge-bruteforced zou het in de logs moeten verschijnen. Desalniettemin is dit wel een vorm van hacking, maar zouden de beheerder i.m.o. ook ondervraagd moeten worden, als je dit niet bijhoud in in ziekenhuis.. dan vraag ik me toch af of je ook maar iets om informatiebeveiliging geeft.

proatjeboksem @Batiatus • 27 november 2012 15:31

is moeilijk bij te houden in een ziekenhuis. Er lopen zo veel leveranciers rond, en die willen voor hun pakket allemaal administrator-rechten op de server of client.

Anoniem: 286128 27 november 2012 16:54

Ok, maar in deze gaat het er dus om dat in overleg met Nu.nl een hack naar buiten is gebracht
die door 'Bonnie' gedaan is, Fox-IT heeft aangekaart dat het betreurt dat dit gebeurd is en een
betere beveiliging beloofd? Of is het daarna NOGMAALS gehacked? Indien dat het geval is dan.....

Sysosmaster

27 november 2012 14:17

reactie op :Detmer8
wat dacht je van afpersing?
valt vaak toch goed geld mee te verdienen.

Bijvoorbeeld een rijkere zakenman die behandeld is voor een s.o.a. best vervelend als dat uitkomt en dus te chanteren met die gegevens.

Ook het ziekenhuis zou je om losgeld kunnen eisen voor de data.

Zo zijn er waarschijnlijk nog wel een paar verdien modellen te bedenken.

[Reactie gewijzigd door Sysosmaster op 23 juli 2024 22:36]

proatjeboksem @Sysosmaster • 27 november 2012 14:29

gelet op de gebruikte terminologie, zijn het DBC gegevens, dus als het goed is, zijn de behandelplannen en diagnoses gecodeerd.

Daarnaast heeft het GHZ vermoedelijk een kleine anderhalf miljoen patienten in hun database.
Ik zou zeggen, succes met zoeken & interpreteren. Dan heb je dat losgeld wat mij betreft verdiend

Op dit item kan niet meer gereageerd worden.

OM: verdachte aangehouden voor 'hacken' Groene Hart Ziekenhuis

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: