Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 16.778 views •

De 26-jarige man die ervan wordt verdacht het Groene Hart Ziekenhuis in Gouda te hebben gehackt, is weer vrijgelaten. Hij heeft volgens het OM een bekentenis afgelegd en zou bovendien malware op de computersystemen hebben gezet.

Naast de 26-jarige man zijn er ook andere verdachten betrokken bij het onderzoek, zegt het Openbaar Ministerie. In afwachting van het verdere onderzoek is hij vrijdag aan het einde van de middag vrijgelaten. Het is onduidelijk wanneer het onderzoek zal zijn afgerond. Naast dat hij zou hebben ingebroken in de computersystemen van het ziekenhuis zou hij malware op het computersysteem hebben gezet, claimt het OM.

De 26-jarige man wordt ervan verdacht binnen te zijn gedrongen op computersystemen van het Groene Hart Ziekenhuis in Gouda. Dinsdag werd de man opgepakt; een deel van zijn tijd in de cel bracht hij door in beperkingen, wat betekent dat iemand geen contact mag hebben met de buitenwereld, afgezien van zijn advocaat.

Dat de hacker werd aangehouden was omstreden, omdat hij volgens eerdere berichten geen kwade bedoelingen zou hebben gehad. Daarom reageerden Kamerleden 'ontsteld' op vragen over de aanhouding van it-journalist Brenno de Winter namens Nu.nl. Die reactie lijkt met de informatie van nu voorbarig te zijn geweest: de hacker wordt er immers van verdacht ook malware op het computersysteem te hebben geplaatst.

De hacker kreeg complimenten, omdat hij het ziekenhuis inlichtte en het 'bewijsmateriaal' dat hij buitmaakte weer zou hebben verwijderd. Het ziekenhuis zegt aangifte te hebben gedaan op advies van de politie, justitie, beveiligingsbedrijf Fox-IT en het Nationaal Cyber Security Centrum. Eerder zei minister Edith Schippers van Volksgezondheid blij te zijn met de manier waarop de hacker te werk ging: 'vernietigen van wat je hebt ingezien, maar wel aantonen dat het niet deugt'.

Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiënten'. Dat heeft de hacker toch gedaan, stelt het ziekenhuis. "Wat er met deze gedownloade gegevens van onze patiënten gebeurd is, is niet door ons te achterhalen. Zekerheid hierover kan alleen verkregen worden door aanhouding van de dader of daders."

Volgens het ziekenhuis is inmiddels duidelijker dat tussen 26 september en 7 oktober meerdere malen gegevens zijn gedownload uit het netwerk, waaronder 1800 gescande documenten uit medische dossiers van 47 patiënten. Het ziekenhuis benadrukt dat het gaat om gedigitaliseerde papieren dossiers, en dat de hack niets met het EPD te maken heeft.

Update 20:47: In dit artikel stond oorspronkelijk alleen dat de verdachte was vrijgelaten. De informatie van het Openbaar Ministerie over de bekentenis en de malware is later toegevoegd.

Reacties (52)

Reactiefilter:-152050+132+22+30
Moderatie-faq Wijzig weergave
Het lag voor het oprapen, en daar heb je ons bewust van gemaakt! Nu ben jij schuldig omdat je dat gemeld hebt.

Kom op zeg, geef gewoon toe en fix het lek.

En dat je niet kunt achterhalen wat er met de gedownloade gegevens is gebeurd is waar, vooral in de gevallen dat iemand ze gedownload heeft en het NIET bij je gemeld heeft.

Slechte pers voorlichter hebben ze daar. :S
Never mind...

Tweakers update: Het verhaal wordt steeds vreemder, als je het mij vraagt....

Het hele verhaal (na alle relevante artikelen sinds begin oktober gelezen te hebben) klinkt steeds schimmiger en lijkt meer en meer te gaan richting het zwart maken van een klokkenluider, dan dat het om de daadwerkelijke misstand(en) gaat.
Dat vind ik vreemd, omdat in eerste instantie er wel serieus met het probleem van databeveiliging leek te worden omgegaan en het niet ging om het 'ophangen' van de hacker.

En ja, tuurlijk, hacken is -in beginsel- strafbaar. Vergeet echter niet dat het net zo goed strafbaar is om onzorgvuldig met (gevoelige) persoonsgegevens om te gaan.

In dit verhaal lijkt mij dat er 2 opties zijn:
- Schuldigen opknopen: prima, maar dan aan 2 kanten, dus hacker en verantwoordelijke(n) voor het (on)zorgvuldig omgaan met persoonsgegevens, of
- Er wordt niet vervolgd: de hacker krijgt een bedankje voor het wijzen op het probleem en de verantwoordelijke(n) zorgen met het nieuwe inzicht dat het probleem zich niet meer voor zal doen.

[Reactie gewijzigd door ralph075 op 1 december 2012 00:03]

Dit ziekenhuis doet wel heel veel z'n best om alles op anderen af te schuiven. Wat hebben ze zťlf gedaan? Waarom was de zooi Łberhaupt niet goed beveiligd?
Da's niet heel relevant. Vergelijk het met een huis: Loop je langs een woning en zie je dat de sleutels nog in de voordeur zitten mag je de deur best opendoen en naar binnen schreeuwen dat ze beter moeten opletten. Spullen het huis uit halen als bewijs dat ze hun beveiliging niet op orde hebben is echter niet toegestaan.
Hij heeft niets weggehaald, maar gekopieerd. Je kunt het beter vergelijken met dat ze je huis binnengaan en een foto maken van schilderij dat je hebt hangen.

De politie doet dat soms ook in mijn woonplaats. Ze lopen naar binnen via de achterdeur als je bijvoorbeeld in de voortuin aan het werk bent. Dan maken ze een foto om te bewijzen dat ze binnen zijn geweest. Vervolgens nemen ze contact met je op en confronteren ze je er mee.

Nou is deze jongen geen politieagent, maar de politie doet/kan het zelf niet.

Als dat van de malware waar is, wordt hij terecht vastgehouden IMHO. Anders niet. Maar als je zoiets wel doet, dan lijkt het me onwaarschijnlijk dat je dan zegt dat je ingebroken hebt.
Je gaat je zo langzamerhand afvragen of er nog iets WEL in orde is bij de gezondheidszorg. De laatste tijd kwamen langs in de media: Tandartsen die hun tarieven drastisch verhoogden zodra ze de kans kregen, zonder redelijk motief / Verslaafde specialist die jarenlang 125+ patiŽnten de meest gruwelijke nep-prognoses gaf / niemand die het doorhad in het ziekenhuis / Belachelijke bonussen voor allerlei chirurgen/commissieleden / ziekenhuis waar een gezonde long verwijderd werd / Specialist die meerdere malen meters metalen draden in patiŽnten liet zitten / Diverse hooggespecialiseerde afdelingen die gesloten werden vanwege onderlinge ruzie specialisten / Geschorste arts die gewoon elders weer aangenomen werd. etc, etc
Toen het VU medisch centrum geld kon verdienen aan een TV programma over de eerste hulp ten koste van de privacy van patiŽnten was er geen moeite teveel om alles illegaal op camera vast te leggen.

Nu moeten wij zeker geloven dat dit ziekenhuis opkomt voor belangen van patienten ...

Onzin, het ziekenhuis en foxit voelen zich in hun hemd gezet en willen nu de boodschapper in een slecht daglicht plaatsen.

Nu de tweede kamer vragen stelt, wordt de "verdachte" snel weer vrijgelaten vanwege angst dat de publieke opinie zich tegen het ziekenhuis zal keren.

[Reactie gewijzigd door (id)init op 30 november 2012 19:49]

Tja, de geslaagde behandelingen en operaties zijn geen nieuws (op een enkele bijzondere na) en daar zal je niks over horen. Dagelijks worden er duizenden mensen goed geholpen in de gezondheidszorg.
Natuurlijk kan de kwaliteit omhoog en zijn er bepaalde dingen mis, maar dat is overal zo.
Ik had het via een link dump aan tweakers gegeven, maar de link was al doorgegeven. Dus +3 voor diegene. Waarik blij om ben is dat tweakers even heeft gewacht met het posten van dit verhaal en middels een update, het ook bij houd.

Blijkbaar heeft de hacker toch iets meer gedaan dan het alleen melden. Hoop dat Brenno de Winter ook een "update" geeft.

Dan mijn vraag, waarom zijn sommige instanties, alla ziekenhuizen niet verplicht om een beveiligings ict bedrijf in te huren... Buiten de verplichting, waarom vragen dit soort bedrijven er niet om, zeker nu het zoveel in het nieuws is.
Het ziekenhuis benadrukt dat het gaat om gedigitaliseerde papieren dossiers, en dat de hack niets met het EPD te maken heeft.
Het EPD bestaat juist voor een groot deel uit ingescande papieren dossiers, inclusief onleesbare doktershandschriften. Het EPD bestaat daardoor ook allang. Dat niet iedereen het (landelijk) in kan zien is een andere discussie. Maar de hacker heeft wel degelijk in (een) EPD ingebroken.
[...]
Het EPD bestaat juist voor een groot deel uit ingescande papieren dossiers, inclusief onleesbare doktershandschriften. Het EPD bestaat daardoor ook allang. Dat niet iedereen het (landelijk) in kan zien is een andere discussie. Maar de hacker heeft wel degelijk in (een) EPD ingebroken.
Die verklaring vanuit het ziekenhuis is dan ook ordinaire 'Damage Control' om maar vooral niet in de huidige discussie over het landelijk EPD meegezogen te worden.

[post-update]
Ah, we gooien er ook nog malware installatie tegenaan.
Zullen we er een kratje bier op zetten dat die zooi al aanwezig was in het netwerk maar dat het OM dit er maar bijschuift om een punt te maken voor Ome Fred?

[Reactie gewijzigd door alt-92 op 30 november 2012 21:43]

Teleurstellend, Het ziekenhuis had hen gegevens beter moeten beveiligen.

Als een hacker je vervolgens op de hoogte stelt van een lek dat misschien wel misbruikt is kan je het toch niet maken om vervolgens tegen de hacker aangifte te doen.

Je zou juist moeten kijken hoe je het probleem oplost en hierbij samen werken.

Hackers met goede bedoelingen zullen nu zeker 2x nadenken of ze een lek wel of niet melden.

[Reactie gewijzigd door Jonathan-458 op 30 november 2012 19:04]

Help, is er een jurist in da house?

Heeft het OM (of eigenlijk: de Nederlandse wet) een definitie van malware? Is er ooit in Nederland iemand vervolgt voor het verspreiden van een virus/trojan? Zo ja, hoe werd dat dan beschreven?

Het OM kan bijvoorbeeld een platte tekst bestandje met daarin de tekst BOE! ook opvatten als malware. Maar een hosts-bestand is ook een platte tekst bestandje, je zou het kunnen aanpassen om het redirecten of inloggen te vergemakkelijken. Da gaat verder dan boe roepen maar is nog geen *ware. Maar een script dat een hosts-bestand voor je aanpast is dat wel en een programmatje dat zo script installeert zouden we malware noemen. En is een ftp-programma waarmee je zo'n script upload niet zo'n programma die 'een script installeert'?

Kortom, wat is precies de juridische context en betekenis van die verklaring van het OM?

Daarbij: malware is ons techonerdjargon, juristen gebruiken heel andere termen. Als het OM de term malware gebruikt lijkt me dat daarom bedoeld voor de publieke tribune en niet voor de rechtbank. Probeert het OM daarmee een faux pas goed te praten? Dat lijkt er wel op, ook vanwege die verklaring over een bekentenis die op zich niks toevoegd omdat de hacker immers zijn hack immers zelf heeft gepubliceerd.
Ik ben geen jurist, maar op de webpagina van het OM noemen ze het niet malware, maar formuleren ze het zo:
De man heeft na de inbraak bij het Groene Hart Ziekenhuis kwaadaardige software achtergelaten op het computersysteem.
http://www.om.nl/actueel/...@159865/verdachte-hacker/

Kwaadaardige software is wat mij betreft een zeer ruimt begrip. Ik zou software kwaadaardig kunnen vinden als het zonder mijn toestemming naar updates gaat zoeken en daarmee (mobiele) bandbreedte verspilt bijvoorbeeld.
Wat voor kleur hoed je ook hebt, hacken is strafbaar, gewoon niet doen, hoe slim je ook denkt te zijn.
Laat de buitenlanders de servers maar plunderen en de ICT-beheerder een flinke celstraf geven, misschien dat dat helpt.
offtopic:
Je hebt gelijk, echter.. nja laat ook maar. Grenzen zijn er niet meer,
Nou ik vind alles vanaf grijs tot wit goed. Alleen als je zwart de dossiers gaat gebruiken dan pas aanklagen. Het is toch belachelijk, iemand die laat zien wat er fout is, niks verkeerds er mee doet e er vervolgens op de juiste manier een melding van maakt wordt gelijk in de bak gezet. Als ik een probleem van zo'n niveau vind zou ik het toch echt aan een journalist geven die het ook nog even gaat proberen. Die zijn niet schendbaar plus ik blijf (hopelijk) anoniem.
Desnoods dat ik het richting Undercover in Nederland stuur. Dan is het in ieder geval al op TV. Als mensen dan horen dat ik daarvoor opgepakt ben dan heeft het toch een andere sfeer; Nederlanders zullen dan meer besef hebben dat het niet zo hoort.
'Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiŽnten'

Waarom bestaat zo'n dienst niet eigenlijk?

Een groep beveiliging experts (hackers) die publiekelijke websites/database's nagaat, dan wel als overheids orgaan.

Als er dit soort nieuws op tweakers geplaatst word dan is het altijd negatief/te laat.
Er zijn genoeg van dat soort diensten, bij de diverse security-bedrijven kun je gewoon mensen inhuren om je beveiliging te laten testen.
precies... en dat kost geld, en dat mag dus niet van de baas, het moet allemaal zo goedkoop mogelijk, als een hacker hun op de vingers tikt door een fout te laten zien moeten ze niet meteen gaan janken en als slachtoffers gaan spelen, dit is eigen schuld dikke bult, als je een slechte beveiliging hebt krijg je dit, ze mogen nog blij zijn dat deze persoon geen kwaad wou doen

'Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiŽnten'

tja, daar heeft de echte hacker dus totaal schijt aan

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True