Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gezondheidsgegevens van ggz-patiënten Pro Persona zijn gestolen door phishing

Een ggz-instelling in Gelderland is getroffen door een phishingaanval. Criminelen kregen daardoor toegang tot de mailboxen van vier medewerkers, waarin ook gezondheidsgegevens over cliënten stonden.

Het gaat om de ggz-instelling Pro Persona. Die bevestigt tegenover RTL Nieuws dat het last had van een datalek, nadat het medium daar een melding over had gekregen. Pro Persona stuurde de afgelopen tijd een waarschuwing naar patiënten. Het zou gaan om enkele honderden patiënten van de instelling waarvan hun persoonlijke gezondheidsinformatie mogelijk is gelekt. De organisatie zegt tegen RTL dat er geen aanwijzingen zijn dat de data is misbruikt.

In januari werden er meerdere phishingmails naar instellingen van Pro Persona gestuurd. Vier medewerkers klikten daarbij op een link waardoor zij naar een pagina werden geleid waar zij hun inloggegevens invulden. Daardoor hadden de criminelen zeker één nacht toegang tot de inboxen van de medewerkers. In de inboxen waren naast de namen, adressen en geboortedatums ook gegevens over de gezondheid van patiënten te vinden. Volgens een woordvoerder zou de schade 'zeer beperkt' zijn en was het door technische maatregelen mogelijk 'snel te acteren'. De organisatie heeft een melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een dergelijk datalek.

Door Tijs Hofmans

Redacteur privacy & security

07-02-2020 • 17:21

77 Linkedin

Submitter: Dennisb1

Reacties (77)

Wijzig sortering
"Volgens een woordvoerder zou de schade 'zeer beperkt' zijn "

Zeer kwestbare doelgroep waarvan gegevens gelekt zijn. Dat er NOG niets mee is gedaan lijkt me een bewering waar je weinig aan hebt.
Dat medewerkers via mail op een link klikken en daar hun gegevens invullen wijst op een fiks gebrek aan instructie. Al komt dat helaas nog steeds heel veel voor.
Je mag verwachten dat externe toegang toch tenminste achter een 2F authenticatie zit.
Een instelling als GGZ dient daar voor externe toegang ten minste, snel werk van te maken.
> Je mag verwachten dat externe toegang toch tenminste achter een 2F authenticatie zit.

Dat zegt niet alles. Als ik een nepsite maak en krijg de gebruiker zo ver dat hij zijn username en password invult, kan ik die afvangen en zelf invullen op de echte website. Vervolgens vraag ik de gebruiker met een nep-2FA dialoog om zijn TOTP of sms-code. Die zijn ergens tussen de 30 seconden tot well 5 minuten geldig, zodat ik rustig de tijd heb om ook die code op de echte website in te vullen, en voilà, ik ben binnen.

Tegen goedgelovige gebruikers is geen kruid gewassen maar met een Fido2-hardwaresleutel kom je een heel eind. Die dingen werken alleen op het domein waar ze in geregistreerd zijn, en weigeren dus te authenticeren tegen een nep-website.
? Sorry, deftige 2FA werkt standaard gewoon via een app op uw smartphone op laptop. Zo voorkom je een smsje en moet je enkel de app unlocken met uw code of andere identificatie methode om in te loggen in een website of mail. Je moet geen 2FA code overtypen, laat staan dat je het in een verkeerd domein overtypt.
"Dat medewerkers via mail op een link klikken en daar hun gegevens invullen wijst op een fiks gebrek aan instructie. Al komt dat helaas nog steeds heel veel voor."

Ik denk dat iedereen die memo ondertussen wel ontvangen heeft, maar niet iedereen is even capabel uiteindelijk...
Verder natuurlijk een uitermate lakse reactie weer.. Ze zullen er zelf weinig schade van ondervinden, maar de patienten/clienten zelf des te meer. Alleen hoef je daar ook niet bewust iets van te merken maar dat maakt dit soort lekken misschien des te kwalijker.

Ik zou wel willen pleiten voor een soort computer rijbewijs voor dit soort verantwoordelijken, want deze 4 mensen zijn gewoon per definitie niet geschikt natuurlijk.

[Reactie gewijzigd door Sergelwd op 7 februari 2020 18:11]

Verder natuurlijk een uitermate lakse reactie weer
Makkelijk gezegd, maar welke andere (realistische) acties zijn er verder dan minimaal nodig volgens jou?

Criminelen hadden toegang tot de mailbox. Dat is gefixed.
Er stond patient data in, maar je weet niet of die gedownload is en hoogstwaarschijnlijk is er in het email systeem ook geen optie om te zien op dat gedaan is.
Dan houd het een beetje op met de acties die je kunt om de schade te beperken. Bedenk verder dat de phishers waarschijnlijk alleen naar inlog gegevens op zoek waren en niet naar patient gegevens in een willekeurige mailbox.
Ik vind dat er veel hogere straffen op dit soort criminaliteit mag komen te staan, en dan heb ik het over diegene die alle data verzamelen en vervolgens slecht beveiligen.
Er is niemand die erbij gebaat is dat hele dosiers op het internet staan, en als je dit dan zo nodig toch allemaal online wil zetten dan zul je ook de consequenties(celstraf) moeten accepteren als je de privacy van mensen moedwillig(vroeg of laat lekt het uit) op het spel zet.

Het is gewoon niet goed te praten dat heel je dossier door digibetische Corry/Henk op het internet circuleert.

[Reactie gewijzigd door Sergelwd op 7 februari 2020 18:43]

Dan kan ik je vertellen dat binnen de kortste keren heel wat IT collega's en ander personeel achter de tralies gaan.

Er doen momenteel zeer gewiekste mailings de ronde van bijvoorbeeld zogenaamde office 365 omgevingen die je vragen de twee maandelijkse wachtwoordaanpassing door te voeren die nog uit het eigen domein lijken te komen ook. Je zal het aantal IT'ers de kost moeten geven die er op klikken, zeker als de aanvraag nog op of rond de tijd komt dat je deze verwacht.

En ja, het gaat om mails die door een beveiligde mailscanner lopen die alle inhoud van emails naloopt en eventuele links waar mogelijk beveiligd.
Het enige wat daar de oplossing voor is, als websites (alle !) nooit links plaatsen om direct naar de site te gaan vanuit de mail maar enkel (zoals de overheid doet) zeggen dat je moet inloggen. Als alle sites dat dus niet meer doen, zullen enkel phishing sites dat doen, en dan is het makkelijk uitleggen... klik nooit op een link in de mail maar ga altijd zelf via de adresbalk naar een site. Maar ja, dat is niet zo gebruiksvriendelijk.
Die gebruiksvriendelijkheid is ook het probleem. Overal lijjkt het primaire doel het verlagen van drempels te zijn. Voor toegang tot infornatie, tot betalen, enzovoort.

Met elke lagere drempel zijn we ook geneigd minder na te gaan denken. Neem 2FA. Doordat je die safeguard hebt, zal het me worst wezen of mijn wachtwoord is gelekt. Ik zie dat mailtje wel langskomen en wijzig het dan. Daar zit ook een dosis moeheid achter van dit constante kat en muis spelletje. Bedrijf, regel het maar. Jullie willen alles online lekker efficient regelen met mij, zorg maar dat het veilig is en werkt. Kun je dat niet? Tijd dan om offline en terug naar je briefpapier te gaan.

Zo simpel moet het gewoon zijn. Verantwoordelijkheid waar die thuishoort. Vroeger hoefde ik ook niet zelf mijn bankrekening te beveiligen en die beveiliging constant een handje te helpen.

[Reactie gewijzigd door Vayra op 8 februari 2020 11:14]

Hoe gewiekst die mailings volgens jou ook zijn je gaat niet op allerlei links uit e-mails klikken waarin naar je inloggegevens worden gevraagd.
Les 1.
Ook niet al de mails uit het eigen bedrijf lijkt te komen voor de maandelijkse wachtwoord aanpassing?

Wat bedrijven van elkaar los zouden moeten koppelen is email adres als accountnaam gebruiken, maar het liefst een random karakterreeks om in te loggen.
Ai, verplichte maandelijkse wachtwoordreset, beter van niet. Alleen al hierom.
En nu weer even het gezonde verstand gebruiken.

Het gaat hier niet om dossiers op internet. Het gaat om patient gegevens in een mailbox bij de ggz instelling. En ook niet hun volledige dossiers, alleen kleine stukjes info. Maar in normale correspondentie met/over patiënten heb je per definitie persoonlijke gegevens zitten. Dus het is volstrekt logisch dat wanneer je correspondentie via email hebt, dat er persoonlijke gegevens in de mailbox staan.

Moeten ze allemaal terug naar pen en papier, grote archiefkosten en allemaal papieren dossiers die rond gestuurd worden?
Moeten ze allemaal terug naar pen en papier, grote archiefkosten en allemaal papieren dossiers die rond gestuurd worden?
Misschien wel. Gegevens op individueel niveau lekken dan wellicht soms uit of raken kwijt, maar grootschalig zal er niet zo snel wat lekken. Verder kan er een hoge waarde aan deze gegevens gekoppeld worden om dit te verzekeren tijdens transport, wat de transporteur (of diens verzekering) mag uitbetalen. Dat is een financiële stimulatie om gegevens netjes van punt A naar punt B af te leveren.

[Reactie gewijzigd door The Zep Man op 7 februari 2020 19:51]

Waarom staan die gegevens in een mailbox? De persoonlijke gegevens die er in mogen zitten zijn naam en misschien adres. De rest is persoonlijk en gaat verder niemand iets aan.

Moeten we terug naar papier? Ja. Of E2E encryptie.
Ik mails dien je geen persoonsgegevens te versturen als je het hebt over cliënten van een ggz-instelling, helemaal 0 komma 0.

Daar is dit geen geschikt medium voor. Dus ja, voor het delen van gegevens uit een dossier dienen we zeker van mail af te stappen.

Pen en papier? Nee, genoeg andere digitale alternatieven die wel veilig zijn.

Dit gebeurd helaas veel te veel nog. E-mail is vastgeroest in onze samenleving en dat was nooit de bedoeling.

[Reactie gewijzigd door RvdDungen op 8 februari 2020 09:32]

Een diagnose is volgens u misschien een klein stukje informatie, voor een verzekeraar of iemand die daar minder goede bedoelingen mee heeft is het zeer waardevolle informatie.
Bovendien zou het ook kunnen gebeuren dat de huisarts door de behandelaar via de mail op de hoogte gehouden wordt over de vooruitgang (of niet) van de patienten. Dat ligt dan op straat.
Ik vind dat er veel hogere straffen op dit soort criminaliteit mag komen te staan, en dan heb ik het over diegene die alle data verzamelen en vervolgens slecht beveiligen.
En nu weer even gezond verstand gebruiken.

Hogere straffen hebben geen afschrikwekkende werking.
Die link is totaal naast deze kwestie..
Om de betreffende leidinggevenden een beetje gevoel van verantwoordelijkheid te geven zullen ze zich toch eerst moeten beseffen dat ze met waardevolle data werken, en dat is toch echt heel lastig als er geen enkele consequenties aan vast zitten.
En nu weer even je gezond verstand gebruiken.

Wanneer zou je vaker te hard rijden, als de boete €0,50 is of als deze €50.000 is. Zwaarder straffen heeft in een heleboel gevallen wel een afschrikkend effect. De link die je stuurt gaat over het totaal falende systeem in Amerika en mist daar een aantal key-points.

Het doet er echter niet toe. Dit is onkunde niet slechte intentie. Je moet dus niet straffen je moet onderwijzen. En als je hoort onder wat voor werkdruk pro persona staat (al dus pro persona, ik heb geen cijfers) dan is er geen tijd voor die educatie. Dan kan je wel roepen dat dit hartstikke belangrijk is. Maar er zijn mensen die dringend serieuze mentale hulp nodig hebben en je kan ze moeilijk kwalijk nemen dat dat prioriteit heeft...
Heb je dat artikel eigenlijk wel gelezen?
De mensen/iter’s die dit vaak het hardst roepen zijn juist het probleem.

Zij denken vaak alle kennis in pacht te hebben en meestal nog erger ze denken het beter te weten. Die zijn juist het gevaarlijkst, omdat die denken dat dit ze niet kan overkomen of dat ze het zonder extra beveiliging kunnen ontwijken. En juist die overmoedigheid maakt zulke iter’s één security risk. Omdat iedereen wel eens een steek laat vallen.

Daarnaast is het directe probleem niet dat beheerders het gevaar niet zien of begrijpen. Maar dat de klant/bedrijf waar (voor) je werkt er gewoon niet voor wil betalen. Is het dan schuld van de beheerder en moet die dan bak in?

Dat vindt ik een erg gevaarlijk ontwikkeling zeker omdat die nalatigheid vaak niet de schuld van de verantwoordelijke iter’s is maar keuze van de klant of bedrijf.

[Reactie gewijzigd door xbeam op 9 februari 2020 14:06]

"Dat vindt een erg gevaarlijk ontwikkeling zeker omdat die nalatigheid veel de schuld iter’s is maar keuze van de klant of bedrijf."

Er zouden helemaal geen keuzes van klant of bedrijf moeten zijn.
Als je gevoelige gegevens van een ander op een netwerk gooit die je dit gewoon adequaat te beveiligen.
Klopt Maar als de klant of je werkgever er beperkt geld voor (over) heeft. kan je niet meer doen dan waar ze betalen.
Ik zou wel willen pleiten voor een soort computer rijbewijs voor dit soort verantwoordelijken, want deze 4 mensen zijn gewoon per definitie niet geschikt natuurlijk.
@Sergelwd toevallig Mr Perfect die nooit fouten maakt?
Congratz je bent de enige

Een fout als deze maken is natuurlijk not-done, maar we zijn en blijven nu eenmaal mensen. Ligt de verantwoordelijkheid niet heel toevallig bij de werkgever die een veiligere omgeving moet bieden waarin dit soort fouten moeten kunnen worden voorkomen (filters etc.)?

Trouwens, hoe zie jij een computer rijbewijs voor je, wat voor sancties zouden er moeten worden gegeven? Ik heb het al vaker voorbij horen/zien komen maar vaak zijn het ondoordachte ideeën die de maatschappij meer kosten dan men beseft (lees; kortzichtig).

[Reactie gewijzigd door DarkForce op 7 februari 2020 21:13]

De eindverantwoordelijkheid moet inderdaad niet bij digibetische Corrie komen te liggen.
Maar ik proef uit je kortzichtige betoog nu niet bepaald het besef dat je met persoonsgegegens van een ander aan het goochelen bent.
De eindverantwoordelijkheid moet inderdaad niet bij digibetische Corrie komen te liggen.
Dat zeg ik in feite al, de werkgever moet een veilige omgeving creëren zodat dit soort fouten per definitie al niet mogelijk zijn.
Maar ik proef uit je kortzichtige betoog nu niet bepaald het besef dat je met persoonsgegegens van een ander aan het goochelen bent.
Mijn werkzaamheden hebben te maken met financiën van mensen waarin dus ook zeer persoonlijke zaken voorbij komen. Wat dat aangaat dus ook ervaring zat met persoonsgegevens. en dus ook wetende uit ervaring dat een computer rijbewijs nimmer zal bijdragen aan veiligheid van persoonsgegevens.

Echter, een computer rijbewijs zal dan nog altijd niet helpen aan meer veiligheid van persoonsgegevens, het zal eerder resulteren in enorme kosten voor jou, mij en ieder ander. Mensen zullen bij een computer rijbewijs echt niet zorgvuldiger omgaan met data, kijk anders ook maar eens hoeveel mensen veiligheid met een korreltje zout nemen bij een rijbewijs voor motorvoertuigen (er zijn er zat!).

De enige sanctie die (bij het lekken en/of in gevaar brengen van privacy gevoelige data) mogelijk zou kunnen zijn is invorderen computer rijbewijs. Heb jij al gedacht wat de consequenties daarvan zullen zijn?

De (ex-)medewerker kan geen werkzaamheden meer verrichten binnen het bedrijf, er zal dus wetgeving moeten komen waarbij de betreffende (ex-)medewerker kan worden ontslagen. Deze (ex-)medewerker zal dan een uitkering moeten aanvragen. De rest mag je zelf invullen. Andere consequenties zijn er in feite eigenlijk niet, anders kun je het ook wel af zonder computer rijbewijs.

Daarom dus ook; de werkgever moet per definitie al gewoon een veilige omgeving bieden waarbij heel veel zaken worden beperkt.

[Reactie gewijzigd door DarkForce op 8 februari 2020 20:33]

Onzin. Volgens mij is dit 100% een IT probleem: 2FA installeren (nee geen smsje) op kritische systemen lijkt me erg standaard. Of zelfs het gebruik van een wachtwoord manager. In beide gevallen is het onmogelijk dat je perongeluk inlogt op een ander domein. En dit is 100% de verantwoordelijkheid van IT en niet van het personeel.
Wordt het na de doublures van de havens van Rotterdam en Maastricht en nu de GGZ tijd voor een “mental change”. Hoe blok je de rommel van echte mail.

Zal er dan toch niet een persoon tussen kunnen zitten met een systeem die gescheiden is van klantengegevens/bedrijfskritische processen.

GGZ gegevens lekken is niet fraai. Sta je even niet sterk in je schoenen liggen de gevoelige kwesties open en bloot op straat.

Wordt het dan niet weer tijd voor een papieren dossier?
Dat is toch niet altijd zo makkelijk. Ik werk voor een kleinere bedrijf die ook werkt in de gezondheidzorg (niet ggz). Wij de vooral dingen zoals leren zelfstandig wonen, helpen met kinderen opvoeden, financiële hulp bieden om even een paar dingen te noemen. De meeste van die dingen gebeuren bij hun thuis dus. Dus papier op kantoor is niet heel handig. Ook worden de cliënten door verschillende mensen geholpen waardoor een dossier dus niet bij 1 werknemer kan blijven. Bij de cliënten achterlaten is ook niet handig want ze kunnen wel eens boos worden en de papieren weggooien. Dan is er natuurlijk nog het feit dat we een budget voor ze moeten aanvragen en dus de pgb of de gemeente wil dus ook eerst zien wat er met de persoon is voordat ze goedkeuring geven voor de budget wat dus verstuurd moet worden. Gaat dit met post kan het ook kwijt raken. En er moet gemeten worden hoe vaak de cliënten hun leerdoel doet. Dit voor de cliënten zelf dat ze kunnen zien dat ze vooruitgang boeken maar ook voor de pgb of gemeente zodat we ieder geval kunnen bewijzen dat de cliënten er echt mee bezig zijn. Dit is toch wel makkelijker als je op de computer gedaan of niet gedaan kan invullen.

Dus ja papier klinkt misschien veiliger omdat je meeste mensen denken van dat iedereen naar het bedrijf toe komt maar zo werkt het dus niet altijd.
Ik ben het met je eens dat papier zijn beste tijd heeft gehad. De handelingen die nodig waren om een dossier aan te vragen en er mee te werken waren tijdrovend. De mate van efficiëntie die nu gebruikt wordt is zo opgezet dat het zonder veel moeite een gatenkaas kan worden. Zeker als er geen blauwdruk aanwezig is, hoe pak je dit aan en is een hypothese, en hoe we met informatie omgaan. Veiligheid en bewustwording. Tijd voor een cursus veiligheid en doorgronden hoe we veilig met email en digitale systemen om kunnen gaan.

Hoe zet je dit van hoog naar laag op, dat is de vraag.
Zeer kwestbare doelgroep waarvan gegevens gelekt zijn. Dat er NOG niets mee is gedaan lijkt me een bewering waar je weinig aan hebt.
Ze zijn gehacked door zo'n standaard phishing attack uit het stenen tijdperk.
Dat soort criminelen zijn niet op zoek naar patient gegevens, maar naar inlog gegevens voor telebankieren etc.

De kans is inderdaad groot dat de schade voor de patiënten zeer beperkt zal zijn.
Goed mogelijk. Maar het verkpen van persoonlijke data is ook een aardig businesmodel helaas.
Trouwens eigenaardige firewall hebben ze daar.. die zit kennelijk op de uitgaande lijn 8)7
De firewall herkende de inbraakpoging en daarop is 'heel snel geacteerd' door alles 'dicht te zetten' wat met de phishingmail te maken had.
Ja... Ook vreemd dat de firewall de inbraakpoging herkende, maar vervolgens de inbraak niet voorkomen heeft.
Bijzondere firewall.

Maar ja, dit soort dubieuze uitspraken van woordvoerders is standaard in deze soort situaties.

Overigens zijn beveiliging systemen op je uitgaande verkeer niet ongewoon, om data exfiltratie tegen te gaan, maar ook toegang naar bekende phishing sites te verhinderen.
Toegang naar bekende phishing sites blokkeren is een open deur; in verreweg de meeste gevallen zijn het geen bekende sites ;) Vaak zijn het sites die maar voor een enkele aanval gebruikt worden en daarna door de aanvallers als verloren wordt beschouwd.
Daarom moet je ook newly registered domains blocken. Dat scheelt doorgaans al een flinke slok op een borrel.
Want jij dacht dat aanvallers daar geen rekening mee houden? Verreweg de meeste succesvolle aanvallen worden ruim van te voren gepland.

Dat gaan in twee vormen:

- Zwakke Wordpress sites worden gevonden en weggeschreven in een database.

- Met groot regelmaat worden nieuwe sites geregistreerd die ze rustig een half jaar laten rusten

Zodra een aanval begint wordt de oudste bestaande site er uit geplukt, de malafide site geüpload en rondgespamd via eerder gestolen credentials van andere legitieme mailomgevingen.

Er gaat (over het algemeen) aardig wat planning vooraf; blokkeren van newly registered sites houdt helaas maar een klein deel tegen. Opvoeden van gebruikers is daar veel belangrijker in. En natuurlijk consequenties stellen aan domme acties; als jij als bedrijf meerdere malen gewaarschuwd hebt voor het lekker van credentials en Truus van de administratie typt vervolgens rustig haar gegevens in bij een nep-inschrijving voor de kerstpakketloterij, dan zal daar een serieuze consequentie tegenover moeten staan. En wat mij betreft kan dat zo ver gaan als het ontslag van de betreffende medewerker(s).
Daarom zei ik ook slok op een borrel. Het is niet oplossing voor alle problemen, maar vermindert de kans. Veiligheid komt in lagen, al kun je het nog zo goed beveiligen, tegen dit soort stommiteiten valt niks uit te halen.

Overigens PP is wel een organisatie waar geen moment is dat er stabiliteit is. Dat helpt niet.
Maar ze zijn wel erg snel wijds en zijds bekend en worden opgenomen in blokkeerlijsten, waarna de links in binnenkomende emails worden dan aangevuld en/of vervangen door een exemplar met een beveiligde verwijzing.
Zeker, maar die beveiliging liet het invullen op die site gewoon toe. Dus inderdaad vreemd verhaal.
gebruiker heeft webmail open staan en klikt op URL van phishing mail. uitgaande verkeerd wordt door next gen utm gescanned en onderschept. wat is daar moeilijk aan te begrijpen?
Ze hebben ingelogd op de phising site... dan ben je dus NIET tegengehouden.
Afhankelijk van welke informatie dat gedeelt is via de e-mails. Om iets aan gezondheidszorg te hebben kan je geen informatie achterhouden. Ja er zijn geen bank gegevens buit gemaakt, maar er is een grote kans dat er informatie buit is gemaakt waar mensen graag hun bank gegevens voor delen alleen dat het niet bekend wordt. En er is mogelijk ook informatie buit gemaakt over wat te doen om mensen te laten doen wat je maar wil.

Zelfs een kleine kans dat dit soort informatie gebruikt wordt is nog een te grote kans. Je vergeet dat zelfs de potentie van dat dit zou kunnen gebeuren al invloed heeft op die mensen. Het is dan te gemakkelijk om te zeggen ach joh er zijn geen bank gegevens gedeeld

[Reactie gewijzigd door _wolf_ op 7 februari 2020 18:25]

Ja er zijn geen bank gegevens buit gemaakt
Daar denk ik heel anders over.
Goed lezen wat ik schrijf. Ik denk dat de schade voor de patiënten klein zal zijn.

Dat betekent echter niet dat de schade voor die werknemers niet groot kan zijn.
Je wilt ze de kost niet geven die hetzelfde password voor hun bank gebruiken en allerlei andere accounts.
En bij een heleboel sites kun je je wachtwoord resetten, waarbij er een email naar je mailbox gaat. Die mailbox waar de phishers toegang hebben.
Op die manier kunnen ze die werknemer heel veel schade berokkenen. Maar dit zijn allemaal automatische reacties. Ze gaan bij een willekeurige mailbox deze dingen snel allemaal doen en geen tijd verspillen om te kijken wat er nog meer in die mailbox staat. Dat is voor hun niet efficient.
In eerste instantie heeft het ggz personeel de verantwoordelijkheid om de informatie die ze in vertrouwen krijgen over hun patienten niet te delen. Ik denk dat je niet begrijpt wat voor informatie er per e-mail gedeeld wordt door zorgverleners binnen de ggz en de potentiele schade die deze informatie kan aanrichten.

Een e-mail sturen naar een patient van je maakt nu x bedrag over naar y rekening of we publiseren deze data is in mijn ogen een groter probleem dan dat er geld van een van de zorg verleners van de rekening gehaald wordt. Zeker als zn patient die op dat moment niet op het meest stabiele punt van zijn of haar leven zit denkt ik heb dat geld niet er is geen andere uitweg ik spring voor de trein.
zeg maar een 4FA.

waarbij ze eerst een wachtwoord moeten doen.
Dan via een smartcard

en als laatste om een nieuwe PC mogen toe te voegen een code mer 32 symbolen die alleen het HOOFD ICT. weet, die tevens ook Elk uur wijzigt.

En daarna nogmaals via een smartcard op de nieuwe computer
De organisatie zegt tegen RTL dat er geen aanwijzingen zijn dat de data is misbruikt.
Stel dan (ook) liever de vraag : heeft de organisatie aanwijzingen dat het niet misbruikt is?

Dat een organisatie zelfs zijn eigen werknemers niet goed kan controleren of ze niet in phishing trappen, hoe wil die organisatie dan het antwoord geven alsof ze in de positie zijn om te weten of criminelen de gelekte gegevens misbruikt hebben?
Het blijkt weer eens dat degene achter het toetsenbord nog steeds de zwakste schakel in het geheel is.
Inderdaad.
De e-mail leek op een interne e-mail waarin stond dat de inbox vol was
Die phishing mail is zo oud als de weg naar Rome. Triest dat mensen daar nog steeds in trappen.

Geen informatie of die ggz instelling 2-factor authenticatie had. Waarschijnlijk niet, anders was dat wel gemeld.

Grappig dat er bij het RTL artikel vervolgens een filmpje staat waar hun techjournalist uitlegt hoe je veilige wachtwoorden maakt, want dat helpt geen zier als je het vervolgens invult op een phishing site.

De werknemers, de ggz instelling en de journalist begrijpen het blijkbaar nog steeds niet.
Die phishing mail is zo oud als de weg naar Rome. Triest dat mensen daar nog steeds in trappen.
Ja en nee. Soms zijn phishingmails rete goed in elkaar gezet (het bestaat immers al lang en wordt in de loop der jaren verbeterd). Voeg een beetje digibeet achter het toetsenbord toe en bijvoorbeeld een ontzettend drukke werkdag (context/omgevingsfactoren) en het kan echt nog steeds de besten overkomen. Je kan simpelweg niet verwachten dat 100% van de mensen (medewerkers) 100% van de phishing mailtjes doorziet en er niet op zal klikken. Bewustwording is goed, maar op dat niveau zal je het nooit 100% tegen kunnen houden. En dat maakt het ook niet per definitie domme mensen of iets.
Vooral ook niet vergeten dat de mensen achter de computers daar geen techneuten/tweakers/computerexperts zijn. Zorgmedewerkers hebben in zo een geval alleen maar een computer als werkinstrument.
Ik heb ooit eens een prachtig systeem met van alles er op en er aan mogen installeren in een ouderenzorg instelling. Zitten wij aan iemand op een afdeling kleurrijk te vertellen wat het nieuwe systeem allemaal wel kan doen en hoe mooi het werk.
Worden we netjes met de neus op de feiten gedrukt dat dat kastje met toetsenbord er voor alleen maar een stukje gereedschap voor haar is. De luier van die mevrouw daar, dát is onze core business.
Klinkt stom als ik het zo tik, maar op dat moment was het wel even een eye opener voor ons.
Zij kennen niet alle gevaren, alle problemen, alle mogelijkheden. Daar hebben ze helemaal geen tijd en inzicht voor. Zij zetten zich met hart en ziel in voor de mensen in hun verpleging. Dat is veel belangrijker.

Ik vond het wel mooi.
Daarom moet je een systeem en rechte ook beperken tot het minimale applicatie en websites die ze nodig hebben voor het uitvoeren van hun functie.
Heel soms zijn ze goed in elkaar gezet ja. In het over grote merendeel echter niet. We moeten stoppen met het altijd maar meteen goed praten dat het iedereen kan overkomen. In het overgrote merendeel zijn het gewoon mensen die niet even nadenken voordat ze klikken.
En dat heeft inderdaad niks met intelligentie te maken.

En ik zou ook totaal niet verbaasd zijn als die ggz er nooit aandacht aan heeft gegeven en nooit een phishing drill heeft gedaan.
Ter verdediging, ik zie mezelf als iemand met behoorlijk wat (it-)kennis en zeer achterdochtig wat betreft zulke berichten. Ik instrueer anderen waarop te letten en verhelp soms de gevolgen mocht iemand t per ongeluk toch
Nu ben ik daar zelf tóch een keer ingestonken in een moment van onoplettendheid.. ;( k was moe en met meerdere dingen tegelijk bezig, verwachte iets soortgelijks, klikte wat aan en wham, virus. Gelukkig direct kunnen herstellen via dual boot maar ik schaamde me diep dat ík dat nou niet gezien had.. :/
Ik zeg tegenwoordig niet meer 'overkomt mij nooit want ik let altijd op'.
Ja, bv phishing emails die zich voor doen als PostNL track & trace berichten zijn heel geniepig.
Maar het ging hier over zo'n volle mailbox email. En 4 !! personen trappen er daar meteen in.
Dat vind ik toch wel een verschil
Ik heb nog nooit een phishing mail van een volle mailbox gehad. Wel van track en trace... Wil niet zeggen dat ik er blind op zou klikken (ik open graag de website waar het betrekking op heeft zelf i.p.v. een link in de mail te volgen). Maar ken genoeg omgevingen waarin die mails ook serieus verzonden worden omdat mailboxen echt vollopen. Dan is het niet heel raar, zeker bij mensen die geen computerexperts zijn en voor wie het een middel is om hun verslag in te typen, dat ze het serieus nemen.
Er zijn "phishing drills" gedaan. Edoch, voor sommigen is de pc nog steeds een eng ding en een phishing mail wordt dan ook gewoon niet herkend..
tja, als je een bepaald mailtje verwacht en er popt dan ook ineens zo'n mailtje op...............
Klopt. Een onderzoeker heeft een groep medewerkers training gegeven hoe een phising mail te herkennen, laten zien hoe een bepaalde phising mail er uit kan zien, verteld dat ze de komende maand zo'n mail konden verwachten, en toch trapte een deel van de mensen uit de training er in.
https://www.youtube.com/watch?v=Z20XNp-luNA
Interessant om te zien dat ook een afzender gefaked kan worden, hoe je naar een SSL beveiligde site kan worden geleid die lijkt op de legitieme site en waarom 2FA met een SMS een slecht idee is.
Bij ons op het werk wordt minstens 1x per maand bij willekeurige medewerkers een phishing test uitgevoerd. Geniepige mails die even tussen al dat andere werk in je mailbox komen. Ik zelf ben er laatst bijna ingetrapt een college klikte helaas net iets te snel. Doe je dat 3x krijg je een verplichte cursus boven op de jaarlijkse security trainingen.

Bij een training ben je echter bewust bezig om de phishing mails eruit te 'vissen', tijdens normaal werk niet. Dan kun je nog zoveel trainingen geven, één persoon trapt erin en je bent klaar *kuch* UM *kuch*. Dus vooral technische oplossingen als 2FA, blokkeren van onbekend systemen en backups zijn een pré. De mens is en blijft altijd de zwakke schakel, hoe oplettend je ook bent.
Oh please. Dezer dagen is het perfect mogelijk om een header te injecteren in een email die van buitenaf komt. Dit soort emails had nooit afgeleverd mogen worden.

Email is misselijkmakend en het wordt tijd dat emailproviders beter worden in het opzetten van security, zodat anderen erop kunnen rekenen dat als een mail van x komt, dat ie ook echt van x komt.
Klopt, dat het niet mag, en toch gebeurt het, zat er zelf twee weken geleden met mijn neus bovenop.
Oh please. Dezer dagen is het perfect mogelijk om een header te injecteren in een email die van buitenaf komt. Dit soort emails had nooit afgeleverd mogen worden.
Dan heb je zeker nog niet de latere Office365 based phisting mails gezien.
Iemand logt gewoon doodleuk in met een O365 account van slachtoffer, en gaat phistings namens die persoon sturen naar alle contacten in de contactlijst/recentcontacts.

Vaak is het een PDF met daarin een fictief OneDrive link (en komt zodoende in eerste instantie door alle virusscanners heen), wat dan weer uitkomt op een phisting O365 pagina.
Slachtoffer, die het mailtje ziet als authentiek, want email adres en handtekening zijn overeenkomstig van vorige mailtjes, probeert daar weer op in te loggen, en de crimineel heeft weer een O365 accountje erbij.
En gezien de 2FA van Office365 nog steeds ontzettend brakt werkt, zullen er nog genoeg mensen zijn die daar slachtoffer van zullen blijven.

Hier is nauwelijks tegen te filteren, behalve een goede 2FA.

[Reactie gewijzigd door Madshark op 8 februari 2020 00:32]

Imo mag een digibeet niet eens in de buurt van dit soort informatie komen.. Misschien zit daar de kern van het probleem wel.
Ik denk dat heel veel mensen ontslagen moeten worden dan. Dan zijn er weer te weinig mensen in de sector en klagen mensen weer dat er te lange wachtrijen zijn. Uiteraard telt dit natuurlijk ook niet alleen voor de zorg waardoor er nog meer mensen ontslag krijgen.

Ik werk dan ook in de zorg sector en bij ons bedrijf zou dan denk ik 40 tot 50% (+- 10 tot 12 mensen) van de mensen er niet meer zouden mogen werken.
PEBCAK = Problem Exists Between Chair And Keyboard.
Vaak wel, niet altijd. En steeds vaker niet.
En daarom is ‘awareness’ kweken over ict-beveiliging onder medewerkers stap 1. In je beveiligingsplan
"De organisatie zegt tegen RTL dat er geen aanwijzingen zijn dat de data is misbruikt."

Er zijn vast ook geen aanwijzingen dat de data níet is misbruikt. Er zijn namelijk waarschijnlijk helemaal geen aanwijzingen over of de data is misbruikt, omdat dat simpelweg niet bekend is zodra onbekenden met je gegevens aan de haal gaan.

Gemakkelijke uitspraak waarmee je het kan laten lijken alsof je alles onder controle hebt terwijl dat niet zo is.
omdat dat simpelweg niet bekend is zodra onbekenden met je gegevens aan de haal gaan.
Als ze er mee aan de haal zijn gegaan ja. Maar het doelwit was hier waarschijnlijk de inlog gegevens en niet de patient gegevens. Feit is dat onbekenden wachtwoorden te pakken hebben gekregen en toegang tot de mailbox hebben gekregen.
Meestal word dat door de criminelen gebruikt om een automatische forward naar een mailbox van hen in te stellen, zodat ze nieuwe passwords ook te pakken krijgen.

Tenzij de phishing mail heel specifiek op die ggz instelling gericht, hebben de criminelen waarschijnlijk de patient gegevens in die mailbox niet eens gezien.

Maar omdat je daar niet zeker van kunt zijn moet het uiteraard gemeld worden aan de AP en de patienten.
Ik kan er met mijn hoofd nooit echt bij dat mensen in staat zijn tot zulke criminele acties. Patiënten bij het GGZ hebben vaak al een zwakte of een hoop meegemaakt. Krijgen ze dit er nog bovenop.
Ik zie nu al mogelijkheden voor criminele bendes die deze personen gaan opzoeken voor o.a.: geldezels, gedwongen prostitutie voor zwakker begaafde mensen onder ons, of simpelweg andere truukjes om snel rijk te worden.
Verder enorm lastig als je zelf tijdelijk vanwege bijvoorbeeld een zware depressie bij het GGZ hebt gelopen, ziektewet gezeten, daarna graag weer aan het werk wil en je toekomstige baas kan inzien waarom je een leeg gat in je CV hebt zitten. Kortom, jij valt af als kandidaat, terwijl je net zo goed kan zijn als de ander die geen donker verleden heeft gehad.

Hoop dat ze kunnen achterhalen wie de criminelen zijn die dit gedaan hebben, maar verwacht nooit veel van zulke onderzoeken helaas. Zulke mensen horen niet vrij rond te lopen!
Over het algemeen zijn dit soort aanvallen niet specifiek gericht op het type organisatie of hun werkzaamheden, maar is het een toevalligheid dat iemand dom genoeg is om credentials af te staan.

Als ik moest gokken zou ik ook niet zeggen dat er misbruik gemaakt gaat worden van de gegevens, maar eerder van de mailomgeving waar ze lekker mee kunnen spammen (immers een schone omgeving met goede reputatie; die spam komt wel aan). Ik denk dan ook dat die uitgaande spam het afwijkende gedrag is die de "firewall" gedetecteerd heeft; niet het wegsluizen van info.
Als Belg wist ik niet waar ggz voor stond dus ben ik het gaan opzoeken. Ggz staat dus voor geestelijke gezondheidszorg :)
Ik vindt het toch wel schokkend dat ze beweren dat de data niet misbruikt is voor zover ze weten. waarom zou iemand toegang willen tot dit soort data? Dit voelt als een spearphishing aanval op een specefieke client. kijk welke clienten deze vier medewerkers en andere mogelijke ontvangers van de phishing mail allemaal in aanraking mee komen en waarschijnlijk kan je het beoogde doelwit achterhalen. ben ook erg benieuwd hoe dit in zn werk is gegaan
Volgens de woordvoerder is de schade 'zeer beperkt gebleven'. De firewall herkende de inbraakpoging en daarop is 'heel snel geacteerd' door alles 'dicht te zetten' wat met de phishingmail te maken had. "Wij hebben een heel sterk vermoeden dat er geen informatie is gelekt", zegt de woordvoerder.
Hoe heeft de firewall het herkend? vreemd ip die probeert in te loggen op VPN of RDC?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True