Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomware-aanval op Duits ziekenhuis leidde mogelijk tot dood patiënte

Een ransomware-aanval die de systemen van een ziekenhuis in Düsseldorf trof, heeft mogelijk geleid tot het overlijden van een patiënte, nadat de vrouw in kritieke toestand naar een ander ziekenhuis gebracht moest worden.

Op 10 september verklaarde het Universitair Ziekenhuis Düsseldorf dat er een omvangrijke it-storing gaande was, waardoor de kliniek slechts beperkt bereikbaar was. Het ziekenhuis schrapte alle afspraken, adviseerde patiënten niet te komen en staakte de spoedeisende zorg.

Donderdag maakt het ziekenhuis bekend dat het om een cyberaanval ging en dat it'ers de systemen langzaam maar zeker kunnen herstellen en toegang tot gegevens kunnen bieden. Volgens het universitaire ziekenhuis zouden de daders geen losgeld eisen. Volgens het ziekenhuis kon de aanval plaatsvinden via een kwetsbaarheid in wereldwijd gebruikte commerciële software. "Voordat het softwarebedrijf dit lek uiteindelijk dichtte, was er voldoende tijd om de systemen binnen te dringen."

In de nacht van 11 op 12 september moest een patiënte met spoed naar het Universitair Ziekenhuis Düsseldorf gebracht, maar door de ransomware-aanval, moest de ambulance uitwijken naar het ziekenhuis in Wuppertal. Haar behandeling vond daardoor een uur later plaats. Volgens het Duitse NTV doet de Duitse politie onderzoek of er sprake is van dood door nalatigheid, omdat de vrouw stierf nadat ze was overgebracht.

Volgens een rapport van de minister van Justitie versleutelde de ransomware dertig servers in de kliniek en verzochten de daders contact met hen op te nemen, zonder nog een bedrag voor losgeld te eisen. Dat bericht bleek gericht te zijn aan de Heinrich Heine Universiteit in Düsseldorf. Nadat de politie contact opnam met de afpersers en hen duidelijk maakte dat niet de universiteit maar een ziekenhuis getroffen was, zouden de daders de sleutel overhandigd hebben waarmee de systemen weer vrijgegeven konden worden. Daarna zouden ze niet meer gereageerd hebben.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

17-09-2020 • 21:06

145 Linkedin

Reacties (145)

Wijzig sortering
Gegen die Unbekannten wird jetzt auch wegen fahrlässiger Tötung ermittelt, da eine lebensbedrohlich erkrankte Patientin, die in der Nacht vom 11. auf den 12. September in die Uniklinik gebracht werden sollte, an ein Krankenhaus in Wuppertal verwiesen wurde.

Het lijkt door deze zin;
Volgens het Duitse NTV doet de Duitse politie onderzoek of er sprake is van dood door nalatigheid, omdat de vrouw stierf nadat ze was overgebracht.
voor mij net alsof de politie onderzoek naar het ziekenhuis doet, wat niet het geval is.
Omdat de vrouw stierf nadat ze haar hebben moeten overbrengen
of;
Volgens het Duitse NTV doet de Duitse politie onderzoek naar de onbekende daders of er sprake is van dood door nalatigheid, omdat de vrouw stierf nadat ze was overgebracht.
had dat waarschijnlijk wel wat duidelijker gemaakt. Voor mij tenminste wel. En dood door schuld is misschien een duidelijker term dan de bijna letterlijke vertaling, dood door nalatigheid. Al wordt die laatste hier ook wel gebruikt, maar veel minder vaak.

[Reactie gewijzigd door Hinterecke op 18 september 2020 01:27]

De universiteitskliniek is op slot gegaan voor nieuwe patiënten en op het noodscenario overgestapt.
En het lijkt me logisch dat elk ziekenhuis welke een massale IT storing heeft geen nieuwe patiënten opneemt. Daarnaast is er een afdoende aantal Ziekenhuizen in Düsseldorf en omgeving.
Het gaat niet zozeer om hoe het ziekenhuis gehandeld heeft maar de vraag in hoeverre de 'aanvaller' verantwoordelijk is.

In dit geval moest een Ambulance moest uitwijken naar een andere ziekenhuis waarna patiënte alsnog stierf.
Aanvulling: Het parket is momenteel bezig met een aanklacht 'dood door schuld' en bekijkt de mogelijkheden de aanklacht te verzwaren naar 'Moord (door nalatigheid'.

Bron:
https://rp-online.de/nrw/...cker-angriff_aid-53407565
Ja, want voor je IT security is de aanvaller verantwoordelijk en niet jij als ziekenhuis. Het gebruik van software (zoals citrix), die om de haverklap beveiligingsproblemen heeft in een kritieke omgeving zonder voldoende waarborgen is mijn inziens nalatig genoeg om de ziekenhuis daarvoor ook te straffen. Om maar niet te beginnen over het feit dat we eigenlijk eindelijk software-fabrikanten aansprakelijk zouden meoten kunnen stellen voor de fouten in hun software. Anders blijft beveiliging ook daar vooralsnog een afterthought.
In België is dood door nalatigheid de standaard term, dit even ter info.
Wat voor apparatuur zou hier technisch ook echt voor onbruikbaar (op dat moment) zijn gemaakt? Je zou toch zeggen dat een kritieke operatie nog wel door zou kunnen draaien, maar dat hoogstens de bedrijfsprocessen zelf van het ziekenhuis minder efficiënt kunnen worden ingezet?
Technisch gezien wel ja, maar (ik ben geen software expert, wel medisch werker) in de ziekenhuizen waar ik heb gewerkt draaien alle computers op Windows en software zoals chipsoft/metavision.

Het monitoren op de intensive care en operatiekamer wordt bijgehouden op die computers, evenals verslaglegging en het voorschrijven van medicatie.

Vooral dat laatste is moeilijk omdat er niet 1,2,3 gewisseld kan worden naar op papier voorschrijven. Tuurlijk kan dit wel tijdelijk mondeling voor 1 patient maar als een heel ziekenhuis hier last van heeft dan wordt het al snel chaotisch en treden er fouten op. Dan kan je niet terug grijpen op verslaglegging omdat die er niet is.

Ook tijdens een operatie wordt het beloop van de vitale functies en tijdstip van medicatie bijgehouden en is van belang voor het handelen gedurende de operatie. Ook hier weer zou het op papier kunnen maar tegenwoordig is niemand daar nog op voorbereid of getraind. Het is ook echt lastiger en onzorgvuldiger om zonder te werken (heb helaas ervaring)

We zijn echt afhankelijk van computers/software. Zelfs bij het overdragen van informatie naar de volgende shift artsen en verpleegkundigen en naar het andere ziekenhuis

(Mocht de stroom trouwens uitvallen dan is er altijd een noodgenerator op locatie)

Trouwens het toedienen van medicatie wordt gedaan door verpleegkundige manueel of per digitale pomp welke niet afhankelijk is van input via het netwerk, dus dat kan in de spoedsetting of stabilisatie wel gewoon worden gedaan.

[Reactie gewijzigd door vincenthart op 18 september 2020 07:18]

Dit is natuurlijk een stukje victim blaming van epische proporties. Lekker bezig, chapeau.
Het was een beveiligingslek dat het ziekenhuis zelf niet kon dichten, ook al zou de ICT-afdeling dat gewild hebben. Er waren veel meer bedrijven en instellingen die hetzelfde Citrix-lek hadden; mijn eigen werkgever incluis.

Het was gewoon wachten tot de fabrikant een patch voor het lek uitbracht en dat heeft wel een tijdje geduurd. Er werd bij ons met creatief gebruik van de beveiligingssystemen omheen gewerkt, heb ik begrepen, maar het was niet bepaald ideaal.

[Reactie gewijzigd door PCG2020 op 19 september 2020 09:04]

vpn? of gewoon offline halen tot patch klaar ligt? of, opensource systemen gebruiken, zodat patch binnen een paar uur klaar kan liggen?

nee, ik denk niet dat het niet beter kan.
vpn? of gewoon offline halen tot patch klaar ligt? of, opensource systemen gebruiken, zodat patch binnen een paar uur klaar kan liggen? (...)
Een bedrijf of instantie met veel extern werkende medewerkers zet niet even snel een alternatieve VPN-verbinding voor iedere medewerker op. Het voordeel van Citrix is dat het allemaal ingebakken zit in de client. Bij mijn werkgever log je in met een gebruikersnaam, wachtwoord en een roulerende authenticatiecode uit een app op je werktelefoon. Dat is zelfs voor de meest digibete collega's te doen.

Bij ons was offline halen tot de patch geïmplementeerd was ook geen optie, aangezien ik bij een instantie met zo'n 6000 medewerkers werkzaam ben. Niet alleen de thuiswerkplekken draaien via Citrix, veel werkplekken op de kantoren tegenwoordig ook. Het duurde zeker een aantal weken voor de patch beschikbaar was, dus de servers offline halen was geen optie. Dat kost veel te veel geld.

Een opensource alternatief zou een optie kunnen zijn, maar dat zou ook geïmplementeerd moeten worden. Het moet even gebruiksvriendelijk zijn als de applicatie die we nu gebruiken, niet elke collega is even bedreven in het gebruik van computers en telefoons ;)
Tja, ik snap dat het niet makkelijk is. Het is zeker makkie om belastinggeld gewoon uitgeven aan grote bedrijfen om kompleet "solutions" te kopen.

Zou jij ook denken dat dit een goede idee is als mensen dood vallen omdat bovenstaande bedrijf incompetent blijkt? Sorry, maar als een zulke gat in je systeem zit, je gaat alles neerleggen en iedereen 24/7 werkt aan een oplossing, en niemand gaat thuis totdat het opgelost is. Punt. Dit is hoe emergencies zijn behandeld in een verantwoordelijke bedrijf.

Ook is het een heel slecht idee om al je security op een bedrijf te laten vallen. Je neemt bouwstenen van verschillende bronnen, VPN van hier, remote access van daar, single sign-on van een derde, cloud oplossing van vierde, backups van vijfde, interne netwerk monitoring (malware/intrusion detection system) van een zesde. En je neem vakmensen aan, die weten wat ze doen.
Dit is het begin van een mission critical systeem. En dan komen nog veel vervolgstappen ernaast.

Wat hier gebeurt is gewoon incompetentie, op alle niveaus (overheid en zijn regels, management, ICT, leveranciers). En wat betreurt mij is dat het is niet allen incompetentie maar nalatigheid ook. No one cares ;(

En qua "digibete collega's": tja, sorry, maar als het gaat over 'gewone' hygienie, zijn er zoveel regels, omdat "mensenleven". Moet je ook accepteren dat in een digitale wereld je moet ook digitale hygieene uitoefenen. Deal with it. Ja, dat beketent leren. Maar we kunnen niet meer zeggen dat 'oh well, het is zo moeilijk voor ze, is toch niet zo belangrijk' na deze geval, he?

[Reactie gewijzigd door harakiri576 op 20 september 2020 14:50]

Gelukkig werk ik bij een instantie waarbij er geen mensenlevens gevaar lopen als ons bedrijfsnetwerk uitvalt.

Het ongemak van het implementeren van nieuwe software zit 'm vooral in de tijd die het zal kosten. Maar aangezien ik word betaald met belastinggeld, zijn er nogal wat "kritische" politici die daarover willen zeuren ;)

Overigens gebruikt mijn werkgever wel verschillende systemen voor remote access, beveiliging en dergelijke. Zoals ik eerder al zei, was het door middel van kunstgrepen mogelijk om het beveiligingslek te isoleren tot er een patch door de fabrikant was uitgebracht en geïmplementeerd.
Heeft weinig met "security hole open laten", meer met laks backup beleid.
Ja, ja, geld dit en dat, tot iets als dit gebeurd. Norsk Hydro, de Britse NHS, ... ze doen het allemaal omdat er gewoon te weinig geld naar de IT afdeling gaat (relatief gezien).
Dus jij stelt het ziekenhuis verantwoordelijk voor het overlijden van de patient?
We hebben geen idee wat voor behandeling de patient nodig had. Het ziekenhuis heeft niet voor niets besloten om de patient naar een ander ziekenhuis te verwijzen.

Waarschijnlijk had ze zorg nodig die het ziekenhuis in Dusseldorf dankzij de ransomware niet kon uitvoeren. Moet de patient dan maar opgenomen worden en er gewacht worden totdat alles weer werkt?
Nee. Maar als IT systemen dermate kritisch zijn geworden dat je niet meer zonder ze kunt opereren (pun intended) dan dien je afdoende maatregelen te nemen.

Kan uit de eerste hand vertellen dat dit in veel gevallen niet is geregeld. Mocht bij dochter op de recovery aanwezig zijn en er was op dat moment een IT storing. Dus arts controleert verkeerd bij dochter, omdat er verkeerde info op de schermen staat. De oudere medewerkers weten nog hoe ze op papier kunnen werken en willen daar maar op overschakelen. Echter verneem ik dat management die printers niet meer nodig vond en wegbezuinigd heeft. Al met al een hele grote faal en een hoop gepruts.

Andere keer plan ik een afspraak aan de balie. Afspraak is doorgevoerd in het systeem. Computer crasht en na opnieuw opstarten is de hele afspraak verdwenen. Niet kritisch, maar wat als dit bij een arts gebeurd die een belangrijk medicijn voorschrijft.

Oftewel. Kostbare systemen die op kritische punten kunnen falen en geen backup voor die situaties. Dan kun je je dus afvragen of er niet ook sprake is van verwijtbare nalatigheid bij een ziekenhuis.

Dat los van het feit dat die criminelen eens flink mogen worden aangepakt. De schade die ze veroorzaken neemt dermate vormen aan dat het hoog tijd is eens flink te gaan ingrijpen.
Stel deze persoon is overleden doordat de operatie een uur later was dan gepland. Is de clubje mensen/ persoon achter de cyberaanval dan medeplichtig aan moord? Of is dit te kort uit de bocht?
Ik hoop dat het onder moord/doodslag valt en dat als ze gepakt worden ook zo bestraft worden. Maar de advocaten van de tegenpartij zullen eenvoudig kunnen claimen dat het niet aan de encryptie lag maar aan de gesteldheid van de patient.

De correlatie zal moeilijk te bewijzen zijn.
Moord (hoogstwaarschijnlijk) niet, dat is doodslag met voorbedachte rade. Ik acht de kans groot dat dat niet het geval is. De vraag is ook nog in hoeverre de daders zich bewust waren van hun daad en de mogelijk dodelijke gevolgen van patiënten:
... Nadat de politie contact opnam met de afpersers en hen duidelijk maakte dat niet de universiteit maar een ziekenhuis getroffen was ...
Heeft er dus alle schijn naar dat ze niet het juiste doel hebben gehackt en nadat ze hiervan op de hoogte zijn gesteld, is de hack ongedaan gemaakt. De vraag is dan in hoeverre er sprake is van dood door schuld.
Ander voorbeeld: stel ik rij door een woonwijk, 25 km/uur, minder dan de 30km/uur die daar toegestaan is. Kinderen spelen verstoppertje buiten en ik heb dat niet door en een kind rent de straat over en ik kan niet op tijd remmen. Is het dan daadwerkelijk schuld?

EDIT: ik zie aan de reacties dat de vergelijking spaak loopt. Wat ik probeer helder te maken, is dat de daders waarschijnlijk niet de intentie hadden (dodelijke) slachtoffers te maken (ook gezien het terugdraaien van de hack). En ja, dat het verkeerde doel gehackt wordt, kan gebeuren, maar de vraag is denk ik in hoeverre hen aangerekend kan worden dat ze dit hadden kunnen verwachten. Staat los van of ze dan schuldig zijn, maar is, lijkt mij, wel bepalend voor de strafmaat.

[Reactie gewijzigd door Nas T op 18 september 2020 12:01]

Tussen doodslag en dood door schuld zitten ook nog de gevaarzettingsdelicten, zoals bijvoorbeeld artikel 161sexies van het Wetboek van Strafrecht:
Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:
1°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is;
2°. met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is;
3°. met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is en het feit iemands dood ten gevolge heeft.
In een zaak als deze zou in Nederland deze bepaling erg nuttig zijn omdat het daarvoor niet van belang is of de afpersers opzet hadden op de dood van de vrouw. Het is namelijk voldoende dat ze opzettelijk de servers onbruikbaar hebben gemaakt. Het levensgevaar en de dood van een ander zijn zogenaamde geobjectiveerde bestanddelen; daarop hoeft het opzet van de verdachte niet gericht te zijn.
Mijn vergelijking is geen juiste, omdat in dat voorbeeld een niet-criminele daad wordt vergeleken met een criminele daad.
... het daarvoor niet van belang is of de afpersers opzet hadden op de dood van de vrouw. ...
Los van het wel of geen opzet was, de criminele handeling is heel anders van aard. In het geval van een vergismoord kun je zeggen dat het geen opzet was de verkeerde te vermoorden. Maar dan was het doel wel moord. Maar hier is het doel van de criminele handeling niet het schade berokkenen aan personen.
Stel dat een inbreker ergens inbreekt waarvan de inbreker denkt dat er niemand thuis is. De inbreker heeft geen wapens op zak.
De bewoner blijkt thuis te zijn, ligt op bed en schrikt wakker en wil vluchten en valt daarbij, met dodelijke afloop. Ja, dan is het de schuld van de inbreker, maar in hoeverre kun je hem dat aanrekenen? Hij was in de veronderstelling dat er niemand thuis was en had geen wapens op zag om zich te kunnen verdedigen. Het is wel zijn schuld, zeker, maar zo zwart/wit dat het dan automatisch de volledige straf wordt, dat lijkt me sterk.
Of de intentie er toe doet, hangt af van de tekst van het van toepassing zijnde wetsartikel. Bij moord en doodslag moet de dader opzet hebben op de dood van een ander (voorwaardelijk opzet mag ook). Bij de gevaarzettingsdelicten (de artikelen 157 t/m 175b van het Wetboek van Strafrecht) hoef je geen opzet op de dood van een ander te hebben, maar kan de dood van het slachtoffer je desondanks toch strafrechtelijk worden aangerekend en gaat daardoor het strafmaximum omhoog. Art. 161sexies WvSr is daarvan een voorbeeld, maar hetzelfde zie je bij opzettelijke brandstichting in art. 157 WvSr. De intentie is dus niet altijd doorslaggevend.

In de casus van de inbreker is er geen wetsartikel te vinden waarin de dood van de bewoner hem strafrechtelijk kan worden aangerekend (wat overigens niet wil zeggen dat de rechter bij de veroordeling voor de inbraak er geen rekening mee zou kunnen houden bij de oplegging van de straf).
offtopic, maar respect voor het toegeven dat je vergelijking mank was; als meer mensen zulke zelfreflectie hadden waren veel discussies veel zinniger.
Ander voorbeeld: stel ik rij door een woonwijk, 25 km/uur, minder dan de 30km/uur die daar toegestaan is. Kinderen spelen verstoppertje buiten en ik heb dat niet door en een kind rent de straat over en ik kan niet op tijd remmen. Is het dan daadwerkelijk schuld?
Verkeerd voorbeeld. Met 25km/u door een woonwijk is niet verboden. Dat daaruit een ongeluk gebeurt, blijft een ongeluk. Maar stel, je rijdt bewust 50, waardoor je op overstekende kinderen niet kan anticiperen en er een dood rijdt, dan is treft jou zeker blaam. Zo ook in deze case. Een ransomware aanval of afpersing uitvoeren is gewoon strafbaar. Als daaruit slachtoffers vallen, dan is de aanvaller daar schuldig aan.
Ook bij 25 km/h. Een auto bestuurder treft altijd blaam tenzij redelijkerwijs bewezen kan worden dat de bestuurder er helemaal niets aan kon doen B.V. jij staat op een parkeerplaats en kind rent tegen je auto aan.

Zwakke verkeersdeelnemers zullen altijd beschermd worden. 25kg vlees tegen 900kg aluminium en staal.
Alleen als jij 25km/u reed was jij je bewust van de gevaren en heb je je snelheid iig aangepast. Derhalve zal dit heel anders worden gewogen als dat jij express te hard reed (50 doe je dan niet per ongeluk). Zitten gelukkig gradaties in.
Dan nog ben je schuldig aan het ongeval.. Als de ouders van het kind aangifte doen, of de agent aanwezig bij het ongeval aangifte doet. Zal er daadwerkelijk een strafrechtelijk onderzoek gestart worden waarbij de bestuurder van de auto als verdachte wordt aangemerkt.

In eerste instantie is de bestuurder altijd schuldig, of de bestuurder strafbaar heeft gehandeld zal de politie moeten uitzoeken en advies moeten uitbrengen bij OVD. Als het kind een buil heeft en een schaafwond dan wordt het idd verzekerings werk.. Als het kind ernstig letsel heeft of zelfs overlijd.... Zal er altijd aanvullend onderzoek plaatsvinden.. In dat geval is de bestuurder verdachte, tot de politie heeft aangegeven dat er geen blaam trof en een tragisch ongeval is.. Dan gaat het zeker alleen nog om verzekering werk en eventueel nog juridisch getouwtrek.. Politie gaat er dan wel tussen uit...
Uiteraard. Alleen te hard rijden is per definitie voldoende om je dan ook direct strafrechtelijk te vervolgen.
‘Een auto bestuurder treft altijd blaam’ In het strafrecht toch niet? Dat is voor verzekeringszaken zo geregeld. Maar get strafrecht is een ander onderwerp.
In eerste instantie wel, bij een ongeval afhankelijk van de ernst. Bij wat blik schade, of een schaafwond zal er niet veel aan de hand zijn tenzij er alcohol, verdovende middelen enz in het spel zijn bij de bestuurder van de auto..

Daarnaast zal er altijd gekeken worden naar de ernst van het ongeval.. Ook al is het zo dat je er niets aan kon doen.. en de voetganger is overleden zal er altijd strafrechtelijk onderzoek gedaan worden.. Wat de politie constateerd wordt verbaal van opgemaakt en beoordeeld door OVD en mogelijk Justutie om te bepalen of het handelen strafbaar is geweest..

Verzekering technisch.. zal een zwakke verkeersdeelnemer Auto vs fietser of fietser vs voetganger.. de zwakste deelnemer in 90% van de gevallen in gelijk worden gesteld..
Beetje off topic: Als een 13 jarig kind letterlijk tegen jouw geparkeerde auto aanfietst en dan z'n nek breekt, is het niet zijn schuld, Maar de jouwe. De rechter zal het wel rechttrekken, maar wettelijk gezien is het jouw schuld. Jij zult niet de ziekenhuis kosten hoeven betalen, maar wel zelf je auto moeten repareren en betalen.
Dit lijkt me sterk, heb geen bewijs of iets dergelijks maar als dit het geval zou zijn dan hadden best veel mensen dit misbruikt. Immers kan je vrij weinig doen als je auto geparkeerd is en iemand knalt er (expres) tegenaan.
Zoals eerder gezegd: de rechter trekt dit wel recht, maar in principe ben je als fietser onder de 14 nóóit schuldig. Het is ronduit belachelijk.
Hier is alleen sprake van als de auto stilstaat op de weg, terwijl de auto aan het verkeer deelneemt. Zodra een auto geparkeerd is en niet meer deelneemt aan het verkeer, dan is de eigenaar niet verantwoordelijk voor het feit dat iemand er tegenaan fietst. Tenzij de auto heel krom geparkeerd staat, maar dat zou een uitzondering kunnen zijn.
Heb je het hier over artikel 185 WVW? Of een andere wet?

Volgens mij is er wel degelijk een verschil tussen geparkeerde auto's, en stilstaande (stoplicht/laden&lossen/etc) auto's.

Deze website legt het aardig uit:
Het kan zijn dat u tegen een geparkeerde auto bent aangereden. In dat geval is artikel 185 WVW niet van toepassing, omdat de auto op dat moment geen verkeersdeelnemer is. Als u daardoor schade oploopt, komt die niet voor een vergoeding in aanmerking. En als u schade heeft gemaakt aan de geparkeerde auto dient u die schade te vergoeden.
Artikel 185 WVW maakt inderdaad onderscheid tussen kinderen (<14 jr.) en oudere fietsers, maar als je geparkeerd bent lijkt deze wet helemaal niet van toepassing te zijn.
Toevallig 2x ervaring met een soortgelijke geval (5 en 13 jaar, tegen geparkeerde auto aangereden), maar dan zonder nek breken. De WA verzekering van de ouders van het kind dekte alle schade aan de auto. De verzekering van de eigenaar van de auto werd niet aangesproken. Weet je zeker dat jouw bewering klopt?
Wellicht was het verschil dat er bij mij niemand in de auto zat. Bij jou stond de auto aan en stond op de weg (niet geparkeerd).
De vergelijking is misschien beter: jij rijdt met 160km/u door een woonwijk net als de scholen uit zijn, en je denkt niet door te hebben dat het geen snelweg is, maar een schoolstraat in een woonwijk.

Als je als hacker zo’n gerichte daad onderneemt, mag je van zo’n hacker ook verwachten dat ze beter onderzoek doen over het ziekenhuis. Ze hebben njet per ongeluk een prive pc van iemand geraakt.
Ik denk dat je het woonwijk voorbeeld moet aanpassen naar 100 in de speelerf, waarvan je dacht dat het gewoon een wijk binnen de bebouwde kom was.

Hacken + ransomware installeren is verboden, net als 100 (eigenlijk) verboden is binnen de bebouwde kom. Als je daarbij ook nog iemand aanrijdt, dan is dat het gevolg van je kwade actie.
Ja, voetgangers zij. Zwakke verkeerd deelnemers. Je kan er redelijkerwijs van uitgaan dat in een woonwijk kinderen spelen.

Je weet ook dat kinderen zomaar de straat op kunnen rennen.

De bestuurder van de auto moet dus in een woonwijk extra goed opletten.
Een vergismoord is ook doodslag. Je had niet de bedoeling het slachtoffer dood te maken. Geen idee of een rechter dat ook zo ziet.
Ik zie dat als je bij digitale misdrijven vergelijkingen probeert te maken met analoge situaties, dit vrijwel nooit de situatie beter vergelijkbaar maakt en vooral leidt tot discussies dat de vergelijking niet klopt.
dood door schuld is eerder van toepassing
Wat kan de directie en/of IT afdeling opgelegd worden? Zo een aanval ontstaat namelijk niet in een vacuum... Was er nalatigheid in het spel en kan daarbovenop dood door schuld worden gegooid, misschien met strafverzwaring als ze "je wist dat iemand dood kon gaan hierdoor" hard kunnen maken?
Dit is wel een boeiend risicomanagement. Is in dit geval meegenomen dat een patient kan overlijden bij een vulnerable systeem en heeft een CIO dit geaccepteerd.
Uiteindelijk is elk systeem vulnerable, het is alleen de vraag wanneer de volgende vulnerability gevonden wordt. Als voordat er een fix is van een leverancier en überhaupt nog niets hierover is gedeeld, kunnen er al wel exploits(0days) rond gaan en systemen dus gehackt worden.

Ik denk dat jullie gecombineerde (@Cergorach/@timo_m) statement alleen op gaat wanneer bekend is dat er een vulnerability is en de CIO willens en wetens besluit toch door te draaien. Als er nog geen fix is, of de fix nog niet geinstalleerd kan worden zal het systeem uiteraard niet gebruikt mogen worden en zelfs offline of disconnected moeten zijn.

Wellicht wanneer mogelijk dit systeem (of omgeving) tijdelijk airgappen, al zijn hier ook al hacks succesvol in geweest. Maar voor een standaard ransomware aanval die uitgaat van een 'all-connected' netwerk, zou dit voldoende kunnen zijn. Uiteraard is dit risicomanagement.
Uit het artikel:
Volgens het ziekenhuis kon de aanval plaatsvinden via een kwetsbaarheid in wereldwijd gebruikte commerciële software. "Voordat het softwarebedrijf dit lek uiteindelijk dichtte, was er voldoende tijd om de systemen binnen te dringen."
Het lijkt erop dat er nog geen patch beschikbaar was, niet geïnstalleerd was of wellicht nog niet compatible was.

Het is dus niet duidelijk waarom de aanval plaats kon vinden, maar zoals het er nu staat is het een kwetsbaarheid in de software gebleken.

Stel dat de patch beschikbaar was, maar nog niet geschikt was voor dit ziekenhuis (vanwege de uitval van andere systemen/koppelingen), dan is het logisch dat die patch met allerlei andere fixes, niet direct wordt geïnstalleerd. Als je alleen het lek dicht, maar de andere updates laat voor wat het is, dan kan het softwarebedrijf het lek alsnog dichten.
Het is dus niet duidelijk waarom de aanval plaats kon vinden, maar zoals het er nu staat is het een kwetsbaarheid in de software gebleken.
Dit is wat het ziekenhuis zegt dat het issue was of dat daadwerkelijk het issue is geweest is een heel ander verhaal. Ik verwacht niet dat een ziekenhuis uit zichzelf schuld zal bekennen als het hun fout was geweest, zeker niet als dat een dode patiënt tot gevolg heeft, dat zou leiden tot minstens een civiele rechtszaak...
Waarschijnlijk dood door schuld, misschien met strafverzwaring als ze "je wist dat iemand dood kon gaan hierdoor" hard kunnen maken.
Dat laatste is niet het geval, doordat de aanval op een universiteit was gericht, maar ze hadden het verkeerde "huis" te pakken.

Dood door schuld zal hopelijk wel blijven staan, als ze gepakt worden.
Moord niet. Dood door schuld wel. Maar goed, spoor ze maar eens op.
Ja oke dood door schuld dus. Het vinden zal zeker nog het moeilijkste zijn.
Dood door schuld zou van toepassing zijn op de gevolgen bij deze ene patiënt.

Me dunkt dat het doelbewust de infrastructuur van een ziekenhuis buiten werking stellen onder terrorisme/terreur geschaard kan worden.
Dat er "maar" één patiënt hierdoor overleden is, is dan van verminderd belang en zou met een terrorisme/terreur aanklacht alsnog een celstraf geëist kunnen worden die veel hoger is dan alleen bij doodslag mogelijk zou zijn.

Ik ben echter geen jurist :p
Terrorisme is geweld 'met een politiek of religieus doel'. In meeste (alle?) ransomware aanvallen gaat het om financieel gewin.
Terrorisme is geweld 'met een politiek of religieus doel'. In meeste (alle?) ransomware aanvallen gaat het om financieel gewin.
Het woord heeft al iets in zich van angst aanjagen.
En ransomware is wel degelijk iets wat te maken heeft met angst aanjagen, namelijk het dreigen om data af te nemen, totdat je betaalt.

Zie ook de beschrijving op Juridisch Woordenboek
strafrecht - oogmerk om de bevolking of een deel van de bevolking van een land vrees aan te jagen, dan wel een overheid of internationale organisatie te dwingen iets te doen, niet te doen of te dulden, dan wel de fundamentele politieke, constitutionele, economische of sociale structuren van een land of een internationale organisatie ernstig te ontwrichten of te vernietigen. (bron: AIVD) Deze definitie die het gevolg is van het Europese standpunt van de Raad van de Europese Unie inzake terrorismebestrijding, zoals deze materieel gelijk is beschreven in de bepaling in de (ontwerp-)WTM, artikel 83a WvSr:
Dus wat dat betreft lijkt het mij niet zo heel erg ver gezocht om een ransomware aanval onder terrorisme te laten vallen.
Daarnaast zou het wat mij betreft daar ook best wel onder mogen vallen, zodat het ook echt zwaar bestraft kan worden en er wellicht ook meer resources voor vrijgemaakt kunnen worden voor de opsporing.
Al zou dat verzekeringstechnisch nog best wel vervelende gevolgen kunnen geven voor getroffenen, aangezien verzekeraars vrijwel altijd terrorisme uitsluiten in de voorwaarden.
Ik vind het wel te ver gezocht: dit is gewoon afpersing, geen terrorisme. Het is niet zo dat zodra er gedreigd wordt, dat het dan terrorisme is in die zin. Gedwongen prostitutie is ook geen terrorisme.

Een universiteit is geen land of bevolkingsgroep.

[Reactie gewijzigd door Znorkus op 19 september 2020 08:59]

Het is dreigen met een organisatie ernstig te ontwrichten.
En afhankelijk van de organisatie kan het zelfs landelijk of internationale gevolgen hebben.

Wat gedwongen prostitutie ermee te maken heeft, zou ik niet weten.
Voorbeeld was vooral om aan te geven dat de schaal er te klein voor is. Individuen die afgeperst worden en individuele bedrijven die afgeperst worden, dat is volgens mij gewoon afpersing.

Terrorisme is, zie ook de website van bv de AIVD, het plegen van of dreigen met aanslagen of ander ernstig geweld:

"Formeel: het uit ideologische motieven dreigen met, voorbereiden of plegen van op mensen gericht ernstig geweld, dan wel daden gericht op het aanrichten van maatschappij-ontwrichtende schade, met als doel maatschappelijke veranderingen te bewerkstelligen, de bevolking ernstige vrees aan te jagen of politieke besluitvorming te beïnvloeden."

Dit zijn geen terroristen. Dit zijn criminelen. Het gaat ze gewoon om een beetje geld. Da's toch iets anders denk ik.
[...]
Dit zijn geen terroristen. Dit zijn criminelen. Het gaat ze gewoon om een beetje geld. Da's toch iets anders denk ik.
Dat is aan de rechter om te beoordelen.
De reden van mijn reply was dat het niet ondenkbaar is om ransomware aanvallen toch te kunnen klassificeren als terrorisme. Uiteraard moet het per geval bekeken worden (en dat doet een rechter ook).
Maar het is niet ondenkbaar dat een ransomware aanval dusdanig verstrekkende gevolgen kan hebben dat het wel degelijk onder de noemer terrorisme kan vallen.

Bijvoorbeeld wanneer systemen platgelegd worden die dijkbewaking doen, stormkeering bedienen etc. (geen idee of die verbonden zijn met systemen die platgelegd kunnen worden door ransomware, maar even als voorbeeld van de schaalgrootte)
Nu heeft het er alle schijn van dat de aanvallers dachten een onderzoeksinstituut aan te vallen, maar ook daarbij kun je erg veel schade aanrichten, niet alleen aan verloren onderzoeksdata of vertragingen.

Ik blijf bij mijn opvatting dat ransomware een vorm van angst aanjagen is, wat verder gaat dan afpersing.
Het heeft zeker erg veel overeenkomsten met afpersing, maar de schaalgrootte is potentieel vele malen groter dan bij afpersing. Maar goed, ik ben geen jurist en zoals gezegd zal het sowieso per geval beoordeeld moeten worden door de rechter.
Het enige wat ik wilde aangeven is dat het ransomware ook wel te klassificeren zou kunnen zijn als terrorisme.
"Maar het is niet ondenkbaar dat een ransomware aanval dusdanig verstrekkende gevolgen kan hebben dat het wel degelijk onder de noemer terrorisme kan vallen."

Ben ik zeker met je eens! Als het de kant op gaat van ziekenhuizen aanvallen -of zelfs meerdere ziekenhuizen-, dan zit je zeker in die hoek ja.
Juridisch gezien vereist terrorisme geen politiek of religieus doel, je wil dat een land of bevolking iets gaat doen of ergens mee stopt. Met een enorme laser een land angst aanjagen ("ik verwoest je hoofdstad!") en dan een miljoen dollar eisen om dat te voorkomen is een vorm van terrorisme, ook als daar nul politieke, ideologische of religieuze grondslagen bij zitten.
Volgens mij is de betere metafoor "Gewapende bankoverval", waarbij door ongelukkige omstandigheden een van de gegijzelden gestorven is, verwijtbaar aan de overvallers.

Maar vind ze maar eens, en bewijs maar eens onomstotelijk voor de (meestal niet al te tech-savvy) rechter dat een of andere Russische scriptkiddie 3000 kilometer verderop iemands dood heeft veroorzaakt. Als ze al gaan vinden, geen eenvoudige zaak.
Maar dan is de hele IT afdeling medeschuldig wegens het nalaten van goede beveiliging.
Of de directie die de IT afdeling steeds financieel afknijpt
Met meer geld voorkom je een zero-day in je firewall ook niet. Of stel je voor dat de directie letterlijk eurobiljetten in de firewallserver steekt?
Als je een IT-afdeling maar voldoende ver uitkleed door bezuinigingen, krijg je vanzelf een veiligheidsprobleem.
Een team van X personen kan Y patches in Z tijd uitrollen.
Als je het team halveert, zal Y afnemen, danwel Z toenemen.
Op een gegeven moment krijg je dat je team het gewoonweg niet meer bij kan benen.

Kortom, het is niet zo dat men eurobiljetten in de firewall steekt, maar indirect is het functioneren van een team wel afhankelijk van het beschikbare budget.
Ik word een beetje moe van de constante 'hadden ze maar niet op hun IT_afdeling bezuinigd' comments bij ransomware berichten.

Heeft dit commentaar een grondslag? Hoeveel heeft het ziekenhuis hier bezuinigd op de IT-afdeling? Vanaf welk budget mag een instelling zichzelf veilig wanen voor een ransomware aanval? In hoeverre is er eigenlijk een relatie tussen veiligheid en het budget van je IT-afdeling? Volgens mij is dat niet zo 1:1 als hierboven gesteld. Overgoot deel van budget zal naar onderhoud of nieuwe IT infrastructuur projecten gaan en niet naar een IT wapenwedloop
Op IT-afdelingen van zulke instellingen klotst in de regel het geld niet bepaald tegen de plinten in vergelijk met bij commerciële instellingen. In vergelijkbare ziekenhuizen is er ook geen geld om snel expertise van buitenaf in te schakelen omdat de tarieven in de Duitse IT toch behoorlijk hoog liggen.

Het is weldegelijk een interessant vraagstuk of de genoemde patch nog op de plank lag omdat (a) deze (te) laat door de softwareleverancier ter beschikking is gesteld, (b) de IT-afdeling door interne prioritering te lang heeft laten liggen, of (c) het een keuze van het hoger management geweest is de IT-afdeling niet in de gelegenheid te stellen structurele problemen tijdig te verhelpen.

Aangezien er hier sprake is van een "kwetsbaarheid in wereldwijd gebruikte commerciële software" roept het bij mij de vraag op hoe het dus überhaupt heeft kunnen gebeuren hoe iemand die niet eens kundig genoeg is om het door hem/haar beoogde bedrijf te "hacken" hier dus kritische systemen lam kon leggen.
Aangezien er hier sprake is van een "kwetsbaarheid in wereldwijd gebruikte commerciële software" roept het bij mij de vraag op hoe het dus überhaupt heeft kunnen gebeuren hoe iemand die niet eens kundig genoeg is om het door hem/haar beoogde bedrijf te "hacken" hier dus kritische systemen lam kon leggen.
Wie zegt dat ze een specifiek bedrijf op het oog hadden? Ik vermoed dat ze op de hoogte waren van een kwetsbaarheid, gezocht hebben naar (willekeurige) kwetsbare systemen, ergens zijn binnengekomen en toen hebben proberen vast te stellen in wiens systeem ze zaten (om de hoogte van het losgeld te kunnen bepalen; hoe groter het bedrijf, hoe meer geld je vraagt).
Ik zeg ook zeker niet dat het een 1:1 relatie heeft.
Wat ik probeer te zeggen is dat (te) ver uitkleden van het IT-budget vanzelf zal leiden tot een afname van de effectiviteit van de IT.
En helaas zie je nog steeds op heel veel bedrijven dat IT-beveiliging vaak als sluitpost van het budget wordt gezien.
Andersom zie je ook gebeuren, dat een IT-afdeling er vaak taken bij krijgt zonder dat het aantal FTE's omhoog gaat. Indirect is dat ook een bezuiniging.
Als je genoeg eurobiljetten in een server steekt lijkt me dat deze vanzelf geen zero-days toegang meer mogelijk maakt. Wel lijkt me dan dat tegelijkertijd alle andere vormen van toegang ook niet meer mogelijk zijn, maar de IT-er die dit probleem gaat oplossen wordt wel gelukkig van de klus.
Beveiliging is nooit 100%.

Wat je wel kan concluderen hieruit is dat ziekenhuizen paralellen systemen moeten hebben. Eentje op het internet en een soort lan achtig systeem als back-up.

Mocht je systeem uitvallen/gegijzeld worden kun je dus overschakelen op een intern systeem wat meer “analoog” is. Waardoor je dus wel hulp kunt bieden als ziekenhuis.
Wat je wel kan concluderen hieruit is dat ziekenhuizen paralellen systemen moeten hebben. Eentje op het internet en een soort lan achtig systeem als back-up.
Om dat die systemen parallel moeten werken hebben ze dus een verbinding met elkaar nodig en,
Oeps, daar gaat je beveiliging.
Het enige wat je kunt doen is de jacht op dit soort afpersers veel meer intensiveren en internationaal laten samen werken, waarna je de gevonden daders wereld wijd een straf moet geven van 10jaar in het land van herkomst.
Dit geld dan ook naar de gasten die via bots-netten de boel platleggen.
Als de pak kans omhoog gaat en de straffen hard genoeg zijn gaat deze rotzooi hopelijk eindelijk eens ophouden.
Hoeft niet, het houd wel in dat je alle gegevens met de hand moet gaan invoeren. HEt word dan weer arbeidsintensief. Je gaat dus terug naar een systeem voor de computer. Is dat handig nee, maar het is dan ook een nood systeem.
Wat je wel kan concluderen hieruit is dat ziekenhuizen paralellen systemen moeten hebben. Eentje op het internet en een soort lan achtig systeem als back-up.
Tja, en met die duizenden transacties per uur moet er echt een kabeltje tussen.

En sommige ziekenhuizen hebben noodverzieningen zoals off-line laptops, die eens per 24 uur alle patientinfo van een afdeling gesynct krijgen. Op enig moment staan die dus toch in verbinding met je EPD (en dus doelwit voor Ransomware, want ze doen echt wel hun verkenning). En die laptops zijn regelmatig doelwit van diefstal, waarna de tent weer te klein is want datalek. Dit zijn geen makkelijke omgevingen....
Dat hoeft niet. Als er een zeroday in een firewall zit. En een stuk software waarvan de leverancier deze nog niet gepatched heeft om welke reden dan ook.

Is dit niet de fout van de IT afdeling. Dat is te kort door de bocht.

Vaak worden audits gedaan door externe bedrijven op gebeid van gegevens beveiliging.
Heel erg kort door de bocht.
Zo te lezen gaat het om een zero-day lek die gebruikt is (volgens het ziekenhuis), hoe wil je dat toeschrijven aan de IT afdeling?
Het softwarebedrijf dat het lek nog niet gedicht had. Zie in het artikel.
Door dit misdrijf staan ze wel hoger op de ranglijst om intensiever opgespoord te worden. Dus ik neem aan dat er nu meer actie wordt ondernomen want als ze dit bij meer ziekenhuizen proberen, dan kan het nog vrij groot worden.
Niet om het goed te praten, maar in het artikel staat dat het om een misverstand ging. Het daadwerkelijke doel was een universiteit, maar (wellicht door een taalbarrière) is een universitair ziekenhuis platgelegd. Ik verwacht van deze groep hackers daarom geen andere aanvallen op ziekenhuizen.
Gelukkig doet dat in het Nederlandse strafrecht er niet altijd toe :) dat risico neem je op de koop toe, och het zal wel goed gaan.

Als je een dusdanige infrastructuur al wilt overbelasten is het al vragen om problemen, de gevolgen meent men voor lief.
In Duitsland doet het Nederlandse strafrecht er niet toe
Natuurlijk niet.

Daarom benadruk ik ook in het Nederlandse.. oftewel wij hebben in zulke situaties een oplossing, geen idee of zij dat ook hebben.

Maar ik begrijp uw verwarring.
Mogelijk dood door schuld, of het equivalent daarvan in het Duitse recht. Lijkt me niet te kort door de bocht.
Dat is niet te zeggen gezien het niet zeker was dat de vrouw het zou hebben overleefd zonder de aanval.

Overigens vindt ik dat dit aangerekend moet worden aan het ziekenhuis, die hebben hun IT dus totaal niet op orde. De gene die de aanval deed zou naar mijn idee zeer zwaar gestraft moeten worden, een lange gevangenis straf van een aantal jaar bijvoorbeeld.
Gedeeltelijk met je eens. De IT/directie is niet verantwoordelijk voor de dood van de patiente. Maar het ziekenhuis moet wel een noodprocedure hebben voor het geval dat het Ziekenhuis Informatie Systeem niet toegankelijk is. De meeste ziekenhuizen hebben daarom ook het EPD (Elektronisch Patienten Database) in een disaster recovery procedure ondergebracht, zodat dit altijd toegangelijk is.

Natuurlijk is de IT of een CISO meder verantwoordelijk voor de opvoeding van de gebruiker. En onbegrijpbaar dat door het klikken van een website of een attachment een server plat kan leggen. Hoop dat deze dingen wel aan het licht zullen komen.
Het offline EPD is niet altijd binnen 2 minuten beschikbaar, doordat je op dat moment alles nog moet afdrukken, doordat alles wat je vooraf afdrukt al verouderd is. Tevens is het maar de vraag of je bij je netwerk printer kunt of moet terugschakelen naar een usb printer.

Daarnaast moet iedereen net zo snel met papier werken als nu met de pc mogelijk is. Dat is dus niet het geval.
Het is niet te doen om dat offline aan te bieden. Veel belangrijker dan de patientinfo zijn procedures waarop de artsen et all op terug moeten kunnen vallen. En die zijn makkelijker offline te cachen dan de patienten informatie. Voor patiënten info wordt gewoon teruggevallen naar het papieren dossier. Die wordt toch vaak 's ochtends in beknopte vorm uitgedraaid voor patiënten in de kliniek voor dit soort gevallen. Vergelijk het anders alsof je in een vreemd ziekenhuis wordt opgenomen: Daar kennen ze je ook niet en zullen ze ook een nieuw dossier opbouwen van je als je via de SEH binnenkomt. En een SEH word vaak al als eerste dichtgegooid bij een interne calamiteit zodat er snel naar een ander ziekenhuis uitgeweken kan worden.
... En onbegrijpbaar dat door het klikken van een website of een attachment een server plat kan leggen...
Denk dat jij je wat meer moet verdiepen in ransomware. 't Is echt niet zo dat er maar één klikje op een onveilige link heeft plaatsgevonden. Moderne ransomware zit a maandenlang binnen, voordat het toeslaat
Hoe weet je dat ze fout zaten, de IT van dit ziekenhuis?
Het is voor mij aan de ene kant makkelijk, opsporen deze criminelen en levenslang naar een werkkamp, maar ik denk dat ze in het land van herkomst, het handje boven het hoofd wordt gehouden.
Aan de ene kant zou het zoals hier moeten zijn, de regering wil weten waar je geld vandaan komt, komt dit van criminele zaken, krijg je geen vergunning/visum of zelf een normale bankrekening, want de rekening waar je je criminele miljoenen op hebt staan, is bevroren.
Justitie graait graag bij deze criminelen. Nu nog als land bij deze ransomware criminelen geld terug te vorderen en graaien naar hun harde zaken (auto`s/huizen etc.)
Even snel google opgedoken en dan komen deze al gelijk omhoog.
Voorbeeld uit 2020 https://www.rijnmond.nl/n...voor-ruim-zes-ton-plukken
Voorbeeld uit 2013 https://4nieuws.nl/binnen...ljoen-van-criminelen.html
Voorbeeld uit 2009 https://www.ad.nl/economi...3A%2F%2Fduckduckgo.com%2F
Ze zijn in elk geval schuldig aan crimineel gedrag, met de bewuste intentie om systemen te versleutelen en alle gevolgen die daaruit voortvloeien. Als je binnenshuis gaat voetballen, was het misschien niet de bedoeling dat tv, vaas en ruit sneuvelden, maar je nam een risico. Ze hebben bewust een aanval uitgevoerd, alleen naar nu blijkt op het verkeerde doelwit. Hartstikke leuk om je dan van je schuld te willen ontdoen, maar ze hebben door dit asociale gedrag iemands kans op een tijdige operatie ontnomen. Moord zal het waarschijnlijk niet zijn, maar ik hoop toch echt dat dit heel zwaar bestraft wordt.
As er geen losgeld gevraagd wordt is het toch geen ransomware maar gewoon een virus of malware? Of werd er iets anders dan geld gevraagd?

Verder triest dat er een mensenleven aan ten onder is gegaan.

[Reactie gewijzigd door mjl op 17 september 2020 21:12]

De bestanden/systemen waren (even) gegijzeld. Dus ransomware dekt de lading wel. Uiteindelijk kregen ze de sleutel zonder betaling te hoeven doen.
Het was ransomware, maar de criminelen dachten dat ze een universiteit gehackt hadden. Toen het ziekenhuis aangaf dat het om een ziekenhuis ging kregen ze de sleutel overhandigd. Staat in het artikel ;)
Dat is later aan het artikel toegevoegd,... maar dan is het inderdaad een ransomware.
Je kan ook dingen gijzelen zonder er iets voor te willen. En volgens mij is ransomware altijd een soort malware.
Nadat de politie contact opnam met de afpersers en hen duidelijk maakte dat niet de universiteit maar een ziekenhuis getroffen was, zouden de daders de sleutel overhandigd hebben waarmee de systemen weer vrijgegeven konden worden. Daarna zouden ze niet meer gereageerd hebben.
Ze waren gewoon nog niet zover gekomen, de daders hebben verzocht om contact met hun op te nemen na de versleuteling, waarschijnlijk om dan losgeld te eisen.
Of dat effectief zo is ...Het is maar een persbericht.
Natuurlijk ook handig om meer mankracht te verkrijgen want dood door schuld heeft hogere juridische prioriteit.
Kunnen we als iter’s een vrijwillig response team/fonds/stichting opzetten. Een soort vrijwillig brandweer. Om bij dit soort hacks heel snel te kunnen reageren om ziekenhuissen te voorzien van IT handjes om levens belangrijke/bedreigende zorg draaiende te kunnen houden?
Ik denk niet dat dat helpt in zo'n situatie. Ik heb nog nooit een disaster recovery gezien met meer als 5-6 man, om elkaar niet in de weg te zitten en de juiste volgordes van herstel aan te kunnen houden.

Ook is in zo'n geval de restore tijd van de systemen soms een issue, beetje afhankelijk of je hot spares hebt of niet.

We zouden als it'ers een bounty hunter clubje moeten beginnen om dit soort gasten zelf even terug te crypten en ondertussen alle bitcoins weer terug te sturen naar de slachtoffers. Naast natuurlijk een publieke DOX van al hun gegevens.
Maar handjes om snel OK,IC en SEH computers te herstellen lijkt mij wel iets je graag in zoon situatie wil hebben.
Liever niet zeg. Ik wil niet ineens een groep onbekende mensen op de werkvloer die aan mijn IT omgeving gaan zitten werken. Ik ken ze niet, geen idee wat hun kennisniveau is en hoe goed ik ze kan vertrouwen. Daarnaast, ze zijn helemaal niet ingewerkt op het betreffende systeem, dus goede kans dat ze alleen maar in de weg lopen en nog meer schade aanrichten.
Lijkt me meer iets voor het leger dan om de cyberreservisten in geval van nood in te zetten voor zo’n taak. https://werkenbijdefensie.nl/cyberreservist-worden
Zou volgens mij toch wel een precedent kunnen zijn in de rechtspraak? Dit lijkt me dan toch wel een textbook voorbeeld van onopzettelijke doodslag?

Ook bizar toch hoe de mogelijkheid tot bepaalde behandelingen afhangt van echt server systemen. Ik vraag me af in wat voor toepassingen dit zich dan kan bevinden?
Ook bizar toch hoe de mogelijkheid tot bepaalde behandelingen afhangt van echt server systemen. Ik vraag me af in wat voor toepassingen dit zich dan kan bevinden?
Eigenlijk zou er een systeem moeten komen die alleen binnen de ziekenhuizen werkt en niet direct verbonden is aan het internet, zodat dit soort aanvallen van buitenaf bijna niet voor kunnen komen.
Toch bijzonder om te zien dat zelfs zulke lui nog een beetje ethiek kunnen hebben, ze hebben de sleutel vrijwillig afgegeven, terwijl ze toch een aardige leverage hadden, ook al was dat niet het beoogde slachtoffer, dat was een universiteit, zouden ze ervan uitgaan dat een ziekenhuis toch niet betaald en een universiteit wel?
Ethiek? serieus! ik heb 0,0 empathie voor dit soort gedrochten van de maatschappij! sowieso is er ook in andere sectoren indirecte kans op letsel en dood.

Van mij mogen dergelijke aanvallen als een terroristische daad bestempeld en berecht worden.
Serieus ja ethiek. Dat jij het er niet mee eens bent doet daar weinig aan af.

Of ethiek ook de motivatie is geweest om de sleutel vrij te geven nadat bekend werd dat het een ziekenhuis betrof kunnen we alleen niet weten.
Ik zeg toch niet dat ik empathie hebt voor deze mensen, misschien nog een keer mijn comment lezen.
Indirecte kans op letsel en dood? Leg uit? Een bedrijf zn IT plat leggen en geld vragen om het terug te laten werken is vervelend maar normaal gaat daar niemand van dood. De IT manager zal mss een stressaanval hebben maar dat is dan ook alles.
Beetje jammer dat dit toegelicht moet worden en zover dus ook de empathie en ethiek van "hackers".

Een paar losse flodders uit de mouw:

1) Malware, dDOS, etc aanval op een energiebedrijf. Stroomuitval waardoor verkeerslichten die gevaarlijke situaties moeten voorkomen, leiden tot een aanrijding van een moeder met hun kleine kindje achterin. Dood...
2) Aanval op een Universiteit waar net baanbrekend onderzoek was naar een oplossing tegen Covid of kanker. Onderzoek kwijt. Maanden/Jaren werk vernietigd met de dood en ziekte van vele duizenden tot gevolg
3) Aanval op een IT bedrijf dat monitoring en beheer doet van netwerk infra dat compleet lam gelegd wordt. Vele klanten den dupe, who knows wat zij allemaal voor diensten hebben

Zo kan je eindeloos lang doorgaan. Mensen zijn vaak schapen en denken 1 of 2 stappen vooruit wat de impact is van wat zij doen. Te triest voor woorden.
Zelfs onder ransomware hackers bestaat er een soort code om geen ziekenhuizen aan te vallen dus het is logisch dat ze de sleutel hebben gegeven.
"Voordat het softwarebedrijf dit lek uiteindelijk dichtte, was er voldoende tijd om de systemen binnen te dringen."
Dit is wel heel simpel het hele probleem van je af schuiven. Uiteindelijk zijn er vaak meerdere factoren die een rol spelen in eerst de eerste besmetting en daarna het verspreiden van het stukje malware.
Volgens het Duitse NTV doet de Duitse politie onderzoek of er sprake is van dood door nalatigheid, omdat de vrouw stierf nadat ze was overgebracht.
Gaat het dan om nalatigheid van degene die behandelingen afhankelijk heeft gemaakt van IT systemen?

[Reactie gewijzigd door Olaf van der Spek op 17 september 2020 21:16]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True