Hackers delen paspoorten van werknemers van gehackte ouderenzorginstelling

Hackers hebben gestolen data gelekt van Attent Zorg en Behandeling, een Nederlandse instelling voor ouderenzorg. Bij de data zitten onder meer paspoorten van werknemers en de codes van sleutelkluizen van cliënten. Attent was in februari slachtoffer van ransomware.

Ransomwaregroep Qilin, de groep die Attent aanviel, heeft volgens RTL Nieuws de gestolen gegevens op het darkweb gepubliceerd. De groep heeft een bestand van 110MB gepubliceerd, met onder meer 74 paspoortdocumenten van dokters, fysiotherapeuten en verpleegkundigen. Sommige kopieën zouden al tien jaar niet meer geldig zijn.

Verder heeft de groep salarisstroken, geheimhoudingsverklaringen en vertrouwelijke interne communicatie gelekt. In die interne communicatie zou bijvoorbeeld te vinden zijn hoe medewerkers de woningen van zelfstandig wonende ouderen kunnen betreden. Deze cliënten gebruiken hiervoor vaak een sleutelkluis, die naast de deur bevestigd is met de sleutel van de voordeur erin. In de communicatie zou de naam, het adres en de code van de sleutelkluis genoemd zijn van een onbekend aantal ouderen.

Qilin claimt 'honderden gigabytes aan data' te hebben gestolen en dreigt meer te openbaren, tenzij Attent betaalt. Hoeveel losgeld Qilin vraagt, is niet bekend. Attent ontdekte de aanval op 17 februari. Inmiddels zouden de hackers geen toegang meer hebben tot de systemen, iets dat Qilin overigens zonder bewijs weerspreekt. Attent heeft in totaal 1450 werknemers en 500 vrijwilligers, en zegt de betrokkenen, de Autoriteit Persoonsgegevens en Inspectie Gezondheidszorg en Jeugd te hebben geïnformeerd. Ook wordt er gesproken over aangifte. Attent is actief in Gelderland.

Reacties (106)

StephanVierkant

7 maart 2023 15:19

Op de website staan meerdere nieuwsberichten over deze 'technische storing'. Het meest recente bericht (Cruciale technische problemen opgelost (03/03/23)) spreekt echter nog steeds over "Inmiddels is duidelijk dat geen data gelekt is uit deze systemen." (28 februari 2023) en "Dit betekent concreet dat de data uit deze systemen niet in handen van derden is beland." (20 februari 2023)

Behalve dat de beveiliging dus niet op orde was, was ook de logging niet op orde. En nu we weten dat er toch data is gestolen, is de site nog niet geüpdatet.

Het artikel van RTL stelt duidelijk dat Attent 'de aanval' op 17 februari ontdekte. Dat sluit scenario 1 van @DVX73 volgens mij uit.

[Reactie gewijzigd door StephanVierkant op 23 juli 2024 09:26]

bwerg @StephanVierkant • 7 maart 2023 15:49

Deze FAQ is recenter:

Liggen er gegevens op straat?
Het is ons bekend dat er gegevens zijn gestolen. De aanvallers hebben ons laten weten dat er gegevens openbaar zijn gemaakt. Mensen waarvan wij zeker weten dat ze direct betrokken zijn bij deze gestolen gegevens zijn reeds geïnformeerd. We onderzoeken nog of er eventuele andere direct betrokkenen zijn, uiteraard informeren wij hen dan zo spoedig mogelijk.

Gevalletje van een recent nieuwsbericht met inmiddels onjuist gebleken informatie die ze niet hebben gecorrigeerd.

[Reactie gewijzigd door bwerg op 23 juli 2024 09:26]

DVX73 @StephanVierkant • 7 maart 2023 15:32

Zag het bericht ook, dit kan meerdere dingen betekenen.
1) De data is op een eerder tijdstip gelekt
2) Gebrek aan logging
3) Mannipulatie van logging
4) Analyse is verkeerd uitgevoerd

Anoniem: 1322 @DVX73 • 7 maart 2023 19:04

Haha, je hebt er nog 1 vergeten:
5) incompetentie om data lek daadwerkelijk vast te kunnen stellen.

Veel van die zorginstellingen zitten gewoon bij een boeren IT club en daar is punt 2 orde van de dag. Dan gaan ze naar diezelfde IT club die ‘geen bewijs van data lekken’ kan vinden omdat hun zyxcel firewall niet eens redelijk is geconfigureerd.

Net als die burgemeester van Hof van Twente die specialisten had ingehuurd die haar vertelden dat het niet te voorkomen was $_/-\o_$

Operativus @Anoniem: 1322 • 8 maart 2023 08:29

Een boeren IT club... Ik snap wel wat je hiermee bedoeld, maar een beetje denigrerend. Ik ga er zelf altijd vanuit dat die bedrijven (op hun manier) ook gewoon hun best proberen te doen, maar dat de benodigde kennis ontbreekt. (en dat zien ze zelf op dat moment niet in) In plaats van laagdunkend doen over de kennis van een ander kun je ze beter (als een professional) adviseren.

Aldy @Operativus • 8 maart 2023 14:25

Ik vind het ook behoorlijk denigrerend (en ligt in het verlengde als je het over boeren wijsheid hebt), maar je best doen is niet genoeg. Als je geen of onvoldoende kennis van zaken hebt, mag je je diensten wat mij betreft niet aanbieden als zulk gevoelig materiaal gelekt kan worden.

Anoniem: 1322 @Aldy • 8 maart 2023 15:04

Daar doelde ik inderdaad op, dank. Ik was niet geheel duidelijk maar geen negatieve bedoeling. Zie een uitgebreide reactie hieronder.

Anoniem: 1322 @Operativus • 8 maart 2023 15:02

Ik snap wel wat je hiermee bedoeld, maar een beetje denigrerend.

Haha, moet je niet doen. Ik bedoel het absoluut niet denigrerend, ik heb zelf ook jaren bij zulke bedrijven gewerkt.

Iedere vorm van organisatie heeft voor en nadelen. De boeren IT clubs houden van doorpakken en hebben een goede persoonlijke relatie. Daarentegen nemen ze security meestal niet heel serieus en bepaald verkoop meestal de componenten.

Het is uiteindelijk ook niet de schuld van de IT club. Het is de organisatie die het toelaat.

PdeBie @Anoniem: 1322 • 8 maart 2023 18:12

Het is uiteindelijk ook niet de schuld van de IT club. Het is de organisatie die het toelaat.

Tenzij de organisatie niet weet dat het zo slecht geregeld is. Daarvoor kunnen ze audits aanvragen natuurlijk, maar het is ook niet altijd dat zoiets gebeurt.

Anoniem: 1322 @PdeBie • 8 maart 2023 20:37

Mwa, ze zouden het moeten auditen maar in de praktijk zie je ook dat er ook bij de auditeurs weinig kennis zit. Die zijn meer van de cijfers… en daadwerkelijk controleren doen of kunnen ze niet, het is meer een lijst afwerken en vinkjes zetten..

En dan kom je weer uiteindelijk bij de organisatie die altijd verantwoordelijk is. Het is hun data die gelekt is. Volgens de AVG zijn hun dan verantwoordelijk. Hoe ze het daarna uitvechten met de leveranciers is hun zaak.. dat zie je ook weer bij Hof van Twente.

Dat is ook een beetje het gevaarlijke met IT leveranciers. In hun voorwaarden sluiten ze zich voor alles uit en aan tafel beloven (de verkopers) ze de wereld. Heb vaak genoeg aan die tafel gezeten en ben blij dat mij niet meer in die wereld begeef. Klanten geloven alles en de helft wordt niet eens geleverd. En de verkoper lacht ze achteraf uit…

KiriLLu @Anoniem: 1322 • 8 maart 2023 10:58

Dit is echt weer typisch inderdaad meeste gevallen is het:
- On premise
- Servers niet tijdig updaten en vele releases achterlopen waarvan vulnerabilities bekend zijn en gewoon op internet staan.
- Configuraties totaal niet op orde hebben inclusief autorisaties, oftewel bijna iedereen die een beetje netwerk kennis heeft kan bij alle bestanden etc.
- En backups staan waarschijnlijk op dezelfde servers ;p waardoor het eeuwen duurt voordat iets weer toegankelijk is en of men niet meer bij de backups kan.

En dan hebben we het niet eens over berichtgeving naar buiten;
- Iedereen weet vaak dat het zo lek als een mandje is, dus als een partij als deze toegang heeft gehad tot je netwerk ga er maar vanuit dat ze alle belangrijke data in handen hebben.
- Maar goed laten we maar vooral proberen te doen alsof dat mogelijk niet het geval is

Anoniem: 1322 @KiriLLu • 8 maart 2023 20:39

Amen..

- Maar goed laten we maar vooral proberen te doen alsof dat mogelijk niet het geval is
Struisvogel politiek noemde hier iemand dat… $_/-\o_$

JBrouwer98 @StephanVierkant • 7 maart 2023 15:45

Dat de aanval op 17 februari ontdekt is hoeft niet te zeggen dat de data toen pas is gelekt. Hackers zijn vaak al een hele lange tijd aanwezig (half jaar) voordat ze ontdekt worden. Dus het kan best dat de data al op een eerder tijdstip is gelekt.

satya @JBrouwer98 • 9 maart 2023 10:59

Inmiddels moeten ze in de VS langer dan een jaar binnen zijn, het bewaren van security gerelateerde data is pas verlengd van zes naar twaalf maanden voor de overheid, om dat de sporen van een inbraak niet terug te vinden waren.

Cookenzopy @StephanVierkant • 9 maart 2023 13:36

Het moet verboden worden dat bedrijven, instellingen, hotels en winkels om een kopie van een paspoort of rijbewijs mogen vragen. Je weet immers nooit of er iemand met jouw gegevens van door gaat. Om te beginnen zouden BSN nummers er niet meer op moeten staan.

PhelX 7 maart 2023 14:44

Is het niet verplicht in de EU om gevoelige gegevens die ervoor kunnen leiden dat iemand herkend wordt te encrypten? Of is deze wel geëncrypt geweest, maar is gedecrypt door de hackers?

Byron010 @PhelX • 7 maart 2023 15:00

Iets wat verplicht is betekent nog niet dat het daadwerkelijk gedaan wordt. Veel van de regelgeving is relatief nieuw terwijl systemen tientallen jaren oud kunnen zijn, er gebrek aan expertise is, gebrek aan focus op security, gebrek aan geld om dit in orde te krijgen (en ga zo maar door).

Dus ja, bijzondere persoonsgegevens zouden verplicht beschermd moeten zijn. De werkelijkheid in de praktijk laat zien dat dat zeker nog niet overal zo is.

De bijzondere persoongegevens volgens de AP:

persoonsgegevens waaruit ras of etnische afkomst blijkt;
persoonsgegevens waaruit politieke opvattingen blijken;
persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
gegevens over iemands gezondheid;
gegevens over iemands seksueel gedrag of seksuele gerichtheid;
genetische gegevens;
biometrische gegevens met het oog op de unieke identificatie van een persoon.

https://autoriteitpersoon...wat-zijn-persoonsgegevens

[Reactie gewijzigd door Byron010 op 23 juli 2024 09:26]

Tyrian @PhelX • 7 maart 2023 16:16

Hoe kom je bij versleutelde gegevens? Ze worden ontsleuteld nadat de gebruiker zijn wachtwoord intikt of nadat het gebruikersaccount met toegang tot de versleutelde gegevens inlogt. Als deze gebruiker vervolgens gehackt wordt, bijvoorbeeld door per ongeluk malware te starten dan lekken de gegevens die versleuteld zijn alsnog uit.

Zilla

@PhelX • 7 maart 2023 14:55

Het kan prima geëncrypt opgeslagen staan op een NAS, echter kan er toegang verkregen tot de bestanden via een gebruikers/admin account.

PhelX @Zilla • 7 maart 2023 15:03

Ik hoor vaker dat het belangrijker is dat de ingang goed beveiligd wordt en dat het encrypten van gegevens minder belangrijk is (niet jij per se, maar meer op de security forums etc.). Ik ben het eens dat de ingang goed beveiligd moet worden, echter betekent dat niet dat er geen kans is op inbraak. Daarom is het ook belangrijk dat je de gevoelige gegevens encrypt o.i.d. als er ooit ingebroken wordt, waardoor je het wat lastiger maakt voor de hackers.

JBrouwer98 @PhelX • 7 maart 2023 15:13

Helemaal mee eens.

Maar je moet je security opbouwen vanuit lagen, zie het als een ui. Eerst moet je inloggen met een gebruikersnaam, (sterk)wachtwoord, MFA noem maar op (de buitenste schil). Daarna pas je een goede RBAC toe, zodat je niet met één account alle informatie van een bedrijf kan zien (2de schil). Dan kan je ook nog de data encrypten (stofje waardoor je ogen pijn doen nadat je een ui hebt opengesneden).

Hoever je gaat met maatregel ligt aan het bedrijf en de informatie/gegevens die ze verzamelen. Laat ik ook duidelijk zijn dat die niet perse de schuld hoeft te zijn van degene die de Security regelt binnen Attent. Het accepteren van risico's, zoals bijvoorbeeld het niet encrypten van informatie, ligt altijd bij het managementteam of hoger.

Even voor de duidelijkheid bovenstaande is een simpele uitleg, er komt natuurlijk veel meer bij kijken. Maar denk dat ik zo wel een redelijk duidelijk beeld heb gegeven.

familyman @JBrouwer98 • 7 maart 2023 15:45

Het lijkt me ook goed voor sommige data na te denken over welke hot aan het internet rechtstreeks te benaderen moet zijn, welke dat alleen indirect hoeft te zijn (lauw), en welke alleen koud mag.

Lauw zou zoiets zijn als, een webservice die checkt of er een geldig paspoort is, door in de paspoorten te kijken, en dan alleen maar ja terug zegt.

Overigens, niet het beste voorbeeld, maar het idee wel.

JBrouwer98 @familyman • 7 maart 2023 15:51

Zeker mee eens! Maar bij het intern hosten (koude informatie) komt vaak specialistische kennis kijken. Deze is bij veel bedrijven niet beschikbaar, dus is het laten hosten bij een serverleverancier in de Cloud vaak makkelijker. Het is natuurlijk niet de beste keuze, maar begrijp het wel.

Aldy @familyman • 8 maart 2023 15:58

Kan mij voorstellen als men vandaag de dag gegevens digitaal vastlegt, dit versleuteld doet, maar de gegevens van de paspoorten waren al verlopen. Het zal mij niets verbazen dat het bedrijf vergeten is dat deze gegevens ergens in een filetje stonden.
Wat betreft de andere gegevens is het vaak tijdrovend om deze te ontsleutelen als er iemand aan de andere kant van de telefoon op antwoord wacht. Ik bedoel bijvoorbeeld de codes van de sleutelkluisjes. Ik kan mij namelijk voorstellen dat ze deze codes niet op papier meegeven aan de hulpverlener. De praktijk is anders dan de theorie.
Ik erger mij het meest aan de één na laatste regel in het redactionele stukje. Is er nu wel of geen aangifte gedaan?

Orgel @JBrouwer98 • 7 maart 2023 16:20

stofje waardoor je ogen pijn doen nadat je een ui hebt opengesneden

Leuk gezegd maar sommige uien doen juist geen pijn meer in je ogen omdat ze al verkeren in een begin stadium van een rottingsproces die van binnenuit plaatsvind.

Aldy @Orgel • 8 maart 2023 16:00

Andere groenteman zoeken of gewoon niet zo lang laten liggen.

Dennism @PhelX • 7 maart 2023 15:17

De vraag is natuurlijk wel hoeveel lastiger je het ze maakt. Vaak komen dit soort systemen binnen via social engineering en / of verkrijgen dan via malware de toegang die ze nodig hebben de files direct te kunnen benaderen, dan kan bijvoorbeeld dat device waarmee ze binnen komen best encrypted zijn, net als de fileshares of andere (cloud) applicaties / opslag waarop ze binnen dringen, echter als het account dat je 'overgenomen' hebt die flies kan lezen is die encryptie dan natuurlijk nog weinig waard.

Over het algemeen zie ik bij relaties in dit werkveld encryptie steeds meer gebruikt worden, denk bijvoorbeeld aan bitlocker enabled op alle client devices, en encryptie en andere beveiligingen op applicatie niveau. Echter blijft vaak 'de mens' de zwakste schakel.

[Reactie gewijzigd door Dennism op 23 juli 2024 09:26]

Zilla

@Dennism • 7 maart 2023 15:39

Dit is een kleinschalige zorg organisatie. Het kan zomaar een hardeschijf in een la zijn geweest, een nas die gestolen is van kantoor, of een niet goed beveiligd user account van een cloud dienst. Van hoe ze aan deze gegevens zijn gekomen is nog niets bekend. De politie of een gespecialiseerd bedrijf zal hier onderzoek naar moeten doen.

Het is natuurlijk wel verschikkelijk dat dit soort gegevens gestolen zijn. Je kan niet zomaar een nieuw BSN nummer aanvragen. Als er ook lokaties met codes van sleutelkluizen gelekt zijn maakt dat je extra aandacht krijgt van mensen die je niet in de buurt van je huis wilt hebben. Dan kan je de code wel aanpassen maar dan weten ze alsnog waar kwetsbare mensen wonen.

Dennism @Zilla • 7 maart 2023 15:49

In het artikel staat dat ze slachtoffer zijn geworden van ransomware, het is wel bekend hoe ze aan de gegevens zijn gekomen. En dat lijkt dus geen gesloten hdd of NAS te zijn.

Misterven1 @Dennism • 7 maart 2023 23:34

Cybercriminelen zijn echt veel in staat om zoveel mogelijk slachtoffers te maken met eventueel een ramsoftware installeren op servers en zeker ook kunnen ze routers hacken. Nou veel zorginstellingen en bedrijven nemen vaak VPS-diensten af bij een ICT-bedrijf, waar ook maandelijks gehuurd kan worden.... met zeker ook cloudopslag bij. Ik vermoed ook wel eens dat bij een ICT-bedrijf met de router slecht beveiligd kunnen zijn tegen een hackaanval of inbraak van cybercriminaliteit.

Maar wat doet ICT'ers bij een ICT-bedrijf, onderhouden van servers of routers zoveel mogelijk updaten en beveiligen.... echter waar blijft juiste kennis van ICT-beveiliging? Zijn dat vaak jonge volwassen man of vrouw die net afgestudeerd is met hun ICT-opleiding? Of huren ze ook buitenlanders voor werken met zo'n serverpark en internetbeveiliging? Kan allemaal, maar er is veel meer dat je denkt als een router echt goed beveiligd is, vooral sommige poorten die al open zijn wat ook dicht moeten zijn.

Ik denk dat wel erger wordt met cybercriminaliteit, wat ook veel agressiever wordt zowel met veel aanvallen op het netwerk van grote bedrijven of instellingen. We weten dat ook Russische cybercriminelen tijdje bezig zijn met hun aanvallen op grote schaal op vele IT-netwerken om energie, stroom of apparaten in gezondheidszorg plat te leggen. Dat is wel mogelijk, echter gaat het hier om geld waar ze met ramsoftware proberen te verkrijgen van zorginstellingen of bedrijven.....

Aldy @Misterven1 • 8 maart 2023 16:42

Het lijkt mij juist geen probleem om jongvolwassenen in te huren, aangezien hackers vaak ook jongvolwassenen zijn of zelfs nog tieners. Denk dat veel kennis juist bij de jeugd zit.

[Reactie gewijzigd door Aldy op 23 juli 2024 09:26]

Misterven1 @Aldy • 8 maart 2023 17:03

Ja denk ik ook.... die kunnen zelf ook hacker zijn althans dat bij ICT-bedrijf werken... daar kan een probleem zijn voor de werkgever als ze dat ontdekken wat er niet pluis is.

walteij @PhelX • 7 maart 2023 15:32

Ik hoor vaker dat het belangrijker is dat de ingang goed beveiligd wordt en dat het encrypten van gegevens minder belangrijk is

Mee oneens. De ingang goed beveiligen is slechts 1 stap van je beveiliging. Als iemand credentials weet te ontfutselen, heb je de sleutels van de ingang al.
Een tweede sleutel (MFA dus) helpt dan wel weer bij de ingang, maar dan nog moet je goede maatregelen nemen om dit soort gevoelige data te beschermen. Zeker als je data niet alleen naw-gegevens, maar ook de sleutel van het adres bevat (code om in de sleutelkast te komen).

Meerlaagse beveiliging, waarbij deze gevoelige gegevens opnieuw via MFA benaderd moeten worden (dus een tweede keer apart MFA invoeren, bij voorkeur een ander token) is het minimale wat je moet doen (als het aan mij zou liggen). Zero-trust is niet voor niets de nieuwste hype van beveiliging. Een kasteel is zo sterk als het zwakste poortje. Maar bij zero trust bouw je een meerlaags kasteel, waarbij de moelijkheid om binnen te komen zwaarder wordt, hoe verder je binnen komt.

De gelekte gegevens omvatten de locatie en de methode om toegang te krijgen tot de locatie. En alle locaties die te vinden zijn, worden bewoond door hulpbehoevende (en dus ook zwakkere en fraudegevoeligere) personen.

[Reactie gewijzigd door walteij op 23 juli 2024 09:26]

JBrouwer98 @Zilla • 7 maart 2023 14:58

Dat klopt inderdaad, maar als ik zo lees wat voor data er is gestolen, twijfel ik of hier encryptie is toegepast.

Zilla

@JBrouwer98 • 7 maart 2023 15:09

Ik denk niet dat ze het datacenter zijn binnengelopen en de hardeschijven fysiek gestolen hebben. Bij een fysieke inbraak zijn er wellicht camerabeelden.

Gezien de afbeelding bij het artikel denk ik eerder dat dit een dump van een cloud dienst is.

JBrouwer98 @Zilla • 7 maart 2023 15:17

Dat denk ik ook niet.

Maar het kan natuurlijk dat Attent niet heeft gekozen voor het gebruik van encryptie bij het opslaan van data. Zou wel een hele domme keuze zijn geweest, zeker bij dit soort gegevens, maar niet de eerste keer dat ik zoiets heb gehoord.

Z80 @JBrouwer98 • 7 maart 2023 20:03

Maar wat heeft encryptie voor zin als deze data via de normale weg is benaderd?
Een gebruiker of applicatie toont de leesbare data. En die kun je dan weer wegsluizen.
Dit is geen drive-by overval. Als ik het zo lees is zijn er hier onbekende langere tijd in de systemen geweest. Dus ook de tijd om alles netjes weg te sluizen.
Encryptie werkt goed tegen diefstal van de data als er hardware gestolen wordt. Of er een copy van de disk gemaakt kan worden op een andere manier dan op user niveau.

Deze reactie getypt vanaf en volledige encrypten hdd. Maar vanwege een correct opgestart OS, en correcte login, volledig leesbaar en bruikbaar voor mij. En dus ook voor malware indien deze op mijn systeem aanwezig zou zijn.

JBrouwer98 @Z80 • 8 maart 2023 15:05

Dat klopt.

Maar je kan gebruik maken van een zogenoemde cryptografische RBAC. Dat wil zeggen dat als je een account verkrijgt welke geen rechten heeft tot bepaalde bestanden deze geencypt blijven. Dit kan er dus voor zorgen dat encryptie zeker wel nut heeft ook al benader je een systeem vanuit de 'normale weg'.

Mocht je dit dus goed inregelen is er minder kans dat gegevens gelekt worden al lukt het hackers om inloggegevens te bemachtigen.

https://www.sciencedirect...cle/pii/S0022000014000634

JBrouwer98 @PhelX • 7 maart 2023 14:48

In principe is encryptie niet verplicht. Er wordt alleen aangegeven dat er passende beveiligingsmaatregelen genomen moeten worden. Wat deze maatregelen zijn bepalen de bedrijven zelf (vaak a.d.h.v. een risicoanalyse).

Orangelights23 @PhelX • 7 maart 2023 14:55

Nee, helaas niet. De AVG schrijft dat er passende beheersmaatregelen geïmplementeerd moeten worden. Wat is passend? Daar gaat de Autoriteit Persoonsgegevens over zodra het fout gaat.

Luchtbakker @PhelX • 7 maart 2023 15:08

Is het niet verplicht in de EU om gevoelige gegevens die ervoor kunnen leiden dat iemand herkend wordt te encrypten? Of is deze wel geëncrypt geweest, maar is gedecrypt door de hackers?

Kan best zo zijn dat deze geëncrypt zijn geweest, maar dat de hackers user rechten had dmv een lek o.i.d.
Dan heeft encryptie ook weinig zin.

theduke1989 7 maart 2023 14:46

Vaak stimuleren we juist om niet te betalen in dit soort gevallen.
Heeft deze groep ook daadwerkelijk de systemen onder bedwang?
Zo niet, waarom niet gewoon FoxIT of wat dan ook inhuren die de lek kunnen vinden en zo dus niet meer binnen kunnen dringen, ondanks natuurlijk dat de accounts misschien gehackt zijn, en deze verwijderd moeten worden etc.

Dennisdn @theduke1989 • 7 maart 2023 15:04

Ze hebben wel externe partijen ingeschakeld. Deze mail kreeg een familielid die daar werkt een paar weken geleden al:

Berichtgeving zaterdag 18 februari 2023

Attent kampt sinds vrijdag 17 februari met technische problemen. Deze zijn veroorzaakt door en groepering die zich ongeautoriseerd toegang tot ons netwerk heeft verschaft.
Hierdoor hebben wij momenteel geen toegang tot onze IT-systemen waaronder e-mail en het telefoonsysteem. Dit heeft gelukkig weinig consequenties voor de zorg aan onze cliënten.
Wij hebben direct bij constatering de politie en relevante instanties op de hoogte gesteld.
Tegelijkertijd hebben we externe IT- en Cyber Security specialisten ingeschakeld om een nauwkeurig beeld te krijgen van de situatie en de te nemen noodzakelijke maatregelen.
Op dit moment lukt het ons om de zorg te blijven bieden zoals clienten van ons gewend zijn. Zodra er meer informatie bekend is, brengen we alle betrokkenen op de hoogte.

[Reactie gewijzigd door Dennisdn op 23 juli 2024 09:26]

hank3319 @theduke1989 • 7 maart 2023 15:01

Mwah, met een eigenvermogen van 16,5 mio en een omzet van 78 mio (2020) hadden ze ook best
wat aandacht mogen besteden aan hun cyberveiligheid.
Nu zijn werknemers en misschien cliënten de dupe.

bwerg @hank3319 • 7 maart 2023 15:45

Omzet zegt natuurlijk niks over winst of marges. De gemiddelde zorginstelling is geen vetpot.

batjes @bwerg • 7 maart 2023 16:35

De budgetten bij verschillende zorginstellingen voor IT, vaak extern, is veelal te hoog. Ezorg, pharmacom en een paar andere grote in dat veld hebben hele leuke marges.

Misterven1 @batjes • 7 maart 2023 23:58

Juist, ze hebben vaak wel dure contracten afgesloten met IT-bedrijven voor aanschaf van computers, laptops, printers, servers, maar zeker is niet ondenkbaar dat het ook te maken heeft met licentiekosten van software die medewerkers moeten gebruiken.

Bij een zorginstelling waar ik vrijwilliger ben, hebben ze veel software in websitevorm, maar hebben ze ook Microsoft365 via speciale regeling voor stichtingen en instellingen die gratis verkrijgen is. Inderdaad besparen ze op die manier veel geld op software op een virtueel desktop via Azure-systeem.

Op een dagbesteding waar cliënten overdag activiteiten doen hebben ze paar computers en laptops met Windows 10 Professional, gratis programma's zoals Scribus, Paint.net, en Microsoft Office 2010 Basic, wel oudere programma. Ze worden wel paar keren gaan bijgewerkt met updates door een IT-vrijwilliger van de stichting. Mogelijk worden ze dan in 2025 afgeschreven omdat in eind 2025 wordt gestopt met updaten en ondersteuning van Windows 10. De computers en laptops zijn niet geschikt voor Windows 11, ongeacht oudere hardware en zeker ook dat voor cliënten best moeilijk is om te werken met nieuwere software en Windows-versies die komende jaren kunnen verschijnen. Ze krijgen vaak wel tweede hands computers die door bedrijven zijn afgeschreven zowel ze kunnen gebruiken, maar het blijft wel bij oudere software die door bedrijven zijn gebruikt. In ieder geval is logisch dat voor dagbestedingen vaak geen financiële middelen heeft om nieuwe softwareversie te kopen zowel bij tijd is, ongeacht medewerkers vaak met nieuwere software werkt via virtueel Windows-desktop via VPS diensten.

FreezeXJ @hank3319 • 7 maart 2023 15:43

Hoho, het is veel te duur om deze wereld niet ten onder te laten gaan.... [Herman F.]

JBrouwer98 @theduke1989 • 7 maart 2023 14:52

Het gaat er niet om dat er nu nog hackers in de systemen zitten. Er zijn al persoonsgegevens gestolen, welke mogelijk gelekt gaan worden door deze groep.

Het is inderdaad de vuistregel om niet te betalen. Maar je moet niet vergeten dat de tegenwoordige hackersgroepen gewoon bedrijven zijn, met vaak, zelfs ook een helpdesk, organisatiestructuur etc. Soms is het de beste optie om gewoon te betalen en er voor te zorgen dat de persoonsgegevens niet gepubliceerd worden. Dit scheelt ook een hoop imagoschade voor het bedrijf.

Er is natuurlijk nooit 100% garantie dat Ransomwaregroep Qilin de data niet alsnog lekt.

Heroic_Nonsense

@theduke1989 • 7 maart 2023 14:58

Attent is een ouderenhulporganisatie die voor een groot deel draait op vrijwilligers. FoxIT stuurt voor zo'n hulpvraag een niet malse factuur; ik denk niet dat dit er in zit.

Storm-Fox 7 maart 2023 14:45

Weet iemand welke rechten je als slachtoffer hebt of wat je kunt ondernemen wanneer jouw privegegevens (mogelijke) in de datalek zitten?

veltnet @Storm-Fox • 7 maart 2023 14:57

Volgens mij kun je zelf een rechtzaak aanspannen tegen de lekker of het anders via de autoriteit persoonsgegevens spelen.

Het eerste kost je veel geld. Het tweede kost je veel tijd omdat de AP zo traag is als dikke poep.

Een snelle goedkope manier om dit te fixen is er niet.
Bovendien...eenmaal gelekt is altijd gelekt.

Loggedinasroot @veltnet • 7 maart 2023 15:15

AP gaat dit niet in behandeling nemen denk ik. Ik zou het alsnog wel melden maar die mensen hebben veel te weinig mensen/geld.

Zie de bedroevende cijfers hier:
https://autoriteitpersoon...ten-en-cijfers-over-de-ap

Andros @Storm-Fox • 7 maart 2023 15:06

Ik zou om te beginnen direct naar de gemeente gaan voor een nieuw paspoort zodat het gelekte verlopen/ongeldig is. De kosten voor deze vervanging zou je moeten kunnen verhalen op de hacker of eventueel de werkgever die nalatig is als de gegevens slecht beveiligd zijn.

FreezeXJ @Andros • 7 maart 2023 15:41

Zou moeten, maar rechtszaken tegen onbekende indidviduen met een IP in Tajikistan duren vrij kort... en hebben een negatieve verwachtingswaarde.
Ik ben wel benieuwd naar de kansen op vergoeding door de lekke(nde) organsiatie, maar ook daar, ofwel de bedragen zijn klein genoeg om het als afkoopsommetje te zien, of ze zijn groot genoeg om in 1x de organisatie om te trekken, en daarmee ook niet heel relevant. Dan plof je de BV, en ga je verder met de volgende.

J_van_Ekris @Storm-Fox • 7 maart 2023 15:03

Weet iemand welke rechten je als slachtoffer hebt of wat je kunt ondernemen wanneer jouw privegegevens (mogelijke) in de datalek zitten?

Als door het toedoen van jouw werkgever gegevens van je paspoort lekken, dan zijn bij andere hacks de kosten van het aanvragen van een nieuw paspoort vergoed. Dat is volgens mij ook niet meer dan redelijk, dus daar zal een rechter ook wel in meegaan. Het feit dat je BSN en bankgegevens op straat liggen is enorm zorgelijk (want misbruikbaar), maar praktisch minder makkelijk oplosbaar vrees ik.

Tyrian @Storm-Fox • 7 maart 2023 15:55

Je moet schade hebben en redelijkerwijs kunnen aantonen dat de schade is veroorzaakt door de datalek. Dan kun je een claim indienen voor je schade en deze vergoed krijgen. Zaken als emotionele schade doordat je gegevens zijn uitgelekt of schade die niet aan te tonen is zijn moeilijk hard te maken en dus direct te claimen.

Schade waarbij het niet lukt om het hard te maken of te claimen kan wel onder andere regelingen vallen. Zo kan een inbraakschade vergoed worden door je inboedelverzekering (Als criminelen besluiten om bij je in te breken na het zien van de gelekte gegevens) en kan psychologische schade gedeeltelijk gedekt worden door de zorgverzekering (als je psychologische hulpverlening nodig hebt) of ziektewetregelingen (als je tijdelijk niet kunt werken door spanningsklachten)

Al met al is voorkomen beter dan genezen.

himlims_ @Storm-Fox • 7 maart 2023 14:55

Bar weinig, en wie zegt dat jouw data via deze lek publiekelijk geworden is? Of een van de 101 hacks deze maand?

kodak

Hack
Beveiliging en antivirus
Ransomware
Nederland

@Storm-Fox • 7 maart 2023 16:35

Je hebt recht om navraag te doen wat men van je verwerkt en vermoedelijk gelekt is aan persoonsgegevens. Je kon natuurlijk al vragen stellen, maar er is voor dit soort verzoeken ook een plicht om binnen een een redelijke tijd mee te werken, je niet af te schepen met vage antwoorden en je niet zomaar op kosten te jagen.

Je hebt recht om melding te doen bij de toezichthouder. De toezichthouder hoeft er alleen niet heel duidelijk iets mee te doen.

Je hebt recht om aangifte te doen als je vermoeden hebt van strafbare situatie.

Je hebt de mogelijkheid andere aansprakelijk proberen te stellen voor niet nakomen van wat verwacht mocht worden, overeengekomen was en bijkomende gevolgen die je meent te hebben.

En als er het vermoeden van een datalek is, dan kan je recht verwachten dat je er niet zelf naar hoeft te vragen, maar de verwerker je snel genoeg actief zelf gaat informeren, in plaats van opzettelijk niet informeren.

[Reactie gewijzigd door kodak op 23 juli 2024 09:26]

Triblade_8472 7 maart 2023 15:17

Wordt weer eens pijnlijk duidelijk dat alle organisaties zich keihard NIET aan de AP/AVG regels houden wat betreft het onnodig bewaren van persoonsgegevens.

Hopelijk volg hier een enorme boete als waarschuwing.

Natuurlijk is dat niet leuk voor een zorginstelling, maar even serieus, het is nergens leuk toch?

Tyrian @Triblade_8472 • 7 maart 2023 15:38

Een enorme boete kan het einde (faillissement) zijn van een zorginstelling. Met alle gevolgen van dien voor medewerkers en kwetsbare cliënten. Waarmee ik overigens niet wil zeggen dat er dan maar geen boete moet volgen.

Triblade_8472 @Tyrian • 7 maart 2023 15:49

Dat snap ik, maar waar houd het dan op met de schendingen?

Er moet een als voorbeeld gaan gelden, een slachtoffer zijn, voor er wat mogelijk gaat veranderen.

Jammer maar helaas.

En het allerliefste, de verantwoordelijke bestuurders keihard aanpakken. Celstraf, boetes, weet ik veel.

Tyrian @Triblade_8472 • 7 maart 2023 16:12

Het houdt niet op. Niet zonder fundamentele veranderingen. Het verbinden van informatiesystemen met het internet is per definitie een risicofactor. En dit gebeurt steeds vaker. Natuurlijk kun je met beveiliging veel doen en je zou een regel kunnen maken dat iedereen die beroepsmatig persoonsgegevens wil verwerken in een geautomatiseerd systeem jaarlijks een audit kan verwachten door de AP waarbij je moet bewijzen dat je systeem en procedures aan alle aanbevelingen voldoet. Als je dan alsnog gehackt wordt dan kun je zeggend dat het overmacht is aangezien je aan alle eisen voldeed en 100% beveiligd niet mogelijk is met de huidige informatiesystemen.

Maar dit vereist een fundamenteel andere kijk op digitalisering. En de jaarlijkse audits zijn zowel voor de overheid/belastingbetaler als de onderneming een flinke kostenpost.

Ik zou zeggen: Houd zo veel mogelijk de interne informatiesystemen gescheiden van het internet. Dus als een PC bij interne informatiesystemen kan komen krijgt deze geen internet en als de PC op internet kan krijgt deze geen toegang tot het LAN. Dan kun je verder data versleutelen zodat mocht er een keer een informatiedrager of laptop gestolen/vergeten worden de gegevens niet leesbaar zijn voor derden.

familyman @Tyrian • 7 maart 2023 15:50

Ik zou liever een verplichte it investering eisen. Een nuttig besteede boete, zeg maar.

P_de_B @Triblade_8472 • 7 maart 2023 15:44

Waarom onnodig? Als werkgever moet je kopieën van paspoorten bewaren.

Triblade_8472 @P_de_B • 7 maart 2023 15:49

10 jaar na verloop van het paspoort? Denk het niet.

P_de_B @Triblade_8472 • 7 maart 2023 15:56

Kan best dat jij dat niet denkt, maar de wet denkt daar anders over: https://www.rijksoverheid...an-de-identificatieplicht

Heel stellig dingen roepen waar je geen verstand van hebt maakt het nog niet waar.

petermetroid 7 maart 2023 14:48

Het zal je maar overkomen. Ik werk zelf bij een soortgelijke instelling. Verbaast mij niks dat er veel kwetsbaarheden zijn. Bij veel organisaties is de ict nog niet helemaal op orde.

veltnet @petermetroid • 7 maart 2023 15:04

Niet helemaal op orde? of helemaal niet op orde? Bij veel organisaties het tweede. Misschien moeten ze eens beginnen met het interne netwerk af te sluiten van het internet. Dan wordt de beveiliging al een stukje eenvoudiger.

[Reactie gewijzigd door veltnet op 23 juli 2024 09:26]

SkyStreaker @petermetroid • 7 maart 2023 15:11

Ergens waar ik gewerkt heb: laptop als werkplekje om te scannen en orderbonnen e.d. te printen.

Kan services.msc opstarten, ik kan verdorie het register in, ik kan applicaties starten... Ik kan het netwerk op, ik kan het wachtwoord ophalen van het "afgesloten" netwerk.

Tja. Niet goed, het klopt gewoon wat je zegt en je ziet dit vaker.

Ander bedrijf, met een verjaardag ging iedereen naar een ander gebouw. Achterdeur voor lekker buiten pauze houden bleef altijd open. Serverkast waarvan het slot kapot was (a.k.a. zo open als wat) had je zo toegang tot - moet ik nog invullen wat voor een catastrofe dat had kunnen zijn?

The list goes on...

Bij veel organisaties, ook die op internationaal niveau is de IT helemaal niet op orde zou ik sterker willen zeggen. Laat staan dat je het aangeeft en je letterlijk "meh" krijgt te horen.

theduke1989 @petermetroid • 7 maart 2023 15:54

Gebrek aan IT budget?
Gebrek aan IT personeel?

Welke is het van die twee.

Mijn moeder werkt als verpleegkundige al 20 jaar bij Aafje Thuiszorg. Moet je toch wel toegeven die houden hun IT wel op orde als ik altijd de change requests zie voorbij komen.

Doen ook veel aan mfa etc, zijn over op chromebooks sindskort. In-house applications doen ze.

Ik kan niet met 100% tevredenheid zeggen het is potdicht. Maar op eerste blik doen ze wel degelijk aan security.

royzegthoi 7 maart 2023 14:46

Heftig zeg, wat een impact zoiets kan hebben. En dat voor een (kleinschalige) zorginstelling. Hopelijk komt het allemaal goed. Van de zorg blijf je imho af....

Amito @royzegthoi • 7 maart 2023 14:51

Wordt steeds triester met de hackers. Op het darkweb gaan er ook afbeeldingen ronden van borstkanker patiënten die ook weer bij een hack van een zorgverlener is buitgemaakt. Ook daar zitten de persoons/indtificatiegegevens bij het buit.

xbeam @royzegthoi • 7 maart 2023 16:56

1450 medewerkers is niet kleinschalig!

Mario88 7 maart 2023 14:49

Vind het altijd zo kansloos als ziekenhuizen of zorginstellingen getarget worden met dit soort aanvallen. De zorgsector heeft het helemaal niet zo breed en doen het werk waar meeste mensen bij uit de buurt blijven. Denkt Qilin dat ze een paar honderd duizend of een miljoen gewoon zomaar kunnen tevoorschijn kunnen toveren?

Vraag me af of er geen instantie in leven geroepen moet worden die dit soort zorginstellingen te auditen ivm gevoelige gegevens van medewerkers en patienten. Dit lijkt zo vaak voor te vallen. Zijn ziekenhuizen per definitie aantrekkelijker of zwakker beveiligd?

veltnet @Mario88 • 7 maart 2023 15:06

Ik denk beide. Een ziekenhuis heeft vrij veel potentiele attack-vectors, en zorg-medewerkers zijn geen IT-ers.

Q @Mario88 • 7 maart 2023 15:48

Die zorginstelllingen en ziekenhuizen weten dat ze doelwit zijn en toch doen ze onvoldoende om hun gegevens te beschermen. Vaak wordt het laaghangende fruit niet eens aangepakt en is duidelijk budget/geld niet het probleem.

Het probleem is cultuur, leiderschap, focus en ook incentives. Verbergen achter geld en budgetten vind ik veel te gemakkelijk.

Als we nu eens ICT diensverleners een beroepsverbod opleggen als blijkt dat ze een ICT omgeving opereren die verzuimd om de meest basale maatregelen te nemen, dat zou ook al helpen.

Q 7 maart 2023 14:48

IT security wordt door de meeste van dit soort bedrijven gewoon niet serieus genomen. Het heeft niet de aandacht, het heeft geen prioriteit.

En het is ook gewoon een lastig probleem want goede beveiliging bestaat uit een deel techniek, maar ook een deel cultuur en educatie.

Mijn indruk is dat we keer op keer lezen over deze security breaches en keer op keer zijn er eigenlijk gewoon geen consequenties, dus waar zou je je druk over maken? GDPR boete is andermans geld, who cares?

Persoonlijk zou ik voorstander zijn van serieuze persoonlijke straffen voor C-level / bestuur-niveau bij dit soort hacks. Ik denk dat boetes niet voldoende zijn. Inclusief de externe ICT-dienstverlener als zo'n partij betrokken is.

Als je echt door een sophisticated targetted attack door een state sponsored hacker tegrazen bent genomen terwijl je goede maatregelen hebt genomen, ik ben niet zwart/wit, het gaat om de omstandigheden.

Maar als een bedrijf amper iets doet aan security, en geen fatsoenlijke maatregelen heeft getroffen, dan mag de hamer neerkomen wat mij betreft.

[Reactie gewijzigd door Q op 23 juli 2024 09:26]

veltnet @Q • 7 maart 2023 15:02

Misschien moeten we computers voor bepaalde zaken gewoon afschaffen. Administratie weer op papier, handen aan het bed en alle zorg_IT-ers ontslaan. Ik weet het, het is kort door de bocht. Maar de kans dat er zonder computers dingen fout gaan is kleiner dan dat er met/door computers dingen fout gaan.
Bijkomend voordeel: zelfs bij langdurige stroomuitval werkt een papieren administratie nog steeds.

dylan111111 @veltnet • 7 maart 2023 15:18

Papier brengt ook weer risico's en uitdagingen met zich mee, dat zou ik als een stap terug zien en dat zou zeker niet tegoeden van de beveiliging komen.

Los daarvan is je mening: "de kans dat er zonder computers dingen fout gaan is kleiner dan dat er met/door computers dingen fout gaan." een aanname. Ik denk namelijk dat computers namelijk meer menselijke fouten (onder andere aan het bed) wegnemen dan dat ze voor fouten zorgen.

veltnet @dylan111111 • 7 maart 2023 15:24

Computers zijn afhankelijk van userinput. Dus computers hebben mensen nodig om te kunnen werken. Hoe gaat een computer dan menselijke fouten wegnemen? En waarom werkt dat in de praktijk niet?

[Reactie gewijzigd door veltnet op 23 juli 2024 09:26]

dylan111111 @veltnet • 7 maart 2023 15:36

Door userinput zoveel mogelijk te vervangen met sensor input waar dat kan. Denk hierbij aan een digitale bloeddruk meter, i.p.v. dat een zuster elk kwartier de bloeddruk met de hand moet controleren en invoeren in het systeem. Dit maakt de handen van de zuster vrij en zorgt voor een vertrouwde registratie van data, twee vliegen in een klap.

Q @veltnet • 7 maart 2023 15:43

Ik denk dat de ICT techniek niet zozeer het probleem is. Het is een kwestie van leiderschap, cultuur en handelen naar waarden waar C-level / management een enorme invloed op heeft.

Een succesvolle hack is meestal het gevolg van een aaneenschakeling van fouten die voorkomen hadden kunnen worden met goed leiderschap.

Op het gevaar af hier het publiek te beledigen denk ik dat er ook in de ICT een hoop mensen rondlopen die niet serieus zijn en lekker met tech willen spelen for the sake of it (cool nieuw hip framework of tooltje), maar niet bezig zijn om een professionele werkende ICT omgeving neer te zetten.

xbeam 7 maart 2023 16:28

Gelekte codes van Sleutel kluizen. (Deze kluizen met sleutels hangen aan de voordeur van de clienten) Dat is echt het ergste wat er gelekt kan worden. Inbrekers/overvallers die beschikken over deze gelekte data set kunnen nu bij alle ouderen die ze verzorgen zomaar naar binnen. Het lijkt mij nu prio1 om die kluizen in hun verzorgingsgebied direct te verwijderen.

david-v

@xbeam • 7 maart 2023 19:04

Of beter, de code aanpassen

xbeam @david-v • 7 maart 2023 19:42

Klopt maar dat gaat ze nooit lukken voor vanavond. Makkelijkste is om de avondzorg medewerkers de inhoud of in indien mogelijk de hele kluis mee te nemen naar kantoor om daar de codes te wijzigen.

Aangezien het hier om thuiszorg instelling met 1450 medewerker gaat hebben ze waarschijnlijk zoon +-5000 cliënten een daardoor duizenden kluisjes te resetten.

[Reactie gewijzigd door xbeam op 23 juli 2024 09:26]

david-v

@xbeam • 7 maart 2023 20:21

De kluizen zitten vast, die moet je eerst openmaken, gereedschap gebruiken om ze te verwijderen.... Veel te omslachtig. Het is veel simpeler om de zorgmedewerkers uit te leggen hoe ze de code van de kluis moeten aanpassen. Heel moeilijk is dat niet en ik neem aan dat ze dat regelmatig doen, eens per kwartaal of half jaar?

xbeam @david-v • 7 maart 2023 21:35

Daarom zeg ik ook de inhoud mee naar kantoor nemen. Waarna je de tijd hebt om de codes te wijzigen. Niet om minderwaardig te doen maar de meeste thuiszorg medewerker (verzorgende) heeft al moeite te begrijpen hoe die dingen open moeten laat staan dat je even snel uit geleegd krijgt hoe de code kunnen wijzigen en dat moet gezien sociale omgeving waar ze vaak uit komen ook niet willen (das zelfde rede dat je ze geen sleutel mee naar huis geeft) en de je verpleegkundige langs duizenden kluizen sturen gaat je echt niet in dag of 2 lukken.

[Reactie gewijzigd door xbeam op 23 juli 2024 09:26]

Op dit item kan niet meer gereageerd worden.

Hackers delen paspoorten van werknemers van gehackte ouderenzorginstelling

Lees meer

Reacties (106)

Sorteer op:

Weergave: