'Nova kreeg aanbod van ruim een miljoen euro voor gestolen patiëntgegevens'

Ransomwaregroep Nova dreigt medische gegevens van het Nederlandse onderzoekslab Clinical Diagnostics te verkopen. De bende zou daar naar eigen zeggen een aanbod voor hebben gehad. Nova eist dat Clinical Diagnostics losgeld betaalt om de verkoop te laten afblazen.

Nova laat op zijn website op het darkweb weten dat Eurofins Scientific, waar Clinical Diagnostics onderdeel van uitmaakt, een 'afspraak' heeft geschonden, al wordt uit de boodschap niet geheel duidelijk om welke afspraak het gaat. De bende geeft wel aan dat iemand van het laboratorium de ransomwareaanval bij de politie heeft gemeld.

De groep dreigt met het verkopen van de gestolen data indien het onderzoekslab niet uiterlijk op 28 augustus losgeld betaalt. Nova claimt contact te hebben gehad met iemand die alle data wil overnemen voor 11 bitcoins, die momenteel een gezamenlijke waarde van ongeveer 1.085.000 euro hebben. Als Eurofins Scientific met een even hoog bedrag over de brug komt, gaat Nova de data naar eigen zeggen niet doorverkopen.

RTL Nieuws schreef afgelopen week dat Clinical Diagnostics eerder al losgeld had betaald aan Nova, iets wat laatstgenoemde aan de nieuwssite bevestigde. Het is niet bekend om hoeveel geld het ging, maar RTL Nieuws sprak over 'miljoenen euro's'.

Vorige week maandag bleek dat er bij een cyberaanval op Clinical Diagnostics Nederland persoonsgegevens, waaronder burgerservicenummers en medische informatie van tienduizenden patiënten, gestolen waren. Het zou onder meer gaan om gegevens uit baarmoederhalskanker-, huid-, urine-, penis-, vagina- en anusonderzoeken.

Post Nova Clinical Diagnostics

Door Kevin Krikhaar

Redacteur

18-08-2025 • 09:15

253

Submitter: voske

Reacties (253)

253
251
114
7
0
110

Sorteer op:

Weergave:

Daarom heeft het geen nut om te betalen. Zolang ze de data hebben en er geen enkele manier is om te verifiëren dat ze de boel daadwerkelijk verwijderd hebben, weet je nooit of ze alsnog de boel gaan verkopen. Beroepsethiek is natuurlijk iets geks bij criminelen. Het gaat hen om geld, dus als ze iets 2x kunnen verkopen, waarom niet? Ze zijn toch al crimineel bezig...
Bor Coördinator Frontpage Admins / FP Powermod @mphilipp18 augustus 2025 09:25
Het is een duivels dilemma. Als je niet betaald volgt vrijwel zeker openbaring.

Het klinkt gek maar voor de afpersers zit er waarde in het "eerlijk" handelen, dwz na betaling niet alsnog openbaren. Zodra duidelijk is dat je dat als ransomware groep doet zal het volgende slachtoffer waarschijnlijk niet meer betalen (want toch geen zin). Je ondermijnt op die manier je eigen businessmodel.
Ik zie niet in wat daar voor dilemma aan is. Het zijn criminelen. Criminelen komen op een criminele manier aan hun geld. Als je anders denkt dan ben je erg naief.

Misschien dat het eerlijke er in zou zitten dat de data niet meer verkocht wordt als Eurofins data. Maar als ik crimineel zou zijn zou ik de data zeker nog verkopen, mischien iets later om de schijn op te houden of vermengt met andere hack data of opgesplits maar verkopen zou ik. Iedere euro die je uit je werk kan trekken pak je toch?

Oftewel betalen nooit doen. Steek dat geld alstublieft in beveiliging ook al is het te laat.
Bor Coördinator Frontpage Admins / FP Powermod @DonChaot18 augustus 2025 09:43
Oftewel betalen nooit doen.
Waarmee je in dit geval een kwetsbare groep patiënten de dupe laat zijn. Zij zijn ook de groep die mogelijk afgeperst gaat worden met de gegevens, last kunnen krijgen van identeitsfraude, last kunnen krijgen van gerichte aanvallen etc. Snap je nog steeds het dilemma niet?
De burger is dan de sjaak omdat een bedrijf hun beveiliging niet op orde had.

Even terzijde of ze wel of niet moeten betalen, als bedrijven en de zorg zo graag voor "gemak" willen gaan qua gegevens opslaan, zorg dan ook voor een goede beveiliging.
Ik begrijp uit de vele comments dat veel data ook bewaard moet worden omdat de regelgeving rond zorg dat vereist. Het is niet puur gemakzucht van die bedrijven. Daarnaast is het maar net waar je wil dat je geld aan uitgegeven wordt: goede zorg of privacy en beveiliging...
Dan nog kan je de informatie op verschillende manieren bewaren. Denk aan offline als het een archief betreft. Of gescheiden. Uiteraard ook allemaal te omzeilen voor een aanvaller, maar wel een stuk lastiger om dan een complete dataset te vergaren.
Achteraf is het heel makkelijk praten. In de praktijk is het beheren van data op allerlei verschillende archiefplaatsen een nachtmerrie (zie dan maar eens af te dwingen dat alleen bevoegden er bij mogen).
Daarnaast kost het scheiden van data in actief en archief en het geschikt maken van systemen daarvoor ook een hoop menskracht en dus geld en van beiden is er lang niet zoveel beschikbaar om alles te doen wat een goed idee lijkt.
Bij beveiliging, zeker in de zorg, zijn er protocollen, zodat een bedrijf als Clinical Diagnostics precies weet welke eisen er gesteld worden. Ik kan natuurlijk niet intern kijken, maar wat ik heb begrepen was er veel niet op orde en dan heeft dit niets meer met achteraf makkelijk praten te maken.
Er wordt zoveel ge-eist. Bovendien is dat vaak in de vorm van beleid. Om dat uit te werken tot concrete technisch implementeerbare zaken alleen is al een klus en dan is er feitelijk nog niets veranderd.
Bij ieder bedrijf is er wel iets niet helemaal zoals het zou moeten zijn.
Ik heb wat ervaring met het bedrijf, het is niet alleen achteraf makkelijk praten.

IT was al van een laag niveau, nu zit het in Bangalore. IT is meer een kostenpost voor ze dan een noodzaak. Zulke lab-analyses zitten al een tijd in de race naar de bottom, zo goedkoop mogelijk

[Reactie gewijzigd door Tukk op 18 augustus 2025 15:07]

Tsja, gevolg van onze aanbestedingscultuur misschien? Wat had zo'n lab daar aan kunnen doen behalve sluiten?
Misschien géén 32 miljoen Euro aan superdividend overmaken naar de moedermaatschappij in Luxemburg en het geld in plaats daarvan in fatsoenlijke IT steken?
En hoe had je het geld besteed willen zien dan? Security mensen aannemen (die er nauwelijks zijn gezien de vacatures)? Meer technologie en het risico lopen dat de bestaande mensen helemaal overlopen worden?
Compliance documentjes schrijvers die massa's papier genereren maar niets oplossen?
Het is heel makkelijk miljoenen te verbranden, maar absoluut geen garantie dat er ook maar iets verbetert.
Wij hebben alle data die we verplicht van klanten moeten bewaren voor de Belastingdienst op een offline server staan. Andere data uitgeprint in een archief kast. Raad eens hoe groot de kans is dat die data in handen komt van hackers/ransomware groepen?
Juist een offline server is eigenlijk heel risicovol, want kan een keer 'per ongeluk' met internet verbonden worden en is dan gelijk heel zwak want patches staan er ook niet op.
Uitgeprinte dossiers kosten hopen ruimte en kunnen ook lekken in de zin dat iemand er mee vandoor gaat. In dat geval is het nog heel lastig uit te vinden wie het was ook...
De ruimtes zijn beveiligd. En de server per ongeluk op het internet hangen kan eigenlijk niet. Opzettelijk zou kunnen.
Zolang we boekhoudende managers in t zadel houden en hen de beslissingen laten nemen ipv mensen (it-ers) die er daadwerkelijk verstand van hebben aan de kant schuiven, blijven we aankomende jaren overal en in elk bedrijf dit meemaken....
IT is een vrijwel ongereguleerde sector dus je komt van alles tegen. Heb genoeg voorbeelden gezien van developers of beheerders die er een rotzooi van maakten. Ook voorbeelden van managers die het wel snappen.
Is, maar was dat niet. Niemand dacht aan outsourcen, vroeger had je alle specialisten zelf in dienst, maar toen kwam er een lumineuz idee..outsourcen

I.p.v. netwerken stroomlijnen zijn ze er allemaal bijzondere verbindingen aan gaan hangen (zoals leverancier tools ed).

Geld en incompetentie..dat is de reden
Die 'specialisten' maakten er vroeger soms ook een rotzooi van. Iemand die iets aan de gang kon krijgen was vroeger al snel 'specialist'. Heb genoeg beroerde software en standaarden gezien die door programmeurs en ontwerpers in dienst van bedrijven of instanties zijn opgeleverd om te kunnen stellen dat outsourcen niet per definitie slechter is.
Nee absoluut niet. Ik snap absoluut niet hoe hier vertrouwd wordt op die mooie blauwe ogen.

Het is verdomd klote voor degenen die in de dataset zitten en ik ben er vrij zeker van dat daar ook familie van mij bijzit. Maar die gegevens komen toch wel op straat. Je zou een sukkel van een crimineel zijn als je de buit niet tot de laatste cent toe uitmelkt.

En dat ze hun goede naam op moeten houden is ook onzin. Ik vermoed dat de gemiddelde levensloop van zoiets als nova nog maar een paar maanden is na een succesvolle buit en daarna gaan ze vrolijk als nieuw 'bedrijf' verder.

Je gooit geld in een gat zonder enige garantie. Eurofins is een commercieel bedrijf dus die mogen het helaas zelf beslissen maar als Bevolkingsonderzoek ook bijdraagt, wie zijn dan de dupe?

[Reactie gewijzigd door DonChaot op 18 augustus 2025 09:55]

Ik ben nog altijd op zoek naar de gegevens van de hack bij Antwerpen... https://www.vrt.be/vrtnws/nl/2024/06/25/cyberantwerpen/

En zo zijn er wel nog veel. Ze zeggen wel niet betaald te hebben, maar de gegevens verdwijnen plots van de afpersers hun site.
Betalen ze losgeld omdat ze de gegevens willen beveiligen, of betalen ze losgeld omdat ze willen voorkomen dat ze schadevergoedingen moeten betalen aan deze patiënten als hun gegevens daadwerkelijk misbruikt worden? Van dat laatste zijn nog weinig voorbeelden, maar stel dat iemand aanhankelijk kan maken dat hij (of in dit geval waarschijnlijk een zij) geen baan kan vinden omdat bij het Googlen op de naam als eerste resultaat een positieve kankerdiagnose staat, dan kan het misgelopen inkomen al snel in de tonnen lopen (en dat is dan slechts voor één persoon).
Nee, dit is echt supernaïef. Het ergste wat er kón gebeuren is al gebeurd, namelijk dat de data is gestolen. Het is nu buiten je handen en je hebt er als organisatie nul, nada, niente regie meer over.

Er is volgens mij maar 1 reden om te betalen en dat is als je de data zelf niet meer hebt. Maar dan puur om het zelf weer in handen te hebben. Ook dan moet je er van uitgaan dat het daarna alsnog ergens opduikt.

De mensen waar de data van is KUN je nu niet meer beschermen, daarvoor is het simpelweg te laat.

En - eerlijk - dit scenario kon je toch van kilometers aan zien komen?

"Eerlijke" criminelen? My ass.
Nee, want je hebt geen enkele garantie dat ze daarna niet opnieuw wat verzinnen in een poging je uit te melken.

[Reactie gewijzigd door Sine op 18 augustus 2025 11:36]

Ik begrijp de dilemma, directe schade die is veroorzaakt is immens. Dat is momenteel meetbaar, maar de indirecte schade is veroorzaakt is een hele grote vraagteken. Dat is niet meetbaar. Ik ben geen voorstander van betalen maar als de kosten minder zijn dan de baten, tja het is immoreel. Als crimineel heb je ook ethiek, sommige minder dan anderen. Daarom zeggen we altijd, als je iemand beroofd, doe het dan ook goed zoals een bank en niet de oma om de hoek. Dan ben je gewoon een simpele straatcrimineel. Helaas is die ethiek weg, maar nog steeds beter dat je wordt doodgeschoten voor je leren jas of je iPhone.
Ze kunnen beter het geld aan de slachtoffers geven als geste en niet betalen aan deze handel. Ze verkopen het 2, 3, 4x en doen de volgende hack onder een andere naam ….
Tja, 1 miljoen, verdeelt over 500.000 slachtoffers... Zelfs als er 10 miljoen was betaald heb je daar als slachtoffer nog net niks aan.
Deze data is een goudmijn voor zowel legale (commerciële) partijen als criminelen en geheime diensten. Het lijkt mij onmogelijk om de slachtoffers effectief en langdurig te beschermen tegen bijv. identiteitsfraude, afpersing of discriminatie door verzekeringsmaatschappijen, werkgevers etc.
Een schadevergoeding van 10.000 per slachtoffer zou zelfs nog geen recht doen aan de slachtoffers.
Zo simpel is het ook niet voor de criminele organisatie.

Stel: NOVA wordt betaald door het laboratorium en toch brengen ze het naar buiten (want boeven, toch?). Dus ze schenden de afspraak (kan je tenslotte verwachten van boeven).

Dan zal de volgende organisatie, die gehackt wordt door NOVA, ZEKER niet betalen. Want ze hebben laten zien dat ze afspraken schenden.

NOVA kan dan inpakken en stoppen. Want er is niemand meer die hen betaald. En ook je naam veranderen helpt niet, want iedere club heeft een herkenbare signatuur. Cybersecurity bedrijven zullen snel doorhebben dat het NOVA is of een doorstart. NOVA heeft er dus belang bij hun afspraken na te komen. Behalve als het een organisatie is dat direct is gerelateerd aan een staat (statelijke actoren). Die hebben er wel belang bij om chaos te creëren en onrust uit te melken. Ik verwacht dus dat NOVA geen normale ransomware club is.

Met Ransomware groepen is het ook al jaren zo: je betaald, en je krijgt controle terug over jouw data en omgeving. Sterker: als je na een hack al losgeld betaald had en je wordt nogmaals gehackt (de hackers en de ransomware leverancier zijn verschillende clubs) dan krijg je gratis unlockcodes omdat je jezelf had afgekocht bij de ransomware club. maar hier hebben we het dus over criminale bendes met een goed uitgewerkte organisatie erachter.
Luister eens naar de aflevering van De technoloog over dit onderwerp.
Bij ransomware wil je je eigen gegevens terug dus dan valt er wat voor te zeggen om te betalen en het risico te nemen. Bij mijn weten was dat hier niet het geval.

De gegevens liggen al op straat dus het ergste wat er kan gebeuren is al gebeurt. Dan nog betalen is meer voor de buhne van kijk ons eens door het stof gaan. Het biedt mogelijkheden om de pr schade te verminderen maar niemand is er mee geholpen. Dat geld had beter uitgekeerd kunnen worden aan de mensen die in de data staan, is toch een klein goedmakertje dan.

Sowieso, nu is deze Eurofins hack een hot item en ligt onder een vergroot glas. Over zes maanden kraait er niemand meer naar als je deze gegevens alsnog weer verkoopt. Misschien plak je er dan niet het label Eurofins data op als criminieel maar je maakt mij niet wijs dat ze het niet alsnog verkopen. Het is ook vrij makkelijk om de data aan te passen door wat kolommen weg te halen of juist een verband te leggen met andere datasets of de boel gewoon in delen splitsen.
Ah, liggen ze op straat? graag een linkje dan :-)
Ze zijn ongeoorloofd buiten de organisatie beschikbaar en daarmee kan je wat mij betreft zeggen dat ze op straat liggen.

Dat jij of ik ze niet kunnen vinden zal meer met onze darkweb zoek kunsten te maken hebben en ze zijn natuurlijk ook niet gratis. Criminelen willen geld verdienen, ze gaan het niet beschikbaar stellen op data.overheid.nl.
Het probleem is natuurlijk dat er niet geanonymiseerde gegevens in de database zitten van patienten. Met name als er vragen of correspondentie over de labuitslagen is geweest.
offtopic:
Te zot voor woorden eigenlijk dat het lab die gegevens nodig had (een nummer is voldoende, maar de ziekenhuizen / huisartsenpraktijken waren niet adequaat toegerust om om te kunnen gaan met dit soort gegevens. Ze zijn tenslotte net uit de fax embryo fase)

Deze gegevens worden nu al misbruikt om patienten aan te schrijven (dat weet ik via via, ik werk in Den Haag en omstreken). Die delen dus hun hele hebben en houwen met de crimineel. Dus die moeten zsm worden geinformeerd: ga NERGENS op in. Ook niet als er 20 keer in staat dat u morgen overlijdt als u niet vandaag reageert.
offtopic:
En dat is dus co crimineel van Eurofins: dat ze een maand hebben gewacht totdat alle patienten geinformeerd konden worden. Want wat is er in die tussentijd al gebeurd?

Over een half jaar kraait er inderdaad geen haan meer naar. Als de patienten niet ingaan op de berichtjes, mailtjes, sms-jes, appjes of zelfs papieren brieven tenminste.
Het is ook het dilemma van publieke perceptie.

Betaal je wel, dan toon je diegenen van wie de gegevens gelekt worden dat je achteraf zo veel mogelijk hebt gedaan om de schade te beperken.

Betaal je niet, en Nova geeft aan dat dat de reden is waarom de medische gegevens van ruim een half miljoen voor iedereen toegankelijk op internet zijn gezet, dan wordt degten die voor die beslissing verantwoordelijk is publiekelijk gefileerd.

En degene die nú de beslissing neemt om wel of niet te betalen (of zelfs als voorzitter van de raad van bestuur naar buiten bengt dat het een al veel eerder genomen algemene beslissing is om dit nooit te doen) hoeft niet dezelfde persoon te zijn die eerder een belsissing nam waardoor de hack mogelijk gemaakt is.
Wanneer je bestuurders in een bepaalde functie gaat 'fileren' om iets dat een voorganger in diezelfde functie heeft gedaan, bereik je alleen maar dat er steeds minder capabele bestuurders te vinden zijn. (Iets wat we in de politiek ook al zien. Daar zie je vooral steeds meer blaaskaken die toch al geen repitatie hebben om te verliezen, terwijl ministers/ staatssecretarissen die vanuit een vakgebied in de regering komen vaak voortijdig het veld moeten ruimen om iets waar ze persoonlijk niet direct verantwoordelijk voor zijn geweest.)
En degene die nú de beslissing neemt om wel of niet te betalen (of zelfs als voorzitter van de raad van bestuur naar buiten bengt dat het een al veel eerder genomen algemene beslissing is om dit nooit te doen) hoeft niet dezelfde persoon te zijn die eerder een belsissing nam waardoor de hack mogelijk gemaakt is.
Wanneer je bestuurders in een bepaalde functie gaat 'fileren' om iets dat een voorganger in diezelfde functie heeft gedaan, bereik je alleen maar dat er steeds minder capabele bestuurders te vinden zijn.
Daarvoor krijgen de bestuurders toch zo'n ruim salaris? Omdat ze zoveel verantwoordelijkheden dragen?

Zou lekker makkelijk zijn om wel het geld te vangen, maar dan moeilijk te gaan lopen doen als je je verantwoordelijkheid moet nemen.
Ze krijgen ruim betaald om de verantwoordelijkheid te dragen voor hun eigen handelen. Wanneer ze daar fouten in maken mag je ze ter verantwoording roepen.

Hoeveel zou jij extra betaald moeten krijgen om publiekelijk de kop van jut te worden voor fouten van jouw voorganger?
125.000 euro per jaar lijkt mij redelijk. En als ik weg ga om 'mijn verantwoordelijkheid te nemen' een gouden handdruk uiteraard.
En wanneer je weggaat vanwege een groot schandaal dat je vorganger heeft veroorzaakt, waardoor andere werkgevers je ruime tijd niet aan willen nemen?
Die gouden handdruk jaag je er zonder inkomen snel doorheen hoor.
Ik vind dit altijd zo krom excuus en ik weet vrij zeker dat het een mythe is die door de hackersgroepen zelf in de wereld is geholpen en wordt verspreid. Hoe kan je er ooit vanuit gaan deze luit te vertrouwen? Omdat het anders hun eigen business model schaadt?

Komop zeg, dan gaan ze gewoon door onder een andere naam, hoeveel van die (nieuwe) groepen zijn er wel niet?

Of hoe kan je ooit zeker weten dat er iemand binnen die organisatie niet alsnog met de data weg loopt? 11 bitcoin is niet niks, wellicht slagje slaan en de hackersgroep opdoeken, genoeg geldt verdient. Hoe kan je die lui in hemelsnaam OOIT vertrouwen op hun ethiek? Klinklare onzin.
Ik ken meerdere bedrijven, en zeker niet kleine ondernemingen die sowieso uit de media blijven, die de afgelopen jaren met dit soort van aanvallers te maken hebben gehad. En geen woord in de pers erover. Waarom? Je betaald, de data verdwijnt en niemand hoeft iets te zeggen.

Opnieuw beginnen onder een andere naam? Dan heb je geen reputatie. Bijkomend heb je dan ook weer nieuwe malware nodig, je communicatiestijl moet anders, je communicatiekanalen moeten anders, en zelfs dan weten experts na enkele aanvallen wel wie je bent. Want we zijn gewoontedieren.

Kan je die lui vertrouwen? Misschien beginnen met de vraag: wat is vertrouwen? En hoe schaal je vertrouwen in? Want vertrouwen is niet iets wat zwart/wit is. Het kent gradaties. De vraag is dus niet hoe kan je hen vertrouwen, maar wel: kan je hen genoeg vertrouwen?
En geen woord in de pers erover. Waarom? Je betaald, de data verdwijnt en niemand hoeft iets te zeggen.
Zijn deze bedrijven niet alsnog verplicht om een melding te doen van een datalek? De data is namelijk wel degelijk gelekt, dat de data daarna (misschien) verwijderd is, doet daar niets aan af.

Misschien jouw moment om klokkenluider te spelen? ;)
Niet elke hack hoeft om persoonsgegevens te gaan. Het kunnen ook bedrijfsgeheimen, design blauwdrukken, broncodes, etc. zijn. In dergelijke gevallen hoeft het (bij mijn weten) niet gerapporteerd te worden.
Natuurlijk. Maar wat niet weet, dat niet deert.
Interessant dat je spreekt over de reputatie van de crimineel in de context van betalen of niet betalen. De reputatie die mijn inziens van belang is als het gaat om betalen of niet betalen is die van het slachtoffer, in dit geval Clinical Diagnostics. Ik denk dat we naïef zijn als we denken dat gestolen gegevens definitief vernietigd worden als er betaald wordt. Maar op het moment dat Clinical Diagnostics dat als reden zou opgeven om niet te betalen dan zou heel Nederland in rep en roer zijn en zou de pers hier bovenop springen. Hoe valide die reden objectief bekeken ook zou zijn.

De manier waarop de crimineel reputatie verkrijgt (of bestaansrecht?) is door de capaciteiten te ontwikkelen om dit soort hacks uit te voeren.
Hoe kom je er überhaupt achter wat de reputatie is van zo'n bende? Zeker als jij zegt dat het nooit in het nieuws komt, hoe kan je dan ooit hun reputatie verifiëren? En waar doe je dat? Is er ergens een wereld ranglijst van meest toffe hackersgroepen (en zo ja, wie beheert die dan)?

Ik zie dit argument praktisch bij elk van dit soort berichten voorbij komen en het wordt nooit onderbouwd. Enkel verkondigd alsof dit een waarheid is die "iedereen weet", maar er klopt niks van de logica.

Dus ik blijf bij mijn punt, dit is een mythe opgezet door de hackersgroepen zelf, en het wordt klakkeloos herhaald.
In de hoogtijdagen van de ransomware was het wel anders. Criminelen hadden hele meertalige callcenters om mensen te helpen hun data terug te krijgen nadat ze betaald hadden. Gouden handel natuurlijk, want wie patcht er nou een Exchange-server? Plus, veel grote bedrijven hebben een cyberrisicoverzekering die nog wel eens weigert uit te betalen als je niet de goedkoopste legale optie gebruikt.

Toen zijn er een paar cowboys geweest die het voor de criminele industrie verpest hebben. Ransomware waar de sleutel nooit terug kon worden gekregen, criminelen die alsnog data gingen lekken nadat hun losgeld binnen was, enzovoorts.

Nog steeds betalen bedrijven losgeld en hebben ze geluk dat de criminelen zich aan hun woord houden. Daar lees je op het nieuws meestal niks van terug, natuurlijk, je gaat niet aan de grote klok hangen dat je losgeld hebt moeten betalen. Bij publieke instellingen is dat net iets anders, de Universiteit Maastricht heeft bijvoorbeeld betaald en geluk gehad dat de criminelen gepakt zijn zodat ze hun geld terug kregen.

Een paar kortzichtige groepen die uit elkaar vallen en opnieuw vormen hebben een heel crimineel businessmodel onderuit getrapt. Ik zou niet betalen met de manier waarop het criminele circuit nu werkt, maar het is lang niet zo zwart-wit als "ze zullen altijd alsnog de data verkopen". Het is een gok, en die gok is voor sommige grote bedrijven goed uitgepakt en voor veel andere bedrijven misgegaan.

[Reactie gewijzigd door GertMenkel op 18 augustus 2025 09:56]

Voor een aardig lange tijd kon je enigszins vertrouwen dat de data niet alsnog gelekt werd omdat "eerlijke" criminelen anders hun business case zouden verliezen, maar de afgelopen jaren zijn er steeds meer "oneerlijke" criminelen die de data dan alsnog verkopen om twee keer geld te verdienen. Als je overweegt om losgeld te betalen, moet je kiezen of je wel of niet denkt met "eerlijke" criminelen te maken hebt.

Als je als bedrijf verzekerd bent, kan afbetalen verzekeringstechnisch misschien uit en kun je het risico nemen, maar hier weet ik niet of dat nog een goed idee is. Eigenlijk heel stom van een paar kleine groepjes kortzichtige criminelen die het "vertrouwen" in die hele industrie omver gegooid hebben (al kan het natuurlijk ook zijn dat er overheden achter zitten die zich voordoen als criminelen om de markt of andere landen te destabiliseren, natuurlijk).
Stuitend dat je het hier en ergens hierboven bijna passioneel omschrijft alsof er rotte appels tussen de criminelen zitten.

Het hele probleem is dat alle criminelen rotte appels zijn. Ze zijn per definitie niet betrouwbaar en er is geen eerlijke crimineel. Dat er helpdesks zijn of waren is geen aanwijzing dat het wel meeviel. Het is vooral een aanwijzing dat ze begrijpen hoe je de kans op het bereiken van het doel kan vergroten.
Alles is relatief natuurlijk. Een eerlijke crimineel is en blijft een crimineel. Waar ik me aan stoor is dat iedereen lijkt te doen alsof criminelen een stel randdebielen zijn die de hele organisatie maar opdoeken en opnieuw opzetten zodra ze één keer geld kunnen stelen. Nova heeft onder hun huidige naam al tientallen bedrijven en instanties afgeperst en tenzij jij iets over ze weet dat ik niet weet, zullen ze dat de komende maanden blijven doen. Dit is pure business, ook al is die business onethisch, en net als in de businesswereld hebben ze nooit genoeg geld en wordt altijd naar een volgende "deal" gezocht.

Een bankrover die weigert enige gijzelaars vrij te laten, gaat geen vliegtuig naar het buitenland krijgen. Een bende die één keer losgeld aanneemt maar dan geen ontvoerde kinderen vrijlaat, krijgt nooit meer betaald. De Chinese maffia kijkt echt wel verder dan een of ander lab in een klein landje, die gaan het risico niet lopen honderdduizenden te verdienen om vervolgens een markt van tientallen miljoenen op te blazen. Als Nova hun woord tegen Clinical Diagnostics niet houden, gaat niemand ze ooit meer betalen.

Bedrijven betalen nu eenmaal regelmatig losgeld en regelmatig blijft het daar dan ook bij. Geen nieuwsartikelen, geen drama, geen klap op de aandelenmarkt. Dat is het hele probleem natuurlijk: als betalen helemaal niet zou werken, zou niemand het doen.

Wat mij betreft verbieden we dan ook het betalen van losgeld. Maak de straf voor het afkopen van criminelen zwaarder dan de boetes en reputatieschade die je als bedrijf loopt als je afgeperst wordt en de afpersindustrie valt om.
Een bankrover die weigert enige gijzelaars vrij te laten, gaat geen vliegtuig naar het buitenland krijgen. Een bende die één keer losgeld aanneemt maar dan geen ontvoerde kinderen vrijlaat, krijgt nooit meer betaald. De Chinese maffia kijkt echt wel verder dan een of ander lab in een klein landje, die gaan het risico niet lopen honderdduizenden te verdienen om vervolgens een markt van tientallen miljoenen op te blazen. Als Nova hun woord tegen Clinical Diagnostics niet houden, gaat niemand ze ooit meer betalen.
Je gaat er hier nog steeds van uit dat zulke mensen en partijen zich aan regels houden.

Een groot deel van de wereld werkt zo niet. Juist nu in deze tijd zou dat redelijk duidelijk moeten zijn.

[Reactie gewijzigd door Stukfruit op 18 augustus 2025 18:18]

Eigenlijk quote je de verkeerde tekst van @GertMenkel . Voor mij is de belangrijkste tekst regel 3:
Waar ik me aan stoor is dat iedereen lijkt te doen alsof criminelen een stel randdebielen zijn
Ik denk dat je daar overheen leest. Natuurlijk heb je tussen de criminelen randdebielen, maar dat heb je ook tussen de niet-criminelen. Waar GertMenkel op doelt, is dat deze jongens/meisjes/mannen/vrouwen een businessmodel hebben en die zouden ze opblazen door zich niet aan afspraken te houden. En dat heeft niets te maken dat criminelen wel of niet betrouwbaar zijn, want dat zijn ze natuurlijk per definitie niet. Ze blazen alleen hun eigen businessmodel op als ze onbetrouwbaar blijken.
Maar mijn punt is onder andere dit: ik zie dit argument steeds voorbijkomen terwijl het al begint met de stelling dat Nova een koper voor data zou hebben en hiermee direct of indirect (eigenlijk niet eens relevant) zelf de afpersprijs lijkt te bepalen.

Het "businessmodel" wordt daarentegen direct opgeblazen doordat er geen validatie in zit en het gebaseerd is op het aanjagen van angst. Want er is een counter in dagen, er zijn dreigmails, enz. En waar komt de koper van de data vandaan? Hoe vinden ze die zo snel? Misschien via een state actor? Dan is het uitgangspunt al per definitie geen businesmodel meer maar terreur. Via iemand op een zolderkamer? Dan is het knap dat er zo snel kopers zijn met zulke bedragen voor relatief specifieke sectoren waar dan ook nog enige ROI op moet kunnen zitten.

Bovendien betreft het hier wellicht een wat grotere partij, maar ze doen het ook bij het kleinere "Pere Claver Group". Hoe vinden ze daar zo snel kopers voor?

TL;DR: hoe kun je spreken van het opblazen van een businessmodel als het in eerste instantie al behoorlijk flawed is en qua achterliggende logica niet erg goed zou moeten kunnen werken?

[Reactie gewijzigd door Stukfruit op 20 augustus 2025 02:13]

Die laatste actie van ze kan nog weleens het einde van hun inkomsten betekenen. Ik begreep ook helemaal niet dat die tweede eis kwam. Zelfs als er werkelijk een koper zou zijn, dan is dit het einde van deze hackersgroep, want niemand gaat meer betalen als de afspraken door de criminele partij worden geschonden.

En het businessmodel werkt prima bij andere hackersgroepen. Die zijn pas opgehouden, nadat de boel werd opgerold. De criminelen zelf zijn dan weliswaar niet gepakt, maar ze konden niet meer bij hun data.
Misschien is eerlijk/oneerlijk niet de juiste bewoording. Maar snap wel waar @GertMenkel bedoelt, de term crimineel is een heel ruim begrip. De ene is hoog opgeleid en hacked systemen, de ander smokkelt drugs, en weer iemand anders voert liquidaties uit. Allemaal criminaliteit, waarvan iemand die computer hacked, vast niet openstaat om te moorden.

Of iemand betrouwbaar is (aan afspraken houdt), is toch niet zo zwart/wit? Iemand die zijn illegale business model in stand wilt houden, zal zich wellicht wel aan afspraken houden. Maakt hem nog steeds een 100% crimineel.
de term crimineel is een heel ruim begrip
Gezien het artikel waaronder deze reactie geplaatst is wordt het opeens een prima gedefinieerd begrip.
Tegelijkertijd; als een ransomwaregroep van een paar high value targets miljoenen heeft ontvangen (en elk lid van deze groep miljonair is) dan is het natuurlijk het makkelijkste om na een paar jaar de handdoek in de ring te gooien en al deze data nóg eens te verkopen op het dark web om er nog even een miljoen of wat uit te persen. Sterker nog, ze kunnen over 3 jaar terug naar de organisaties waar ze eerder al geld van hebben ontvangen en zeggen dat ze nogmaals geld willen.

Dat ze het daarmee "moeilijker" maken voor de volgende ransomwaregroep kan hen natuurlijk gestolen worden; zelf hebben ze het schip met goud al binnen.
Bor Coördinator Frontpage Admins / FP Powermod @Skit300018 augustus 2025 09:32
Tegelijkertijd; als een ransomwaregroep van een paar high value targets miljoenen heeft ontvangen (en elk lid van deze groep miljonair is) dan is het natuurlijk het makkelijkste om na een paar jaar de handdoek in de ring te gooien en al deze data nóg eens te verkopen op het dark web om er nog even een miljoen of wat uit te persen.
Dat kan maar heb je ook voorbeelden waarbij dit is gebeurd? Veelal gaan mensen naar andere groeperingen, worden ze alsnog gepakt of verdwijnen onder de radar.
Ik denk dat je bij criminelen niet rekening moet houden met wat men eerder heeft gedaan, maar met wat mogelijk is. Deze partij heeft er bijvoorbeeld voor gekozen om enkel gegevens te kopiëren en niet om ze ook te versleutelen. Dit had Clinical Diagnostics nog meer schade opgeleverd, maar wellicht minder inkomsten gegenereerd voor Nova.
Dit was mijn reactie in een vergelijkbare discussie bij het nieuws toen het oorspronkelijke losgeld bedrag werd betaald:
Aan de andere kant, als zo'n groep op zijn einde loopt (krijgen geen significante hacks meer voor elkaar) is het te verwachten dat ze data van oudere hacks alsnog in de uitverkoop zetten. Even nog snel cashen voor je de boel opdoekt.

Ook is er best kans dat ze een netwerk van kopers hebben die discreet zulke data kan uitbaten.

Je moet er nu gewoon vanuit gaan dat deze data voor kwaadwillenden beschikbaar is. Dat er losgeld is betaald is at best uitstel van executie.
Die waarde van het eerlijk handelen kan dus flink onderuit zakken, en bij sommige groepen zal die al nooit hoog hebben gezeten.
Dit beeld wil ik heel sterk tegenspreken. Er spelen minimaal twee belangen: 1) een communicatiebelang en 2) een belang bij controle hebben over de gegevens.

Het communicatiebelang is grotendeels gelijk voor de criminelen en de slachtoffers. De criminelen willen betrouwbaar overkomen en de slachtoffers willen vaak het incident stilhouden of in ieder geval geloofwaardig overkomen als ze zeggen dat alles onder controle is.

Maar als het gaat over controle over de data blijven de belangen strijdig. Het slachtoffer wil toegang tot de data terug en zorgen dat niemand anders meer toegang heeft. Criminelen hebben, afhankelijk van de dataset, verschillende soorten belang bij het behouden van controle. Als de data ook credentials bevat kan het bijvoorbeeld handig zijn om daar een kopie van achter te houden om te misbruiken om op andere plekken in te breken. De gegevens kunnen botweg alsnog worden verkocht (lastiger om geheim te houden). Een inlichtingendienst die controle heeft over de groep kan meekijken en er stukjes data uitplukken die voor hun relevant zijn. Er kunnen andere in de keten zijn bij de criminelen die hun toegang misbruiken. Etc.

Het is heel goed mogelijk dat de criminelen deze strijdige belangen aanpakken door te liegen en stiekem toch de data verder te misbruiken. Niet alle vormen van het breken van de afspraken met de slachtoffers hebben een even hoog risico om bekend te worden. Slachtoffers kunnen niet even een auditor langssturen. om te controleren of afspraken worden nageleefd. Het gemak waarmee mensen aannemen dat criminelen gemotiveerd zijn om eerlijk te handelen zonder de belangenverstrengeling te erkennen blijft me verbazen.
Dit argument heb ik vaker gehoord, maar wat let ze om alsnog de boel te verkopen, en vervolgens onder een nieuwe naam verder te gaan? Er komen continu andere namen in het nieuws.

Een beetje zoals malafide bedrijven/personen die als het vuur aan de schenen wordt gelegd, domweg een andere BV oprichten.

Lijkt me stug dat die lui bang zijn om hun shop-/google-reviews te verliezen. ;)
Ik denk dat de enige grens is dat het hier over het criminele circuit gaat en miljoenen zoniet miljarden.

Vergiftig jij voor een extra pensioencentje de put en vorm je daarmee een bedreiging voor het businessconcept, dan is er allicht iemand die een premie op je hoofd zet. En dan is het dus hopen dat je volledig in je uppie en in absolute anonimiteit hebt geopereerd, want iedere (voormalig) partner is dan plotsklaps je grootste gezondheidsrisico. Veel plezier met het over je schouder kijken voor de rest van je leven.

Dat lijkt me een stuk grotere stok achter de deur dan welke wetgeving dan ook.
Er zit geen eerlijke handel bij afpersers. Dat blijkt nu maar weer eens. Er is betaald. Nu mag er nogmaals betaald worden.

Uiteindelijk zullen de gegevens alsnog gewoon verkocht worden aan criminelen. Ook na tweede betaling.

Criminelen kan je per definitie niet vertrouwen.
Dit is toch de tweede keer dat Nova Clinical Diagnostics chanteerd met deze data?
In de speltheorie is dit het onderscheid tussen een single game en een repeated game.

Als deze groep eenmalig voor gehackte gegevens losgeld vraagt, dan maakt het voor hen niet uit als ze de data nogmaals verkopen, danwel alsnog openbaar maken.
Als dit voor deze groep echter een activiteit is die ze willen herhalen, dan is betrouwbaarheid in hun voordeel bij de volgende 'klant'.

Dat is voor het slachtoffer inderdaad een moeilijke inschatting.

Overigens speelt hetzelfde dilemma ook op een andere manier. Als de gehackte organisatie dit als een eenmalig incident ziet (single game), dan is het niet zo erg om losgeld te betalen.
Mocht de gehackte organisatie echter denken dat ze vaker gehackt kunnen worden (repeated game), dan biedt het voordeel om de reputatie te hebben dat je niet betaald. Hackersgroepen zullen namelijk een voorkeur hebben voor organisatie die al hebben aangetoond te betalen.
Het is een duivels dilemma. Als je niet betaald volgt vrijwel zeker openbaring.

Het klinkt gek maar voor de afpersers zit er waarde in het "eerlijk" handelen, dwz na betaling niet alsnog openbaren. Zodra duidelijk is dat je dat als ransomware groep doet zal het volgende slachtoffer waarschijnlijk niet meer betalen (want toch geen zin). Je ondermijnt op die manier je eigen businessmodel.
Hier is zelfs een oud gezegde voor: honor among thieves. Da's niet specifiek voor de ransomware wereld. Ook criminelen kennen gedragscodes, zoals bijvoorbeeld 'wie praat die gaat'.

Brian Krebs heeft in een artikel een keer uitgebreid uitgelegd hoe alle tandwieltjes binnen zo'n ransomwarebende werken. Net zoals je binnen een bedrijf diverse expertises hebt (die allemaal werken en deel van de opbrengst krijgen), heb je dat binnen zo'n bende ook.

Zie in ieder geval: Conti Ransomware Group Diaries, Part II: The Office ook de overige delen zijn het lezen waard:

Conti Ransomware Group Diaries, Part I: Evasion

Conti Ransomware Group Diaries, Part III: Weaponry

Conti Ransomware Group Diaries, Part IV: Cryptocrime

[Reactie gewijzigd door Jerie op 19 augustus 2025 14:43]

Ik weet niet zeker of dat ook in werkelijkheid zo is. Die groepen kunnen steeds van naam veranderen, dus weet je niet of je met een 'reputabele' groep te maken hebt. Bovendien: bij ontvoeringen van personen wordt in veel gevallen ook stiekem betaald. En er zijn gevallen bekend waarbij de ontvoerde persoon al op dag 1 is vermoord en er alsnog betaald is... Het zijn criminelen, die zijn per definitie niet eerlijk.
Klinkt in dit geval alleen ze hebben betaald. Maar afspraken geschonden volgens Nova dus moeten nog een keer betalen.
en dat denken wij, maar toch blijft men maar betalen en zijn er al heel veel cases van dubble extortion bekend
Je ondermijnt op die manier je eigen businessmodel.
Dat lijkt Nova wel te doen hier, aangezien Clinical Diagnostics al wel betaalt schijnt te hebben (als de berichtgeving klopt dan).
Of juist niet want dan verkopen ze het voor 11 BC aan die andere club. Die gaan er uiteraard nare dingen mee doen want openbaren zou van beide dom zijn ..immers krijgt dan 'iedereen' beschikking over de data.

Niet betalen punt
En waarom denk je dat ze niet onder een nieuwe naam gaat handelen?
Nou eigenlijk moet dit soort ransom praktijken illegaal zijn om te betalen. Haal juridisch het dilemma er maar uit.

Zolang criminaliteit loont blijft het lucratief. Je kunt dan wel zeggen dan ze “eerlijk” handelen door de date ook echt te verwijderen want dat is hun “vertrouwen” wat ze dan weer kunnen gebruiken bij volgende slachtoffers.

Maar het zij gewoon schoften. Kwetsbaarheid van onschuldige mensen die willen weten of ze kanker kunnen hebben. Dit moet je NOOIT belonen. Helen van gestolen zaken is dan ook nog eens strafbaar dus dat moet kei hard aangepakt worden met serieuze straffen. Maar de laffe rechtsstaat de laatste tijd staat dat dan weer niet toe.

[Reactie gewijzigd door phoenix2149 op 18 augustus 2025 19:50]

Nou zit ik totaal niet in die wereld, maar wat ik tot nu toe gehoord heb is dat die groepen zich over het algemeen juist wel aan afspraken houden. En dat is heel logisch, want als eenmaal bekend is dat je nadat je betaald bent om de data niet te verkopen dat alsnog doet, gaan je volgende slachtoffers helemaal niet meer betalen natuurlijk.
Wat weerhoudt je ervan om je groep gewoon te hernoemen en verder te gaan met je praktijken? Continu nieuw imago.
Moet je elke keer weer je reputatie opbouwen. Wat is makkelijker als ZZP'er? Je opdrachtgever oplichten en elke keer met een nieuwe bedrijfsnaam een nieuwe opdracht vinden of je reputatie behouden?
Je redeneert nu als een redelijk/eerlijke persoon. De praktijk wijst gewoon uit dat je hen niet kunt vertrouwen...
Maar is dat zo? Dit is nu een bericht dat dat suggereert, maar we weten niet eens of alle feiten wel kloppen en we weten niet of als dat zo is of dit niet gewoon een uitzondering is.

Als we het omdraaien, denk je nou echt dat al die bedrijven of instellingen die toch betalen dit niet kunnen bedenken?
Het is toch niet de eerste keer dat dit gebeurt?

En iedereen kan dit bedenken, maar de slachtoffers zitten niet in een positie waar ze iets te zeggen hebben. Ze moeten zelf die afweging maken of ze vertrouwen hebben in een stel criminelen die op geld uit zijn of niet. Wij kunnen erover debatteren, maar wij zitten niet in die positie. Het is zoals iemand al opmerkte een duivels dilemma.
Nee is het niet de eerste keer? Nou ja, waarschijnlijk niet, maar hoe vaak dan? Je zegt dat de praktijk het uitwijst, maar je redeneert met onderbuikgevoelens. Je zou best gelijk kunnen hebben hoor maar kom of met feiten of presenteer het niet alsof het feiten zijn.
Ik heb het niet paraat, maar ik heb wel vaker berichten gehoord dat die ransomwaregroepen alsnog de data verkochten. En het zijn tenslotte criminelen. Hun core business heeft te maken met oneerlijkheid. Dus hoe iemand nu kan verwachten dat ze doen wat ze beloven is beyond me. En ik ga geen moeite doen om dat aan te tonen. Als dat al niet duidelijk is, houdt het voor mij op. Dit voorbeeld bewijst het en het zou imho zeer bijzonder zijn als dit geval op zich stond. Noem het onderbuik, ik noem het gezond verstand.
Waarom hebben ze reputatie nodig? Ze hebben zo'n instantie volledig in de tang met de gestolen data. Dat is genoeg om af te dwingen wat ze willen. Nou; als ze dan nog dubbel kunnen vangen door het te verkopen zullen ze dat zeker doen en daar zullen ze ook zeker over liegen als dat meer oplevert.
Welnee, ze verkopen de data na betaling alsnog.

Je betaald om publiciteit te vermijden, niet om de data te beschermen want dat doen criminelen niet.
De oplossing lijkt me dat de boete wegens crimineel handelen (men koopt immers persoonlijke gegevens op een illegale manier en men is criminelen aan het faciliteren) minimaal gelijk is aan het losgeld. De persoonlijke gegevens zijn dat kennelijk waard en de 'winst'. Alleen die gegevens kunnen niet geïnd worden. Dus dan een financiele waarde als genoegdoening aan de maatschappij. Als criminele op illegale manier winst maken plukken we ze kaal, dan ook bij dit crimineel gedrag van bedrijven.
Dat klinkt allemaal leuk, maar criminelen gaan er altijd vanuit dat ze niet gepakt worden. Dreigen met straf werkt feitelijk niet. Er lopen immers nog steeds criminelen rond en sommige mensen doen domme dingen voor minder, waarvoor ze in grotere problemen komen.

Geen structurele oplossing dus. Zulke dingen werken voor eerlijke mensen, brave burgers die bang zijn voor de politie en niet in de problemen willen komen.
De oplossing lijkt me dat de boete wegens crimineel handelen (men koopt immers persoonlijke gegevens op een illegale manier en men is criminelen aan het faciliteren)
Dus je word afgeperst, je bedrijf staat op het spel en je moet te keuze maken tussen je bedrijf te redden (bij ransomware) en de wet te overtreden of accepteren dat criminelen je bedrijf falliet laten gaan. Terwijl jij het slachtoffer bent! Een dergelijke wetgeving zal niets helpen (heeft het in geen enkel land gedaan) en zal de bereidheid om je klanten (op tijd) te informeren doen afnemen. Dat heeft ook grote risico's.

Tweakers vinden altijd dat de radicale strenge optie de beste is (in het gevang met de CEO!) terwijl de belangen een hele andere oplossing kunnen aanreiken.
Nee hoor, dat kan je vooraf laten gaan door een audit door een gecertificeerd bedrijf. Ben je aantoonbaar nalatig geweest, dan mogen er wat mij betreft de sterkst mogelijk maatregelen worden genomen. Ben je de pineut door een "zero day" (en niet één van drie maanden geleden inderdaad) dan alsnog verbod op betalen losgeld en alle mogelijke hulp om de boel te redden.

Een fonds zou wel aardig zijn om de bedrijven die alle mogelijke moeite doen om het goed te doen daarmee te kunnen helpen, te vullen met boetes van bedrijven die er met de pet naar gooien. Een soort positieve stimulans voor als je het goed doet. En wat mij betreft zou dat fonds ook de enige mogen zijn om toch losgeld te betalen als je het A) Je IT op orde had en B) Je bedrijf gaat omvallen.

Dat het niet betalen niet geholpen heeft, wil niet zeggen dat je het verdienmodel dan maar in stand moet houden ...
Het is eerder zeer radicaal criminelen met miljoenen te belonen en te faciliteren. Slachtoffer zijn daarbij vooral de personen van wie de rechten worden geschonden door onveilig met hun persoonsgegevens om te gaan. Slachtoffers zijn de persoon in de maatschappij die geconfronteerd worden met organisaties en bedrijfven die criminelen belonen met miljoenen. Slachtoffers zijn de personen in de maatschappij die criminaliteit faciliteren gewoon gemaakt zien worden door organisaties en bedrijven die betalen. Organisaties en bedrijven die niet aan de wettelijke plichten en verboden voldoen zijn geen slachtoffer maar ernstig nalatig tot misdadig. En als die kiezen criminelen te belonen en faciliteren dan horen ze dat extra te voelen. Net als we bij andere criminelen doen.

Ik ben het met je eens dat niet aan de wet voldoen ook kan gebeuren ondanks zeer behoorlijke beveiliging. Maar dar is eerder een verzachtende omstandigheid voor wat men hoorde te doen. Niet voor het belonen van criminelen en het faciliteren van criminelen.
Oneens, het garmin debacle waarbij heel inreach op zijn bips lag is een goed voorbeeld waarom je soms niet anders kan. (Die werd door een 3e partij betaald en officieel is dat nooit gebeurt) Bij Garmin ging het erom dat het letterlijk de lifeline is naar de buitenwereld en tja om tegen je hele user basis te zeggen van sorry we kunnen niks zoek het maar uit (wat soms letterlijk leven en dood is). Dat gaat gewoon niet.
Er is maar één manier vrees ik en dat is:
  • Verplicht aangifte doen bij politie
  • Verbod op het betalen van losgeld
  • Verplicht meewerken op eigen kosten naar onderzoek IT beveiliging in jouw bedrijf
Indien daaruit blijkt dat het bedrijf nalatig is geweest:
  • Verplichte cursus "Best practices" t.a.v. IT beleid en implementatie ervan, vast te stellen door een aangewezen en gecertificeerd bedrijf
  • Verplicht alle geconstateerde gebreken aantoonbaar oplossen
  • Verplicht 5 jaar audits op kosten bedrijf op IT beveiliging + opvolging ervan
  • Bij een volgend delict in dezelfde categorie aangevuld met persoonlijke aansprakelijkheid van directie
En daar zal uiteraard iets voor moeten worden ingericht, met name welke bedrijven zo'n check kunnen en mogen doen. En ik zal vast te makkelijk over zaken heenstappen. Maar overlaten aan de markt blijkt gewoon niet te werken. En onze data is gewoon te kostbaar om dat over te laten aan "we doen ons best". Dat is al lang niet goed genoeg meer.

[Reactie gewijzigd door Houtenklaas op 18 augustus 2025 12:00]

Klinmkt op zich als een aardige maatregel om te voorkomen dat er überhaupt data wordt gestolen. Maar helemaal voorkomen kun je het nooit. Maar het is een aardige stok achter de deur om bedrijven te dwingen hun zaken goed te regelen. Veel bedrijven gaan er veel te lichtzinnig mee om.
Ik hoorde bijvoorbeeld van een vriend dat sommige klanten nog gewoon FTP gebruiken voor hun data transfer. Je snapt het niet, maar die willen niet over naar SFTP of een ander platform dat veel veiliger is. Ze bestaan nog, anno 2025...
Net zoals er nog bedrijven zijn die hun data niet ge-encrypt opslaan. Waardoor hackers alleen toegang nodig hebben.

Bedrijven die meer data bewaren dan strikt noodzakelijk want offline archiveren en online data opruimen kost tijd en geld.
Ze hebben zich niet aan de regels gehouden, als ze dat wel hadden gedaan was er niks aan de hand.
Ja, ga deze praktijken nog maar verdedigen ook :P
Tsja...daar zit wel iets in. Als je dan betaalt, en de voorwaarde is 'geen politie', moet je niet gek opkijken als ze boos worden als er dan toch politie bij gehaald wordt. Evengoed blijft de hele zaak verwerpelijk en toont aan dat je in principe gewoon niet moet onderhandelen met criminelen. Betalen en alsnog naar politie gaan is eigenlijk hetzelfde als niet betalen, dus waarom je daarvoor kiest begrijp ik ook niet zo goed.
Het lijkt mij zeer aannemelijk dat het laboratorium niet naar de politie is gestapt, of dat in ieder geval niet wilde doen. Het lek is namelijk pas na een maand aan het licht gekomen, terwijl het binnen 72 uur gemeld zou moeten zijn bij de AP. Het is ook niet gemeld aan de organisatie achter het bevolkingsonderzoek. Het lijkt er dus op dat het lab het losgeld heeft betaald en zelf geen instanties heeft ingeschakeld.

Maar nu het lek toch aan het licht is gekomen moet de overheid/politie/OM/AP natuurlijk wel onderzoek doen.
Wie zegt dat ze zich niet aan de regels gehouden hebben? (Behalve degenen die dat nu achteraf beweren.)

Wie heeft deze regels opgelegd? (Behalve een criminele organisatie.)

Wie heeft bepaald dat deze regels boven de wet gaan die bepaald dat dit soort lekken gemeldt moeten worden? (Behalve een criminele organisatie.)

En wie zegt dat er niets aan de hand zou zijn geweest wanneer ze zich wel aan de regels hadden gehouden?
Het is een verdienmodel voor die hackers. Als je hun niet kunt vertrouwen zal er nooit meer betaald worden. Ze hebben duidelijk een aantal regels opgesteld, die zijn ze niet nagekomen en vind ik het eigenlijk meer dan terecht.. Ik sta absoluut niet aan de kant van de criminelen, maar ze hebben wel een punt. Had ze dan niet betaald...
Nogmaals:
Wie zegt dat ze zich niet aan de regels gehouden hebben?
In dit artikel staat dat het nog niet eens bekend is welke 'afspraken' er geschonden zijn.
Nova laat op zijn website op het darkweb weten dat Eurofins Scientific, waar Clinical Diagnostics onderdeel van uitmaakt, een 'afspraak' heeft geschonden, al wordt uit de boodschap niet geheel duidelijk om welke afspraak het gaat.
Voor die criminelen is het lekker makkelijk praten: 'oeps, afspraak geschonden, nog een keer betalen'! Ik hoop dat de reputatie van Nova nu wel helemaal kapot is en niemand ze nog gaat betalen.

Waarom het überhaupt toegestaan is criminele organisaties te sponseren blijft mij ook een raadsel. Je mag (neem ik aan) toch ook geen geld aan IS doneren in de hoop dat daardoor ze hun volgende aanslag niet in Nederland uitvoeren....
Het is wel vreemd ja dat men bij afpersing bij andere zaken, zoals het openbaren van naaktfoto's, men altijd adviseert NIET te betalen. Maar bij het stelen van gevoelige data of cryptolockers door hackers groeperingen, men een voorzichtig advies geeft wél te betalen.

Er is inderdaad in principe geen verschil, in beide gevallen heb je 0,0 zekerheid en kunnen ze doorgaan met afpersen totdat je geen rode cent meer over hebt. Daarnaast help je criminelen indirect ook om door te gaan met criminele activiteiten door te betalen.
Waarom bewaart zo'n lab gegevens van bijna 500.000 mensen met naam en toenaam? Wat is de noodzaak daarvan? Wat is de bewaarduur?

Kan dat na het onderzoek niet geanonimiseerd worden met een code die je als vrouw in een brief ontvangt zodat jij alleen nog de juiste data kan koppelen aan jouw naam als dat nodig is?

Er lijkt een soort verzameldrang van data te zijn bij bedrijven terwijl ze eigenlijk niet de capaciteit hebben om dat goed te beschermen en als dat lekt zijn de gevolgen groot.

[Reactie gewijzigd door BlueTooth76 op 18 augustus 2025 09:40]

Bewaartermijnen bij medische gegevens zijn lang

Maar dit is precies de reden waarom deze gegevens niet door privebedrijven beheerd moeten worden.
De slachtoffers zijn in dit geval, de vrouwen wiens data op straat komt te liggen. Zij moeten massaal aangifte doen en de overheid aansprakelijk stellen. Die is in dit geval verantwoordelijk voor hun data als die op straat komt te liggen.

Tot de publicatie van de data, is deze hack een kwestie tussen het bedrijf en de hackersgroep. Na publicatie, als het bedrijf al haar verplichtingen is nagekomen, is dit een zaak tussen het OM en de hackersgroep. Opsporing en vervolging zal daarna enorme gevolgen hebben voor de hackers.
Maar dit is precies de reden waarom deze gegevens niet door privebedrijven beheerd moeten worden.
Dan heb ik extreem slecht nieuws voor je: op de Academische ziekenhuizen na, bestaat de zorg alleen maar uit bedrijven. Een regulier ziekenhuis is in praktijk een bedrijfsverzamelpand waar meerdere specialistische maatschappen gevestigd zijn en die in meer of mindere mate samenwerken.

Een lab als dit zat vroeger gewoon in dat zelfde verzamelpand, maar omdat ze voor meerdere ziekenhuizen werken zitten ze vaak in het midden van hun regio. Vaak ontstaan omdat een lab runnen te duur werd voor een enkel ziekenhuis, en dus gefuseerd met de labs van een of meerdere andere ziekenhuizen om zo de schaalgrote te vergroten. In theorie drukt dit de kosten en laat het dieptespecialisatie toe. Als je naar de historie van dit lab kijkt dan zie je dat daar een paar huisartsenlabs en ziekenhuislabs gefuseerd zijn om EuroFins te vormen.
Dat begrijp ik.

Maar dat neemt niet weg dat ze hun gegevensbeheer niet alsnog onder moeten kunnen brengen bij een overheidsdienst. Overheidsdatacentra zijn er specifiek voor privacygevoelige data. De redundancy en security zijn daarbij afgestemd op schaalbaarheid en efficiency.

We moeten dit soort data niet op talloze plaatsen waar het fout kan gaan, willen bewaren. Het is opvallend dat staatsgeheime informatie wel daar kan worden bewaard maar sterk privacy gevoelige data niet. Dat geeft aan waar ons systeem zijn prioriteiten zet. Nu het fout is gegaan, moet de druk toenemen om die prioriteitsstelling te veranderen.
Maar dat neemt niet weg dat ze hun gegevensbeheer niet alsnog onder moeten kunnen brengen bij een overheidsdienst. Overheidsdatacentra zijn er specifiek voor privacygevoelige data. De redundancy en security zijn daarbij afgestemd op schaalbaarheid en efficiency.
Dat de overheid het doet betekent niet dat het beter wordt gedaan. Er zijn zelfs mensen in deze discussie die het tegenovergestelde beweren.

En er zijn hostingpartijen die gespecialiseerd zijn in beheren van zorgsystemen, ook centraal. Ik heb met verschillende mogen werken, en die waren ook uiterst capabel (wel duur, maar dan heb je ook wel wat).

Maar laten we ook realistisch zijn. Voor hacks waar de hacker een flink budget heeft is één foute link waar op geklikt wordt al genoeg. Dus ingeacht hoe goed je het inricht, het is geen garantie dat data 100% veilig zijn.
'De slachtoffers zijn in dit geval, de vrouwen wiens data op straat komt te liggen'.
Volgens het nieuwsbericht zijn er ook mannelijke slachtoffers, maar daar had ik ook niet eerder van gehoord:
"Het zou onder meer gaan om gegevens uit baarmoederhalskanker-, huid-, urine-, penis-, vagina- en anusonderzoeken."

[Reactie gewijzigd door Marrtijn op 18 augustus 2025 09:59]

Enorme gevolgen... als ze de hackers vinden, het tot een veroordeling komt en ze hackers vervolgens ook echt hun straf krijgen.

Ik zou er niet teveel hoop op hebben.
De overheid heeft nu ook niet echt een betrouwbaar trackrecord als het om datalekken gaat.

Eigenlijk zou de AP een certificeringsbedrijf moeten opzetten die de opslag van privacy data bij bedrijven regelmatig controleert. Certificering zou dan verplicht moeten zijn voor alle bedrijven, waarbij de bedrijven en instellingen die medische gegevens bewaren aan de zwaarste graad van beveiliging moeten voldoen.
Bij gebrek aan regelgeving en toezicht is dit wat gebeurd. Ik zit zelf in China waar de overheid ironisch genoeg heel strict omgaat met data van gebruikers. Je merkt constant bezig is om deze regelgeving te verbeteren cq aan te passen. Bijvoorbeeld het was vrij normaal om dagelijks een dozijn SMS'jes / telefoontjes te ontvangen, dat is sinds kort voorbij. Idem voor online data verzamelen, dat luisterd heel nauw en omdat je als bedrijfsleider persoonlijk verantwoordelijk bent, ga je hier voorzichtig mee om.
Bij gebrek aan regelgeving en toezicht is dit wat gebeurd.
Het is de wet (Wet op de Geneeskundige Behandelovereenkomst) die een lab juist verplicht om deze gegevens vast te leggen en minimaal 20 jaar te bewaren.
Die wet heeft betrekking op zorgverleners, niet op onderzoeks laboratoria. De tweede zijn voor zover ik weet en kan vinden in de meeste gevallen géén zorgverlener. Volgens hunzelf hadden ze die data om patiënten in te lichten over uitslagen, maar dit gaat, normaal gesproken, niet direct tussen patiënt en lab, maar via de zorgverlener. Eventueel kan het lab de gegevens direct in het epd zetten als deze beschikbaar is, maar daar hebben ze geen persoonsgegevens voor nodig, hooguit een unieke identifier zodat ze weten in welk dossier het moet (en dat hoeft niet het bsn te zijn).

Uiteraard kan het zijn dat ze ook onderzoeken doen voor patiënten direct (van die zelftest dingen die je in de supermarkt kan kopen bijvoorbeeld), maar daar lijkt het in dit geval niet over te gaan.

Sluit mezelf helemaal aan bij de opmerking van Bart van der Sloot, hoofddocent privacy en gegevensbescherming Tilburg University: https://www.rtl.nl/nieuws/binnenland/artikel/5523135/datalek-laboratorium-blijf-van-mijn-lijf-huis-medische-gegevens Het lijkt er op dat ze meer gegevens verwerkte dan noodzakelijk voor het onderzoek, het had waarschijnlijk met een unieke identifier die bij de daadwerkelijke zorgverlener gekoppeld is aan een persoon geregeld kunnen zijn, muv van gegevens die wellicht van belang zijn voor diagnostiek (geslacht, leeftijd, etniciteit, etc. afhankelijk van specifiek onderzoek).
Die wet heeft betrekking op zorgverleners, niet op onderzoeks laboratoria.
Het venijn zit in de nuances. Voor een klinisch chemisch lab, dat louter tellingen doet op directe aanwijzing van de behandelaar, klopt dit. Een pathologie-lab (een lab dat weefsel onderzoekt, zoals uitstrijkjes) heeft pathologen in dienst, en een patholoog is een medisch specialist die volldig zelfstandig een diagnose stelt. Erger nog, 90% van de oncologische diagnoses worden door een patholoog gesteld. En dan is men wel degelijk een zorgverlener en moet men ook zelfstandig aan de WGBO en wet BSN in de Zorg voldoen.

Bart van der Sloot kan dan wel roepen dat het lab aan dataminimalisatie moet doen en dat men eigenlijk geen context hoeft te kennen. Maar dan heeft hij niet gesnapt wat het lab daadwerkelijk doet. Omdat een patholoog ook het (landelijk of regionaal) EPD moet kunnen raadplegen en een uitslag aan een aanvrager moet kunnen verstrekken, ook naar doorverwijzing, moet men gewoon wetellijk overal aan kunnen voldoen. Het CBP (de rechtsvoorganger van de AP) heeft in 2005 een sectoronderzoek in de zorg gedaan, en toen al geconstateerd dat pathologen inderdaad conform de wet werkten met de info die ze verwerkten. Dus wie geloof je: een hoogleraar die uit de losse pols wat roept of de verantwoordelijke toezichthouder na gedegen onderzoek?

[Reactie gewijzigd door J_van_Ekris op 18 augustus 2025 11:38]

De hulpverlener richt een dossier in met betrekking tot de behandeling van de patiënt. Hij houdt in het dossier aantekening van de gegevens omtrent de gezondheid van de patiënt en de te diens aanzien uitgevoerde verrichtingen en neemt andere gegevens daarin op, een en ander voor zover dit voor een goede hulpverlening aan de patiënt noodzakelijk is.
https://wetten.overheid.nl/jci1.3:c:BWBR0005290&boek=7&titeldeel=7&afdeling=5&artikel=454&z=2025-07-18&g=2025-07-18

Het klopt dat ze inderdaad verplicht zijn zelf ook een dossier bij te houden, maar dan nog is er geen reden om alle persoonsgegevens die ze hadden te verwerken, voor het leveren van de juiste zorg hoeft een patholoog die in opdracht van een andere zorgverlener een diagnose stelt géén persoonsgegevens te verwerken die niet direct noodzakelijk zijn voor het stellen van een diagnose (muv van bsn, zoals omschreven in wet bsn+Z).

[Reactie gewijzigd door DdeM op 18 augustus 2025 11:54]

Het klopt dat ze inderdaad verplicht zijn zelf ook een dossier bij te houden, maar dan nog is er geen reden om alle persoonsgegevens die ze hadden te verwerken, voor het leveren van de juiste zorg hoeft een patholoog die in opdracht van een andere zorgverlener een diagnose stelt géén persoonsgegevens te verwerken die niet direct noodzakelijk zijn voor het stellen van een diagnose.
De WGBO en wet BSN in de Zorg verplicht dat wel degelijk. In praktijk moet altijd de persoon aan het dossier gekoppeld zitten. Bij een lab als dit kan het zo zijn dat bij een serieuze uitslag de huisarts doorverwijst naar de oncoloog of gynocoloog, welke dan gericht vragen gaan stellen aan de patholoog over de uitslag (de huisarts krijgt slechts een samenvatting). Al deze communicatie moet het BSN bevatten als ze digitaal gaat.

Een patholoog moet ook zelfstandig het regionale of landelijke EPD kunnen raadplegen. Voor hun werk maakt het enorm veel uit of er sprake kan zijn van uitzaaiingen van een oude tumor of niet. Dit soort info kun je alleen verkrijgen op basis van BSN (en toestemming van de patient op de vrijgave van die EPD's).

En als medisch specialist heb je een diagnose gesteld bij een patient, en de WGBO stelt je dan ook verplicht dit 20 jaar te bewaren en er 20 jaar vragen over te kunnen beantwoorden. Ze zijn zelfs wttelijk verplicht het weefsel 20 jaar te bewaren. Voor oncologisch onderzoek is dit ook geen luxe: vaak blijkt een uitslag decennia later nog relevant voor de patient en doet men soms zelfs nog vervolgonderzoek op het originele weefsel (DNA sampling van de tumor bijvoorbeeld).

[Reactie gewijzigd door J_van_Ekris op 18 augustus 2025 12:01]

Bsn en relevante gegevens voor het stellen van de diagnose ja, in de basis geen andere identificeerbare persoonsgegevens (tenzij die dus van belang zijn voor het stellen van de diagnose) . De link die ik in de vorige post plaatste is het relevante wetsartikel van de WGBO (die linkt er naar toe), wet bsn+z verplicht alleen bsn.
ACM is ook een onafhankelijk toezichthouder, hun onderzoeken naar bijv. de energietarieven en concurrentie op kabel/koper/glasvezel vertrouw ik voor geen cent. De onderzoeken niet, en niet wat ze daar als conclusie uit trekken.
De vraag bij mij is ook al vooral: waarom heeft het lab de persoonsgegevens?


Het lab voert toch de onderzoeken uit in opdracht van de ziekenhuizen? Die kunnen toch de te onderzoeken materialen overhandigen met alleen een unieke code en de uitslag terug krijgen met alleen die code?


Of denk ik nu heel simpel?
De vraag bij mij is ook al vooral: waarom heeft het lab de persoonsgegevens?
Het lab is een medische specialist die een daadwerkelijke diagnose stelt (Patholoog) en de wet verplicht om elke medisch specialist elke medische handeling en beslissing te registreren. Als de medisch specialist een (landelijk of regionaal) EPD wil raadplegen moet hij het BSN ook gebruiken. En bij uitwisseling van uitslagen is het gebruik van het BSN wettelijk verplicht. Dus daarom heeft het lab al deze gegevens.
Maar we hebben het hier over meer dan alleen BSN. Ook namen, geboortedata en adressen zouden zijn buitgemaakt.


Ik snap gewoon niet waarom het relevant is voor een lab om al die (irrelevante) gegevens te hebben. Dit is gewoon vragen om problemen.


Dit systeem moet duidelijk op de schop, want het blijkt maar weer dat niet alle partijen in staat zijn om data veilig op te slaan.

[Reactie gewijzigd door mareck1 op 18 augustus 2025 10:38]

Maar we hebben het hier over meer dan alleen BSN. Ook namen, geboortedata en adressen zouden zijn buitgemaakt.
Namen en geboortedata zijn ook wettelijk verplicht te registreren. Adressen komen gewoon mee met de SBVZ data, en worden vaak geregistreerd omdat zaken als locatie ook van belang zijn bij pathologie-onderzoek. Als je naast Tata steel woont kijkt men toch anders naar bepaalde cel-afwijkingen dan als je op de veluwe woont.
Dan slaat de wetgeving echt nergens op en moet zo snel mogelijk aangepast worden.

Vanuit technisch oogpunt is er geen enkele reden om meer mee te sturen dan het hoogst noodzakelijke. BSN is al een unieke identifier, dus naam is overbodig. Voor geboortedatum volstaat alleen jaar (als leeftijd belangrijk is voor het onderzoek). Voor locatie volstaat natuurlijk alleen de postcode.
Vanuit technisch oogpunt is er geen enkele reden om meer mee te sturen dan het hoogst noodzakelijke. BSN is al een unieke identifier, dus naam is overbodig. Voor geboortedatum volstaat alleen jaar (als leeftijd belangrijk is voor het onderzoek). Voor locatie volstaat natuurlijk alleen de postcode.
Tja, de zorg is geen technisch systeem. Het zit vol met mensen. En die zorgprofessionals moeten ook gewoon hun werk kunnen doen. Dus als een oncoloog het lab belt om meer uitleg te krijgen over een door de huisarts afgenomen stuk huid, dan kun je wel gaan praten over de patient met BSN X, maar dat werkt niet. Dan moet je op een redelijk betrouwbare wijze wederzijds kunnen vaststellen dat je het over dezelfde patient hebt, en dan werken namen en geboortedata gewoon veel beter dan een nummer. Bij electronische uitwisseling is het BSN eenvoudiger maar worden personalia vaak alsnog gecontroleerd.

20 jaar geleden is besloten door de wetgever dat overal het BSN in de zorg moest worden toegepast. Deels om zorgfraude te beperken, maar ook om patientverwisselingen en andere administratieve ellende te voorkomen. Je kunt heel leuk in isolement zeggen dat een bepaald stuk informatie irrelevant is, maar de dagelijkse praktijk toont anders aan. En bedenk: de sector gaat hier niet lichtzinnig mee om. Mensen die hun beroepsgeheim overtreden mogen gewoon niet meer in de zorg werken.
Dat het makkelijker is om te communiceren met behulp van naam en geboortedatum betekent niet dat het ook de juiste manier is naar mijn mening. De huidige technologie maakt het mogelijk om data in bulk op te slaan en te raadplegen, maar dat betekent ook dat het in bulk gestolen kan worden. Er is dus een zorgvuldigere aanpak nodig.

Ik hoop dat er inderdaad niet lichtzinnig mee omgegaan gaat worden. Als je toe staat dat dit soort data in deze hoeveelheden wordt gestolen dan kan het niet anders dan dat (net zoals dat als je als persoon dit soort fouten maakt) je als bedrijf geen bestaansrecht meer hebt en moet worden opgeheven.
Dat het makkelijker is om te communiceren met behulp van naam en geboortedatum betekent niet dat het ook de juiste manier is naar mijn mening.
In een omgeving waar een patientverwisseling een mogelijk onnodig doodsvonnis voor een patient is lijkt het mij verstandig dit te voorkomen en zorgverleners niet door rare foutgevoelige hoepels te laten springen bij patientidentificatie.
Ik hoop dat er inderdaad niet lichtzinnig mee omgegaan gaat worden.
In de zorg wil men op de eerste plaats mensen beter maken. Maar men beseft enorm dat schaamte voor een diagnose, en dus gebrek aan privacy, een goede behandeling in de weg kan staan. Er wordt niet voor niets zoveel belang gegeven aan het medisch beroepsgeheim. Dit is essentieel voor hun werk, en dat is al eeuwen zo. Dat wordt er vanaf de eerste opleidingsdag ingestampt.

Ik heb ooit het voorrecht gehad om bij een bezoek van de SG van het ministerie van Volksgezondheid aanwezig te zijn. Men wilde een klein stukje filmen voor de socials (tja...). Dit mocht pas nadat men zeker had gesteld dat alle weefselpotjes in de hele ruimte met de rug naar de camera stonden, want stel je voor dat. Dit is heel kenmerkend voor de zorg.

Een datalek als dit hoort niet te kunnen, maar als je dan hoort dat er een miljoen wordt geincasseerd, dan kan ik me ook wel voorstellen dat er een ongelijke strijd geweest is voor dat lab.

[Reactie gewijzigd door J_van_Ekris op 18 augustus 2025 12:16]

[...]

In een omgeving waar een patientverwisseling een mogelijk onnodig doodsvonnis voor een patient is lijkt het mij verstandig dit te voorkomen en zorgverleners niet door rare foutgevoelige hoepels te laten springen bij patientidentificatie.
Men komt al heel ver met een uniek identificatienummer dat bij het staal hoort, uiteraard met ingebouwd controlegetal zoals bij een bankrekeningnummer. Daarnaast nog de naam van de huisarts en/of behandeld arts én de geboortedatum van de patiënt als extra verificatie.
En dingen als geslacht? Etniciteit? Algemene gezondheid? Gewicht? Allemaal nodig om in veel gevallen een juiste lab uitslag te krijgen (of zelfs maar de juiste tests te kunnen doen).
Maar naam, BSN-nummer en andere persoonlijke gegevens hoef je niet op te slaan.
Als je met lange, unieke codes werkt kan je die altijd weer koppelen aan de juiste personen en is er bij een lek / hack niet meer op straat dan dat persoon "$06YDdjS8a4l" een SOA of kalknagels heeft.

Dan hoef je alleen dat systeem dat die code aan een echte persoon koppelt extra te beveiligen en niet al die honderden zorgsystemen verspreid door Nederland, waar er gegarandeerd een aantal gehackt gaan worden.

Ik heb ook niet alle antwoorden maar wel vragen ;)

[Reactie gewijzigd door BlueTooth76 op 18 augustus 2025 11:41]

Stuur alleen data mee die nodig is. En wanneer niet meer nodig dan wis je die.

Ik zeg niet dat het eenvoudig is, of dat het niet duur is. Maar deze hack laat wel zien dat het noodzakelijk is.

Even ter herinnering: het gaat om de persoonsgegeven en medische data van een paar honderdduizend personen, niet een paar credit card gegevens van spelers in de plaatselijke voetbalclub.
(tot nu toe) Gelekte data zijn vooral exports van brieven gemaakt uit een systeem, via template software, naar docx bestanden, welke volgens de bestandsmetadata daarna geprint is. Ook al is de data geanonimiseerd opgeslagen, er komt een punt dat je iemand een brief moet gaan sturen, waarbij naam en toenaam gekoppeld moet worden aan andere data. Technisch gezien is dat makkelijk om dat op een netwerkshare te doen, want daar kunnen de applicaties bij, en de gebruikers.

Daar kunnen we een heleboel van vinden, maar dit is wel hoe het bij het gros van de bedrijven gaat.

[Reactie gewijzigd door LigeTRy op 18 augustus 2025 10:05]

Maar er is niet echt een reden om een brief op te slaan als hij al een tijd geleden verzonden is. De data heb je immers ook al in je normale database.


Als je dan toch een archief van brieven wil aanhouden dan kan je die brieven ook geanonimiseerd opslaan met een verwijzing naar de juiste database entry waar wel de volledige data staat.


Als je dit soort data in deze hoeveelheden opslaat met volledig ontoereikende beveiliging dan heb je als bedrijf geen bestaansrecht meer.
Het roept in ieder geval vragen op waarom dergelijke dat niet versleuteld is op zijn minst.

De data is zeker nodig in de medische wereld. BSN, patiënt ID, geb. datum en Naam/Achternaam zijn toch wel minimum wat je nodig hebt om goede zorg te leveren en te identificeren.

ik denk dat we echt naar een patiënt afhankelijk encryptie moeten gaan waarbij enkel de patiënt kan ontsleutelen via B.v. Sms code. Het zal nooit 100% waterdicht zijn maar toch.

(Deels) ongerelateerd: ik wilde een bootje huren om met gezin een dagje op water te zitten. Of ik even foto van ID/PP wilde uploaden. DACHT HET NIET. Opmerking geplaatst dat ik geen kritische identificatie gegevens deel via een niet gevalideerd mogelijk onveilig systeem/web pagina en dat ik me ter plekke visueel identificeer.

[Reactie gewijzigd door phoenix2149 op 18 augustus 2025 11:34]

"Er lijkt een soort verzameldrang van data te zijn bij bedrijven"
Correct, dat is al jarenlang zo. Toegestaan volgens de AVG. Daarnaast treedt de AP toch niet op, veel bedrijven (hoi DPG Media) houden zich niet aan de wet (of erger dagen je uit om maar naar de rechter te stappen). Het heeft toch geen gevolgen.
Behalve dan wanneer je gehackt wordt. Dat levert enkel wat tijdelijk slechte publiciteit op, maar daar blijft het dan ook bij. Let maar op, directie gaat nu ook weer geen enkele verantwoording nemen.
Dit is uitgebrei bij de voorgaande berichten over dit onderwerp besproken.

In het kort is het een wettelijke verplichting. Behalve de lek zelf valt dit laboratorium niets te verwijten.
Je zult phishing mails (in het Engels) van Nova in ieder geval makkelijk kunnen herkennen! Al is dat misschien niet hun line of business!
Hoezo in het Engels?

Ik heb binnen 10 minuten en volledig geloofwaardige brief gemaakt in elke taal die je wil met behulp van AI.
Ik denk dat @Master FX het heeft over de erbarmelijke kwaliteit van het Engelstalige bericht van de crimineel in kwestie die het bericht getypt heeft.
Goed punt.


Denk overigens dat die met opzet zo slecht is geschreven. Er zitten toch wel wat inconsequente fouten in die mij niet zo zinnig overkomen.
Heel goed mogelijk maar het kan toch ook iemand zijn die het geen bal interesseert hoe dit opgesteld is als de boodschap maar duidelijk is en dat is maar net het geval op bepaalde punten.
Nova verkoopt de data aan degene, die er iets mee wil doen, bijv. fishing mails versturen. Je krijgt ze dus in ieder geval niet van Nova.
Als ik het dus goed begrijp is er al een meervoud aan miljoenen betaald?

En nu bied een darkweb koper 100k aan BTC en moet het slachtoffer dat nog even evenaren/overtreffen anders word de data geleakt?
Bijna 1,1 miljoen euro met de huidige bitcoinprijs.
98k (euro) aan BTC, niet 98k BTC.
edit:
oh, de koers in het artikel klopt niet? Inderdaad 11 BTC is een miljoen euro, excuus :)


On topic; het verbaasd mij niks dat zo'n club als dit er meer geld probeert uit te persen. Ik snap niet waarom er in de eerste instantie al betaald is. Het enige wat ik mij kan bedenken is om te voorkomen dat de data (nog) eerder op staat ligt. Want verloren is het sowieso. Het is sowieso al een gigantisch data lek.

[Reactie gewijzigd door keranoz op 18 augustus 2025 09:29]

11 BTC x €98K = bijna €1.1 miljoen
De eis is 11 Bitcoin. Dat is ruime een milioen.
Zo werkt afpersing. Het slachtoffer betaald maar dan is het niet klaar. Men blijft afpersen tot er werkelijk niks meer te halen is.

Niet voor niets stelt luidt het advies om niet te betalen. Maar ja, bedrijven doen het toch dus wordt de afpersingsbranche groter en groter.
Waarom betalen we in hemelsnaam aan criminelen? Hiermee houden we deze ellende toch alleen maar in stand?!
Bor Coördinator Frontpage Admins / FP Powermod @Referix18 augustus 2025 09:37
Waarom betalen we in hemelsnaam aan criminelen? Hiermee houden we deze ellende toch alleen maar in stand?!
Ken jij een andere manier om de publicatie van reeds gestolen data alsnog tegen te gaan? Welke keuze heb je in dit geval nu eigenlijk echt wanneer er zeer gevoelige medische data is gestolen? Ik ben benieuwd. Het is een erg lastig dilemma.
Voor de diefstal was er een dilemma, investeren in goede beveiliging of niet.

Er is nu geen manier meer om publicatie tegen te gaan. Er is daarom ook geen dilemma meer. Dat bedrijf is nu gewoon de sjaak. Het kalf is verdronken en nu is het te laat om de put te dempen.
Niet alleen is dat geen dilemma, je moet gewoon investeren in beveiliging, maar het is ook niet correct om te zeggen dat investeren in beveiliging dit soort van aanvallen altijd zal voorkomen. Met voldoende tijd en middelen geraak je overal binnen.

En er is wel degelijk een manier om publicatie tegen te gaan: betalen.
En er is wel degelijk een manier om publicatie tegen te gaan: betalen.

Dat biedt geen enkele garantie tegen publicatie.
Zonder betalen is de kans 100% dat er gepubliceerd gaat worden.
Met betalen bestaat er altijd een kans dat er niet gepubliceerd wordt.
Bor Coördinator Frontpage Admins / FP Powermod @veltnet18 augustus 2025 10:24
Voor de diefstal was er een dilemma, investeren in goede beveiliging of niet.
Dat is ook een dilemma (of eigenlijk niet gezien zorgbedrijven gewoon wettelijk verplicht zijn het eea goed te regelen) maar zelfs goede beveiliging is niet onfeilbaar.
Dat bedrijf is nu gewoon de sjaak.
En met het bedrijf vele (zelf indirecte) klanten. Daar vind ik wel wat van. Het gaat om een kwetsbare groep waarvan de data is gestolen.

[Reactie gewijzigd door Bor op 18 augustus 2025 10:25]

Klopt maar er is 0 garantie dat de hackersgroep nu wel daadwerkelijk de data van hun servers verwijderd. Wat houdt de hackergroep tegen zowel de 11 bitcoin te ontvangen van het bedrijf en de potentiële koper? Waarom 11 bitcoin als ze nu makkelijk 22 bitcoin kunnen krijgen? Van Clinical Diagnostics en de potentiële koper.

Het is zeker een kwetsbare groep en daarom had Clinical Diagnostics de boel beter moeten beveiligen. Betalen is geen goede optie omdat je dan het signaal stuurt dat het goed geld verdiend om medische instellingen te hacken en je hebt gene garantie dat Nova zich wel aan de deal houdt.
Voor de diefstal was er een dilemma, investeren in goede beveiliging of niet.
Er is geen enkele ITer, expert of bureau dat je de garantie geeft dat je niet gehacked kan worden. Iedereen en elke bedrijf kan slachtoffer worden. Wat kan je doen tegen een kwetsbaarheid die nog niet bekend is? Ik zou het niet weten, jij wel?
Voor de diefstal was er een dilemma, investeren in goede beveiliging of niet.
Jij doet hier alsof het de keuze was tussen investeren in goede beveiliging of een leuk personeelsfeestje.

Los van de vraag of dit überhaupt te voorkomen was geweest met extra geld is het meer het dilemma tussen investeren in extra beveiliging of het vervangen van een server die al tijden problemen geeft; tussen investeren in extra beveiliging of een ICT-vacature invullen; tussen investeren in extra beveiliging of verouderde en lekkende sanitair renoveren; tussen investeren in extra beveiliging of labapparatuur aanschaffen die nodig is om omzet te genereren; tussen investeren in extra beveiliging of de luchtbehandeling vervangen die niet meer aan de nieuwste specificaties voldoet; etc. etc.?
De overheid stelt speciale eisen aan de opslag van dit soort persoonsgegevens. Als je daar niet aan kunt voldoen dan moet je er niet aan beginnen. Dit is geen keuze maar een wettelijke eis waar je aan moet voldoen.
Je kan het ook omdraaien natuurlijk.

Als er nooit betaald wordt, dan loont het niet meer om moeite te steken in deze hacks.
Dan zoeken ze beter iets anders.

Als er soms betaald wordt, dan loont het wel, en doen ze vrolijk verder.


Los daarvan: wat verstaat men onder "zeer gevoelige medische informatie"?
En wie kan daar wat mee doen?
Ik veronderstel dat de meeste van die dossiers zeer mager zullen zijn. Mr X had een teenschimmel vorig jaar. Mevr Y had borstkanker.
Wat ben je met deze informatie?


Ik had een teenschimmel vorig jaar? So what?
Als er nooit betaald wordt, dan loont het niet meer om moeite te steken in deze hacks.
Als er nooit betaald wordt loon het verkopen aan andere partijen waarschijnlijk nog . Die data kan vervolgens worden gebruikt om bv klanten af te persen etc.
Ik had een teenschimmel vorig jaar? So what?
De data in deze set lijkt van een andere orde te zijn. Daarbij bevat de set persoonsgegevens die niet zouden moeten lekken en welke gebruikt kunnen worden voor bv gerichte phising, (pogingen tot) identiteitsfraude etc.
Geen enkele data zou moeten lekken, maar (zoals we allemaal ondertussen wel weten) is dat een utopie.

"Niet of, maar wanneer"

Vaak zijn de gaatjes waar dit soort spul door lekt nog niet eens bekend, en dan wordt het eea natuurlijk een stuk moeilijker.

[Reactie gewijzigd door Sine op 18 augustus 2025 11:45]

Als er nooit betaald wordt, dan loont het niet meer om moeite te steken in deze hacks.
Dan zoeken ze beter iets anders.
Maar er wordt sowieso WEL betaald, is het niet door de club die zijn data heeft laten stelen is het wel door een ander(e crimineel)...

En als er echt niet betaald wordt publiceren ze het gewoon en ligt het alsnog op straat, al is het maar als les voor de volgende die ze willen afpersen duidelijk te maken dat die gegevens enkel en alleen 'prive' blijven als je wel betaald.
En daarna voor de derde keer betalen? Afpersing stopt niet vanzelf.
Bor Coördinator Frontpage Admins / FP Powermod @wiseger18 augustus 2025 12:40
Als dat zo was zouden alle ransomware slachtoffers waarbij data is buitgemaakt continue afgeperst worden. De praktijk wijst anders uit.
De praktijk is dat er een enorme criminele handel in data is en niemand weet waar al die data vandaan komt.

Deze keer is er veel publiciteit waardoor we horen dat er voor de tweede keer betaald moet worden. Hoe vaak gebeuren dat soort zaken zonder dat we er van horen?

We weten maar weinig van de criminele praktijk. Maar één ding staat vast, criminelen zijn zijn onbetrouwbaar. En dat blijkt maar weer eens, er is voor niets betaald.
In theorie, helemaal mee eens. Maar in de praktijk, waar moet nu tussen gekozen worden, OF heel veel Nederlanders benadelen door hun (zeer gevoelige) data in de verkoop te zien gaan OF principieel niet betalen?

Ik denk dat er weinig begrip is in de samenleving als ze bij hun principes blijven.

Wel hoop ik dat hier echt gevolgen voor gaan komen voor de bestuurders, dit moet direct voor hun gevolgen gaan hebben, flinke boete, beroepsontzegging en wellicht een tijdje achter de tralies. Alleen dan schrikt het af en krijgt dit onderwerp voldoende focus in de management teams.
Het probleem is dat een onethische hackergroep niet te vertrouwen is dat ze daadwerkelijk de gegevens verwijderen na betaling.. Wat weerhoudt ze om zowel 11 bitcoin te ontvangen van Clinical Diagnostics & de koper? Om al zo'n bedrijf te targetten laat zien dat ze geen morelen hebben.
Uiteraard heb je nooit de 100% garantie, maar tegelijkertijd gooien ze hun eigen ramen in als ze niet voldoen aan hun eigen voorwaarden, want dan betaald het volgende bedrijf niet...

Het verleden laat ook wel zien dat ze zich eigenlijk wel aan hun woord houden, hoe tegenstrijdig dat ook is met hun illegale acties!

[Reactie gewijzigd door watercoolertje op 18 augustus 2025 12:11]

Ze vragen gewoon voor de tweede keer geld. Je kan criminelen niet vertrouwen. Doorverkopen doen ze sowieso, alleen dan zonder publiciteit.

Een bedrijf betaald om reputatieschade te voorkomen, niet om de data geheim te houden.
Wel hoop ik dat hier echt gevolgen voor gaan komen voor de bestuurders, dit moet direct voor hun gevolgen gaan hebben, flinke boete, beroepsontzegging en wellicht een tijdje achter de tralies. Alleen dan schrikt het af en krijgt dit onderwerp voldoende focus in de management teams.
Geldt dit voor iedereen die toevallig bestuurder is van een organisatie waarbij dit gebeurt?
Bijvoorbeeld wanneer dit het gevolg is van beslissingen van een voorganger?
En moet die bstuurder dan ook voldoende ICT-kennis hebben om te kunnen bepalen dat zijn ICT-deskundige misschien wat voorbarig is wanneer deze zegt dat de risico's voldoende zijn afgewend?

Natuurlijk is een bestuurder verantwoordelijk voor alles dat er in een bedrijf gebeurt tijdens zijn bestuur. Maar wanneer je een bestuurder zwaar wilt gaan straffen voor zaken waar hij geen directe invloed op heeft, krijg je gewoon geen capabele bestuurders meer voor een bedrijf waar mogelijk ergens wat fout zou kunnen gaan. (Zo'n beetje als wat er nu in de politiek geburt: Iedereen met een beetje verstand van zaken en een beetje eigendunk blijft er zo ver mogelijk van vandaan)
Deels ligt de verantwoording bij de domein specialisten, maar een belangrijk aandeel heeft de bestuurslaag en dat is de toon en cultuur zetten dat dit onderwerp goed gedaan wordt. Vaak genoeg weten de specialisten prima dat er zaken niet op orde zijn, maar die door de organisatie structuur/cultuur niet aangepakt worden.

Een bedrijf dat aangevallen wordt maar alles via het boekje op orde heeft, tja dat is het risico van het vak. Maar een bedrijf dat slachtoffer wordt door nalatigheid is een heel ander verhaal.

En ja ik vind dat je best wat mag verwachten van bestuurders/c-level en dat naast de beloning in goede tijden, er ook persoonlijk impact moet zijn in zware tijden. Te vaak komen de verantwoordelijke weg met een ontslag (met handruk) en that's it. Dan mag de maatschappij vervolgens met de gevolgen dealen op kosten van de belastingbetaler.
Maar je gaat dus niet in op de nadelen van zo'n 'Barberte moet hangen' cultuur.
Toon en cultuur worden zelden gevormd tijdens de bestuurstermijn van één bestuurder. Waar haal je nog capabele bestuurders vandaan wanneer ze zwaar afgerekend kunnen worden op fouten van hun voorganger?
Makkelijk praten als jouw medische gegevens er niet in staan..
Hoe gaat iemand, terwijl je weet de politie zit erachter aan, 1,1 miljoen betalen voor wat medische data. Hoe gaat die geheime koper daar ooit significant veel geld mee verdienen dan? Dit zijn serieuze bijdragen. Lijkt me daarom bullshit over dat er een spontane koper is opgedoken.
Bor Coördinator Frontpage Admins / FP Powermod @FrostHex18 augustus 2025 09:38
Dat werkt o.a. via crypto (waar de hele ransomware wereld zo ongeveer op draait) en via het darkweb waar de data wordt verhandeld.
Ik wacht op de reactie van de crypto-adepten die zeggen dat je de transacties allemaal kan volgen en er niks schimmigs aan is. Kom op jongens, met jullie transacties creëer je de liquiditeit waar deze transacties op meeliften. Dus doe eens even opsporen.
Ja dat snap ik. Ik bedoel hoe wil je hiermee, als koper, geld gaan verdienen (en dan niet 1k, 10k, 100k maar in de miljoenen) terwijl de politie ook nog eens achter je aan zit. Lijkt me daarom een bullshitclaim. Het gaat hier niet om wachtwoorden tot bankaccounts oid.
Nee, maar wel BSN nummers waar je toch wat ongein mee kunt uithalen.

Maar dan nog, wat je met zo'n bulk gaat aanvangen? Ik zit niet in die business ;)
Fraudehelpdesk ziet schade bankhelpdeskfraude stijgen naar bijna 53 miljoen - Security.NL

Met NAW en geboortedatum komt zo'n nepbankmedewerker al snel geloofwaardig over bij de gemiddelde Nederlander. Lijkt me ook moeilijk om als rechercheur dit aan deze specifieke dataset te koppelen aangezien we al tig NAW lekken hebben gehad.
De kopers van deze informatie zijn ook criminelen die denken dat ze zich genoeg hebben ingedekt om niet door de politie gepakt te worden. (Bv. doordat ze in een buitenland zitten dat niet graag samenwerkt met de Nederlandse politie. Of gewoon omdat ze denken dat ze criminele meesterbreinen zijn, een illusie waar zelfs de meest achterlijke crimineel vaak last van heeft.)

Het eerste dat er bij mij op komt, dat je met de medische gegevens van een half miljoen Nederlanders kan doen is verzekeraars afpersen. Wanneer er gegevens over de verzekeraar in de data zit, filter je per verzekeraar alle dat. Vervolgens stuur je die naar de verzekeraar en vraag je een X bedrag om te voorkomen dat je bekend maakt dat je die gegevens bij een hack van die verzekeraar hebt buitgemaakt.
Natuurlijk is die verzekeraar niet gehackt, maar wanneer ik die gegevens publiceer en een aantal slachtoffers op de lijst zeggen dat ze inderdaad bij die maatschappij verzekerd waren, is er niemand meer die dat gelooft. Dus schat ik in dat een verzekeringsmaatschappij misschien wel bereid is om wat te betalen om hun reputatie niet te laten beschadigen.
En dit is wat ik zo kan bedenken. Wie weet waar iemand anders op kan komen, die meer kennis heeft van wat bepaalde informatie waard is.
Een idee is om dit soort ransomware/chantage betalingen wettelijk te verbieden en strafbaar te stellen.
Dan worden in Nederland gevestigde bedrijven minder aantrekkelijk voor afpersers.
Dan verkopen ze de data toch gewoon aan de hoogste bieder?
Misschien. Leuren met de gestolen data en meer transacties maken deze criminelen wel zichtbaarder en kwetsbaarder.

En kopers en bezitters van gestolen data moeten genadeloos vervolgd en gestraft worden.
Hoe zouden deze !$@#jes zijn uitgekomen bij deze zorgverlener? Toevallig dat een van de werknemers op een linkje heeft geklikt of zouden ze doelbewust deze organisatie hebben aangevallen? Wellicht kan die wetenschap helpen bij het opsporen van die lui.

Ik hoop dat ze die gasten kunnen pakken. Iemand die zo gewetenloos met mensen omgaat, mag wat mij betreft een flinke straf krijgen.
Daar is al over gespeculeerd hier: WvdL0 in 'Clinical Diagnostics doet nog onderzoek naar cyberaanval medische onderzoeken'

Het is niet zo heel moeilijk de hele IPv4 space te scannen op zoek naar ongepatchde Citrix servers. Voordeel is ook dat je meestal bij 'high value' doelen uitkomt, want niemand zet Citrix voor z'n hobby site.
Als bovenstaande analyse klopt is het puur laks updatebeleid en gebrek aan aanvullende security wat deze hack mogelijk maakte.
en niet te vergeten een stel gewetenloze lui, die niet vonden dat dit te ver ging.
Tsja, misschien vinden ze dit ook helemaal niet leuk maar willen ze ook graag eten.
Of worden ze onder druk gezet om dit te doen. Of moedigt hun overheid dit aan omdat ze zo tegen het 'slechte westen' vechten.
Het is vrij irrelevant over de moraliteit van de plegers te praten omdat dat geen enkele impact op oorzaak of gevolgen heeft. De oorzaak is imo meer 'gelegenheid maakt de dief' geweest als er een ongepatched systeem aan het internet heeft gehangen.
Onderdeel van Eurofins, een bedrijf met een geschiedenis op dit gebied die doet vermoeden dat ze de beveiliging niet op orde hebben.
Je kunt niet zeggen dat Eurofins niet gewaarschuwd was voor hackers. In 2020 wijdde Martin [Oprichter en bestuurder] zijn openingszin in het jaarverslag aan een cyberaanval op zijn laboratoria in het Verenigd Koninkrijk. De „criminele cyberaanval” van 2 juni 2019 had het bedrijf 130 miljoen euro van zijn winst gekost.
Bron: https://www.nrc.nl/nieuws/2025/08/17/moederbedrijf-van-gehackt-laboratorium-is-geen-kleine-club-je-zou-verwachten-dat-ze-hun-beveiliging-op-orde-hebben-a4903279
Zolang het geld oplevert blijft dit gebeuren natuurlijk.
Precies dit!

Vandaag 1 miljoen euro, volgende maand wederom en de maand daarna wederom... En zie hier, het afpersingsabonnement is geboren!

Daarnaast kunnen ze als ze dit geld binnengeharkt hebben ook nog eens 500.000 Nederlanders individueel gaan afpersen. Via AI even 500.000 afpersingsmails versturen met een dwangsom van 10.000 euro of je medische gegevens belanden op het internet!

Ik zie in de toekomst heel veel individuele schadeclaims naar de leden van de directie / raad van bestuur / raad van toezicht (individueel) van dit onderzoekslab komen van alle individuele slachtoffers, al dan niet in combinatie met celstraffen voor deze mensen. Dit gaat nog heel groot worden de komende jaren!

Wat een gigantische aanfluiting ook, een giga-database van 500.000 Nederlanders met al deze medische informatie en dan niet annonimiseren / pseudonimiseren... Dit is bijna uitlokking voor een hack...
Ik vind het apart dat de hackers na betaling toch nog door gaan. Hackers hebben, hoe bizard dit ook klinkt, een hoge reputatie in betrouwbaarheid.

Want, als er eenmaal bekend wordt dat hackers alsnog de gegevens vrijgeven, dan gaat echt niemand meer betalen. Dat is een soort 'honor among thieves', namelijk dat je dat nooit doet, anders stort hun business model in.

Op dit item kan niet meer gereageerd worden.