Ransomwaregroep publiceert paspoorten artsen Gelderse oudereninstelling
Een ransomwaregroep die wist in te breken op de systemen van de Gelderse oudereninstelling Attent Zorg en Behandeling heeft de daarbij buitgemaakte paspoorten van artsen, verpleegkundigen en fysiotherapeuten op internet gepubliceerd. De aanval die vorige maand plaatsvond was het werk van de groep achter de Qilin-ransomware. De zorginstelling meldde via de eigen website dat het op vrijdag 17 februari te maken kreeg met "technische problemen."
In een verklaring stelde Attent Zorg en Behandeling dat de problemen waren veroorzaakt door een "groepering" die toegang tot het netwerk had gekregen, waardoor de zorginstelling geen toegang meer had tot de eigen it-systemen. Drie dagen na de aanval meldde de zorginstelling dat een behoorlijk deel van de systemen was hersteld. Ook was Attent Zorg en Behandeling sinds 20 februari weer telefonisch bereikbaar en kon het weer gebruikmaken van het cliëntendossier en het systeem voor financiën en personeel.
De Qilin-groep claimde dat het via een ongepatchte kwetsbaarheid toegang tot de systemen had gekregen en daar honderden gigabytes aan data had buitgemaakt. Om wat voor kwetsbaarheid het zou gaan is niet bekendgemaakt. De groep dreigde de gestolen data te publiceren tenzij de zorginstelling zou betalen. Dat heeft de groep nu deels via de eigen website gedaan, meldt RTL Nieuws. Naast paspoorten gaat het ook om salarisstroken, geheimhoudingsverklaringen en vertrouwelijke interne communicatie. Een deel van de paspoortkopieën is al tien jaar niet meer geldig, maar werd toch nog in de systemen van Attent Zorg en Behandeling bewaard.
"Ondanks dat deze situatie een behoorlijke impact heeft gehad op onze organisatie en alle betrokkenen, heeft het ons ook veel geleerd en inzicht gegeven in een wereld die ook u kan raken. Die opgedane kennis en ervaring willen we graag delen. Vooral omdat wij van mening zijn dat cybercrime in het huidige digitale klimaat verscherpte aandacht verdient", zo laat Attent Zorg en Behandeling over het incident weten. De instelling heeft het personeel ingelicht, alsmede melding gedaan bij de Autoriteit Persoonsgegevens en Inspectie Gezondheidszorg en Jeugd (IGJ).
Kansloos!
Hopelijk zorgen ze ervoor dat alle getroffen personen nieuw identiteits documenten op kosten van de zorginstelling kunnen aanvragen.
"Een deel van de paspoortkopieën is al tien jaar niet meer geldig..." dit zegt wat over hoe onzorgvuldig deze zorginstelling met j=je vertrouwelijke gegevens omgaat. Hun thema is : "Attent Zorg en BehandelingDichtbij en vertrouwd", ik denk het toch niet.
De wet op de loonbelasting schrijft voor dat je bij indienst treding een kopie moet verkrijgen en deze ten minste 5 jaar na uitdiensttreding moet bewaren.
niet alles met hoogopgeleiden te maken maar met intelligentie.
De wet op de loonbelasting schrijft voor dat je bij indienst treding een kopie moet verkrijgen en deze ten minste 5 jaar na uitdiensttreding moet bewaren.
Dat dacht ik ook, vooral na het lezen van
Ze zijn bij de salarisadministratie geweest en dus ook bij de paspoorten. De wet schrijft voor dat je dit in de administratie moet hebben. Er staat niet in dat ze actueel gehouden moeten worden. Je gaat het personeel niet verder lastig vallen als hun paspoort verlopen is. Wij zijn bij een belastingcontrole ook al eens gevraagd om deze documenten te tonen.
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht
Kansloos!
Kansloos? Ze zijn hier wettelijk toe verplicht. Werkgevers moeten bij indiensttreding van een medewerker een kopie opslaan van hun identiteitsbewijs. Als deze verlopen is hoeven ze niet naar een nieuw document te vragen.
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht
Degene die er niks aan kunnen/konden doen, zijn zoals gewoonlijk het slachtoffer met risico op identiteitsfraude.
https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht
Behalve gemakzucht bestaat er geen enkele goede reden om deze kopiën online te bewaren. Sterker, naast wat er nu gebeurd is, vergroot dat het risico op gerommel (integriteit) met die kopiën. Bewaar die kopiën gewoon in een fysieke kluis.
Ik begrijp niet dat de overheid, die zelf de absurde online authenticatie met een kopietje paspoort propageert, dit niet eerder heeft bedongen. Of heeft bedongen dat die kopiën ASAP aan de controlerende instantie(s) zouden worden overhandigd en niet meer ter plaatse (of in een wolk) bewaard.
Daarnaast beweert men dat er geen data is gelekt. Hoe weet men dat? Heeft men Microsoft gebeld?
Kansloos!
Ik hoop dat je de reacties op jouw comment nog eens door leest en de volgende keer even nadenkt voordat je deze niet bijdragende opmerking plaatst en je eens verdiept in de materie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.