Bevolkingsonderzoek Nederland wil samenwerking met gehackt lab hervatten
Bevolkingsonderzoek Nederland wil de samenwerking met het gehackte laboratorium Clinical Diagnostics hervatten, zo laat demissionair staatssecretaris Tielen van Jeugd, Preventie en Sport in een brief aan de Tweede Kamer weten. Uit onderzoek blijkt dat het lab de informatiebeveiliging niet op orde heeft. De tekortkomingen zijn zo ernstig dat Tielen hiernaar eigen zeggen van geschrokken is. "Clinical Diagnostics is nu op basis van het rapport aan de slag om de informatiebeveiliging op orde te brengen", aldus de bewindsvrouw. Hoe de hack kon plaatsvinden is nog altijd niet bekendgemaakt.
Een ransomwaregroep genaamd Nova wist vorig jaar juli toegang te krijgen tot het netwerk van Clinical Diagnostics, zo liet het medisch laboratorium uit Rijswijk zelf weten. De aanvallers wisten de persoonlijke en medische gegevens van een groot aantal mensen te stelen. Het ging om 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen. Naar aanleiding van het datalek besloot Bevolkingsonderzoek Nederland de samenwerking met Clinical Diagnostics tijdelijk op te schorten.
"Bevolkingsonderzoek Nederland is voornemens om met Clinical Diagnostics te werken aan hervatting van de samenwerking", schrijft Tielen in de brief aan de Tweede Kamer. Er zijn volgens de bewindsvrouw geen laboratoriums beschikbaar die het werk van Clinical Diagnostics kunnen overnemen. Daardoor zijn er volgens Bevolkingsonderzoek Nederland capaciteitsproblemen ontstaan en worden er nu vijftig procent minder uitnodigingen voor het bevolkingsonderzoek baarmoederhalskanker verstuurd.
Tekortkomingen informatiebeveiliging
Bevolkingsonderzoek Nederland heeft onderzoek laten uitvoeren naar de informatiebeveiliging bij Clinical Diagnostics. Het onderzoek moest inzicht geven in de stand van de informatiebeveiliging van het lab, om daarmee de veiligheid van de verwerking van bijzondere persoonsgegevens in relatie tot de dienstverlening aan Bevolkingsonderzoek Nederland te kunnen beoordelen. Het onderzoek bestond uit een analyse van het operationele proces, de it-systemen, datastromen en onderliggende it-infrastructuur van Clinical Diagnostics.Uit het onderzoeksrapport blijkt volgens Tielen dat op al die punten tekortkomingen bestaan. "Over de precieze onderzoeksbevindingen kan ik helaas niet meer specifieke informatie verstrekken, om reden dat dit tot openbaarmaking van gevoelige en vertrouwelijk verstrekte bedrijfsgegevens zou leiden. Het openbaar maken van gedetailleerde informatie over risico’s of gebreken in de informatiebeveiliging kan leiden tot risico’s op onrechtmatig gebruik van die gegevens door onbevoegden", laat de staatssecretaris weten.
Tielen zegt geschrokken te zijn van de geconstateerde tekortkomingen, maar begrijpt ook dat Bevolkingsonderzoek Nederland de samenwerking wil hervatten. "Uiteraard geldt dat Bevolkingsonderzoek Nederland de samenwerking met Clinical Diagnostics alleen dan kan hervatten wanneer de veiligheid van alle data van alle deelnemers onafhankelijk is vastgesteld. Tot die tijd zullen voor het bevolkingsonderzoek geen testen door dit lab worden geanalyseerd." De komende zes maanden zou het lab met de genoemde tekortkomingen aan de slag moeten gaan. Het is vervolgens aan Bevolkingsonderzoek Nederland om te beoordelen of Clinical Diagnostics de tekortkomingen heeft verholpen.
Ik vraag me af waarom the veiligheidslekken niet eerder gesignaleerd zijn; regelmatige controles vanuit de overheid zijn naar mijn mening op hun plaats. Maar als de nieuwe procedures goed doorgelicht zijn en goed bevonden, zie ik geen reden om Clinical Diagnostics verder uit te sluiten. Doe iedere twee jaar of zo een "verrassingsaudit", ook bij de concurrenten.
Lijkt ticketmaster wel.
Waarom niet bepaalde persoonlijke gegevens via een psuedoniem opslaan op een airgapped systeem??
Dus laborant vraagt nummer 38272942 op, dat is psuedoniem voor cliënt "Mark Zijnechtenaam" en wanneer die gegevens opgevraagd worden zal dat via een airgapped (offline) systeem gaan waar de daadwerkelijke namen opgeslagen zijn en gecorreleerd wordt met het pseudonieme nummer.
Goed idee?
En zo niet, zet een paar knappe koppen bij elkaar en se vogelen het wel uit... Als daar de wil voor is, zucht...
Quote:"Hoe de hack kon plaatsvinden is nog altijd niet bekendgemaakt."
En dan gewoon zeggen: Goed de storm is weer gaan liggen we gaan gewoon door.
De overheid heeft peop aan uw privacy.
Weer een gevalletje we doen alleen zaken met omdat het zo makkelijk gaat, zonder verder denken of rond te willen kijken.
Dus even een vraag: wat precies wordt er mee bedoeld dat Clinical Diagnostics "aan de slag" gaat?
Een nogal vage term die op vele manieren kan worden uitgelegd.
Denkt u werkelijk dat ze de boel qua veiligheid daarom op orde brengen?
Wie dat gelooft leeft nog in een sprookjeswereld.
Het is wachten op de volgende hack, let maar op.
regelt zich vanzelf toch. Het geld dat bespaart wordt kan weer ergens anders aan besteed worden.
Lijkt ticketmaster wel.
Waarom niet bepaalde persoonlijke gegevens via een psuedoniem opslaan op een airgapped systeem??
Dus laborant vraagt nummer 38272942 op, dat is psuedoniem voor cliënt "Mark Zijnechtenaam" en wanneer die gegevens opgevraagd worden zal dat via een airgapped (offline) systeem gaan waar de daadwerkelijke namen opgeslagen zijn en gecorreleerd wordt met het pseudonieme nummer.
Goed idee?
En zo niet, zet een paar knappe koppen bij elkaar en se vogelen het wel uit... Als daar de wil voor is, zucht...
Volgens mij worden die uitslagen minimaal 10 jaar bewaard.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?