De beveiliging van het medisch laboratorium Clinical Diagnostics voldeed op het moment dat het werd gehackt niet aan de wettelijk verplichte norm NEN 7510 voor informatiebeveiliging in de zorg. Het incident was mogelijk via een gehackt account dat via een remote desktopconnectie toegang kreeg tot de legacy-omgeving van het lab. Voor het account was geen multifactorauthenticatie (MFA) ingeschakeld. Dat meldt de Inspectie Gezondheidszorg en Jeugd (IGJ) vandaag, dat onderzoek deed naar de informatiebeveiliging van het lab.
Bij Clinical Diagnostics werden vorig jaar de persoonlijke gegevens van een groot aantal mensen gestolen. Het ging om 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen. Clinical Diagnostics betaalde de criminelen uiteindelijk losgeld om publicatie van de gestolen gegevens te voorkomen.
Tijdens de hack kregen aanvallers toegang tot gegevens in de legacy-omgeving. Deze omgeving zou worden overgezet naar een centrale omgeving. De data in de betreffende omgeving was echter nog niet overgezet naar de centrale omgeving. Uit extern onderzoek dat Clinical Diagnostics liet uitvoeren bleek dat de aanval is uitgevoerd via een gehackt gebruikersaccount. Met dit gebruikersaccount was via een remote desktopconnectie toegang verkregen tot de legacy-omgeving. Hoe de aanvallers toegang tot het account hebben gekregen was volgens Clinical Diagnostics niet te achterhalen.
Clinical Diagnostics liet de inspectie weten dat het gehackte account was beveiligd met een wachtwoord van zestien karakters. Voor het getroffen account werd op dat moment geen MFA gebruikt. Op de omgeving waarbinnen het account zich begaf zou volgens het medische lab wel MFA actief zijn geweest. Ook zou voor het gehackte account in het verleden MFA ingeschakeld zijn geweest.
Verder bleek dat Clinical Diagnostics geen onafhankelijke audit had uitgevoerd op informatiebeveiliging. Daarnaast had het bedrijf risico’s bij het verwerken van gegevens niet periodiek in kaart gebracht. "Zonder inzicht te hebben in die risico’s kon zij niet bepalen welke maatregelen nodig waren voor databeveiliging", aldus de IGJ. De Inspectie zegt dat het medische lab, zowel tijdens de hack als het inspectiebezoek, niet aan de norm voldeed.
"Gezien de grote omvang van de verwerking en de risico’s voor de persoonlijke levenssfeer van betrokkenen door de gevoelige aard van de gegevens, hadden Clinical Diagnostics LCPL en NMDL zich hebben moeten vergewissen van hun verantwoordelijkheid. De wettelijke plicht om te werken volgens NEN 7510 bestaat juist om dit soort risico’s te beperken", concludeert de IGJ. De inspectie heeft Clinical Diagnostics gevraagd om op korte termijn aantoonbaar te voldoen aan de NEN7510. Op basis van de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) kan de IGJ geen bestraffende maatregelen opleggen. De Autoriteit Persoonsgegevens kan dat wel op basis van de AVG.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
