Achterdeur wagenwijd open
Ziekenhuizen, instellingen voor bejaardenzorg, een zorgverzekeraar… Ze staan allemaal op de lijst van Matthijs Koot, cyberbeveiliger bij Secura en gastonderzoeker aan de Universiteit van Amsterdam. Koot houdt bij welke organisaties de digitale achterdeur wagenwijd open staat. “Maandag waren het er nog 450, nu nog zo’n 200”, vertelt hij. “Het viel me al langer op dat er relatief veel zorginstellingen tussen zitten. Hoeveel precies weet ik niet, want ik houd het niet bij per sector, maar het zijn verontrustend veel.”
Zorgproducten
Het lek waar Koot naar speurt, zit in twee systemen van het Citrix. Dat bedrijf biedt onder meer speciaal op de zorg gerichte producten aan. Veel Nederlandse zorgaanbieders maken daar gebruik van. Zo ook het Medisch Centrum Leeuwarden dat woensdag al het dataverkeer met de buitenwereld afsloot na een aanval.
Maatregelen
Op 17 december vorig jaar meldde Citrix dat het met een beveiligingslek te kampen had en dat klanten maatregelen moesten nemen. “Dat is op grote schaal niet gedaan”, weet Koot. “Daardoor kunnen criminelen zo naar binnen wandelen.”
Diefstal en gijzeling
Criminele hackers kunnen vervolgens gegevens stelen of gijzelsoftware installeren. “Dat zijn de twee grootste gevaren, maar het kan ook simpelweg gaan om sabotage”, weet Koot. Hackers hoeven niet per se gericht een bepaalde organisatie in het oog te hebben, vaak maakt de gelegenheid de dief. Koot: “Dit type aanval gebeurt ook geautomatiseerd.”
Waarschuwing
Citrix komt pas eind deze maand met een oplossing voor het lek, dus tot die tijd zijn de systemen kwetsbaar. Het Nationaal Cyber Security Centrum beoordeelde de ernst van de situatie deze week al met een 9,8 op een schaal van 10. Waarom organisaties niet hebben ingegrepen, is moeilijk te zeggen. Koot: “Misschien is het uitstelgedrag of misschien vinden bijvoorbeeld zorgorganisaties dat ze wel wat belangrijkers te doen hebben.”
Verdachte types
Passende maatregelen treffen is volgens de beveiligingsdeskundige niet eenvoudig. “Je kunt zogeheten mitrigerende maatregelen nemen, daar heb je wel wat technische kennis voor nodig. Als je de configuratie aanpast, dan filter je binnenkomende http-requests.’ In lekentermen: de deur kan tijdelijk niet meer op slot, maar je kunt nog wel kijken of er geen verdachte types binnenkomen.
Logboeken naspeuren
Wie nu de beveiliging nog niet op orde heeft, moet volgens Koot niet alleen alsnog regelen maar er ook rekening mee houden dat het al te laat is. “Je moet logboeken naspeuren op aanvallen”, adviseert hij. “Het is belangrijk om goede logs bij te houden en die ook extern op te slaan.” Op die manier is de kans groot dat je er in ieder geval achter komt dat er is ingebroken. “Het ligt niet voor de hand dat aanvallers meteen hun sporen hebben gewist, maar het valt ook niet uit te sluiten.”