Bizar malware-incident in ziekenhuis dat eigenlijk overal mogelijk is
Een bizar incident met het plaatsen van malware op een tweetal ziekenhuiscomputers van het St. Anhony Hospital in Oklahoma(V.S.)deed zich voor in augustus 2024. De Nederlandse website Security.nl maakte daar op 18 april melding van Recent, op 14 april 2025 bleek een arrestatiebevel uitgevaardigd te zijn tegen de dader. In augustus 2024 doorzocht een man, die aangaf een familielid te bezoeken in het ziekenhuis enkele ziekenhuisruimten en verschafte zich daar toegang tot twee werkstations. Naar verluid ging het om een computer die in gebruik was door de medische staf en éen voor bezoekers. Hij plaatste malware op één van de PC’s. Dat bleek software te zijn die elke twintig seconden een screenshot maakte en doorstuurde naar een specifiek IP-adres buiten het ziekenhuis. Het onbeheerd achterlaten van een werkstation zonder uit te loggen maakte dit mogelijk. Juist dat aspect komt in de berichtgeving eigenlijk niet aan de orde.
Ontdekking
Binnen tien minuten raakte het ziekenhuispersoneel achterdochtig, en sprak de dader aan op zijn handelen. Men waarschuwde de beveiliging, wat leidde tot een forensisch onderzoek dat de aanwezigheid van de kwaadaardige software bevestigde. Men ontdekte dat er geen patiëntgegevens het ziekenhuis verlaten hadden. Bizar was dat de dader de CEO van een lokaal cybersecurity-bedrijf bleek te zijn. Dat bedrijf houdt zich bezig met digitaal forensisch onderzoek en incident-respons.
De dader heeft nu twee aanklachten aan de broek hangen wegens het overtreden van de Computer Crimes Act van Oklahoma. Uit de Amerikaanse berichtgeving blijkt dat de dader nogal psychiatrische problemen lijkt te hebben. Hij zei dat hij ten tijde van het gebeuren “afwisselend in en uit een psychose was”.
Waar gaat het in wezen om?
De modus operandi van de dader is alleen mogelijk als werkstations/computers in een zorginstelling onbeheerd zijn en de ingelogde medewerker bij het onbeheerd laten niet (tijdelijk) uitlogt. Ook kan het gebeuren dat de werknemer uitlogde uit het systeem maar op een duidelijk zichtbare plaats in de nabijheid van het werkstation de inlogcode zichtbaar heeft staan, bijv. op een post-it-briefje. En er bovendien geen sprake is van een twee of multifactor-authenticatie.
Naar eigen zeggen had de dader door even de muis te bewegen de screensaver uitgeschakeld en zo kunnen zien dat het werkstation zich nog in de actieve staat bevond.
Cyber-hygiëne(1)
Omgaan met ICT betekent ook het hanteren van cyber-hygiëne. Daarbij gaat het niet alleen om soft- of hardware maatregelen maar absoluut ook om het managen van menselijk gedrag. Gemakzucht en het lastig vinden om bij korte afwezigheid van de werkplek tijdelijk uit te loggen bepalen de mogelijkheid voor ongeautoriseerde leiden om zich toegang tot een systeem te verschaffen. Het betekent ook dat als )(zorg)organisatie haar cyberhygiëne serieus neemt dat ze ook toezicht erop houdt door steekproeven en regelmatige audits.
NCSC
Het Nationaal Cyber Security Center brengt op haar website vijf basispunten van digitale weerbaarheid onder de aandacht,
- Breng je risico’s in kaart
- Bevorder veilig gedrag
- Bescherm systemen, applicaties en apparaten
- Beheer toegang tot data en diensten
- Bereid je voor op incidenten
Menselijk gedrag
Het moge duidelijk zijn dat wat dit soort aanvallen mogelijk maakt gelegen is in het menselijk gedrag. Dat maakt dat dit soort voorvallen ondanks sterk cybersecurity-bewustzijn en cyberhygiëne toch mogelijk. Het verdient aanbeveling personeel herhaaldelijk/continu voor te lichten en te trainen in het beheer van de zorgdata van mensen die men aan hen toevertrouwde.
De geschetste malware-implantatie kan door menselijke zwakte in principe overal plaats vinden.
W.J. Jongejan, 2 mei 2025
Plaats een Reactie
Meepraten?Draag gerust bij!