Hamvraag Chipsoft-hack: hoe lang waren de hackers binnen?

Op 8 april 2026, publiceerde ik hier een artikel over de ransomware-hack bij ChipSoft. Dat bedrijft maakt een ziekenhuisinformatiesysteem(ZIS) met dezelfde naam, software voor huisartsen, maar ook software om patiënten hun zorggegevens bij ziekenhuizen in te laten kijken. Dat gaat om de zogenaamde ziekenhuisportalen. In het artikel stelde ik de vraag of ChipSoft wel de hele waarheid vertelde toen ze zei dat er “mogelijk” persoonsgegevens gestolen konden zijn. Dat suggereerde dat het geen zorgdata betrof. Zorgdata zijn bijzondere persoonsgegevens zodat het leek dat het bedrijf dat liever niet communiceerde. Daarna bleek toch dat hackers mogelijk zorgdata van huisartsen inzagen. Naar nu uit informatie van NOS blijkt, hebben de hackers ook mee kunnen kijken naar zorgdata op de zogeheten ziekenhuis-portalen. Dat zijn softwarematige voorzieningen waarmee de patiënt zijn zorgdata uit het ziekenhuis kan inzien. De vraag is hoe langen hoe diep, want dat bepaalt de omvang.  

Incident-respons niet verstandig

ChipSoft heft ervoor gekozen om geen directe opheldering te geven over de aard en omvang van de hack. Informatie over wat er gebeurde komt nu mondjesmaat via derden naar buiten. Openheid over een cyberaanval is cruciaal voor het informeren van betrokkenen en het versterken van de digitale weerbaarheid. Het delen van informatie helpt schade te beperken, vertrouwen te behouden en anderen te waarschuwen, terwijl het weigeren van openheid vaak leidt tot meer onzekerheid. Organisaties worden steeds vaker geadviseerd of verplicht om transparant te zijn over datalekken en hackincidenten. Het beeld dat klanten op deze wijze krijgen van het bedrijf is niet bepaald gunstig. ChipSoft lijkt te gokken op haar marktdominantie om hiermee weg te komen. De toekomst zal leren of klanten(ziekenhuizen huisartsenposten en huisartsen) niet van leverancier gaan veranderen als ze volledige omvang van de hack kennen.

Hack-mechanisme

Eerdere ransomware-hacks leren dat het blokkeren van de toegang slechts een deel is van de hele hack. Vaak zijn na het binnendringen in de systemen hackers in stilte actief om die systemen te verkennen. Vaak volgt daarna datadiefstal en als slotactie het vergrendelen van systemen. De hack van het Ierse Health Service Executive in 2021 is daar een voorbeeld van. Dat is de publiek gefinancierde, nationale, gezondheidszorgorganisatie aldaar.  Als gevolg daarvan ondervonden patiënten in heel Ierland lange tijd forse hinder daarvan. Daar waren de hackers zeker twee maanden in het systeem actief voor ze systemen vergrendelden. In een post-incident review door consultant PWC(PriceWaterhouseCoopers) noemde die HSE een “frêle” systeem. Ontbrekende kennis van cyberaanvallen en het niet hebben van adequate noodplannen zorgde voor nog meer ellende

Tijdsduur

Bij de HSE-hack ging het om een periode van enkele maanden waarin de hackers stilletjes het systeem verkenden alvorens ze toesloegen met datadiefstal en vergrendeling. De tijdsduur dat hackers bewezen in het systeem aanwezig zijn vanaf het moment van binnendringen is van wezenlijk belang voor de hoeveelheid data die gecompromitteerd zijn. De tijd die de hackers in de systemen doorbrachten bepaalt zoals eerder gezegd vaak ook de diepte tot waartoe men doordrong.

Vergoelijkend

Enigszins vergoelijkend schrijft NOS tech-verslaggever Joost Schellevis dat de hackers “mogelijk mee konden kijken met burgers” die hun zorgdata bekeken op het ziekenhuisportaal. Omdat dat portaal werkt met een voorziening waarvan de server bij ChipSoft zelf staat kunnen hackers die data in gezien/gekopieerd hebben.

Druppelsgewijze informatie  

Wat je bij de ChipSoft-hack ziet is dat er druppelsgewijs nieuwe brokken informatie over de aard en omvang van de hack via derden naar buiten komen. Dat is beslist geen goede zaak. Als ChipSoft een bedrijf zou zijn met een onberispelijk blazoen zou de incident-response op dit hack-incident het enige punt zijn. Het bedrijf heeft in de pers namelijk niet een erg gunstig track-record. In 2022 zond KRO-NCRV de documentaire “Dodelijke zorg” uit die vrijwel volledig over ChipSoft ging en haar  positie in de markt. Het is dan ook de vraag of de ChipSoft systemen niet erg “frêle“ zijn.

W.J. Jongejan, 16 april 2026

Afbeelding van Gerd Altmann via Pixabay

Waar komt het begrip “hamvraag” vandaan?

De hamvraag is ontstaan door de NCRV-radioquiz ‘Mastklimmen’ die van 1953-1957 werd uitgezonden. Het spel bestond uit 5 vragen, waarvan de eerste heel makkelijk was en de laatste erg lastig. De prijzen hingen in de mast en met elk juist antwoord kwam men weer een stukje hoger in de mast. Onderaan hing de prijs voor de makkelijkste vraag: een NCRV koekjestrommel. De hoofdprijs hing helemaal bovenin: drie hammen!