Ongehoorde nalatigheid faciliteerde hack ziekenhuisorganisatie

ongehoordeIn februari 2024 bleek in de V.S dat bij de grote zorgorganisatie Change Healthcare sprake was van een forse gijzelsoftware-aanval met daarbij diefstal van veel data. De verantwoordelijke voor de hack bleek de Russische ALPHV/BlackCat groep uit Rusland. Ze  stalen 6 TeraByte aan persoonlijke-/zorg-data van enkele honderd duizenden burgers. Uit een recente getuigenis van de CEO van het overkoepelende United Healthcare voor een Congres-commissie bleek men wel heel slordig omging met de toegang tot de zorgdata. De hackers konden de ICT-systemen van de zorgorganisatie binnendringen door gestolen inlogdata van gebruikers van een Citrix-server. Het is te lezen in het online tech-magazine The Register. Een Citrix-server maakt het mogelijk op afstand te werken. Ook in Nederland kennen zorgorganisaties dit soort servers. Men bleek geen twee-/multi-factor-authenticatie bij het inloggen op die server ingesteld te hebben. Bovendien bleek het ICT-systeem van de zorgorganisatie niet gesegmenteerd te zijn.

Multifactor-authenticatie

In het huidige cyberlandschap geldt het als een doodzonde als men de toegang tot gevoelige delen van ICT-netwerk mogelijk maakt met alleen maar een inlognaam en wachtwoord. Op zijn minst moet er sprake zijn van twee- liefst multi-factor authenticatie. Een voorbeeld van een twee-factor authenticatie is als je na het invoeren van inlognaam en wachtwoord separaat een code via de smartphone ontvangt die je moet gebruiken om in te loggen. Multi-factorauthenticatie (MFA) is een methode om de authenticiteit van een gebruiker te verifiëren (authenticatie) op meer dan één enkele manier (met behulp van meerdere factoren). Door meerdere factoren te combineren kan de beveiliging bij toegangscontrole worden aangescherpt. Het woorddeel “multi” wordt vaak vervangen door het aantal, bijvoorbeeld tweefactorauthenticatie.

Segmentering

Een ICT-netwerk indelen in segmenten met tussen die segmenten extra beveiliging door middel van firewalls is én van de methoden om het diep doordringen van hackers in ICT-systemen moeilijk zo niet onmogelijk te maken.

Het is eigenlijk hetzelfde als bij grote vaartuigen waarbij compartimentering voor het voorkomen van het zinken van het schip zorgt. Mocht een aanvaller toch binnen weten te komen dan kan het segmenteren van uw netwerk de gevolgen van een aanval beperken. Segmenteren betekent, zo zegt ons Nationaal Cyber Security Centrum, dat een netwerk in meerdere zones wordt verdeeld met firewalls ertussen. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Netwerksegmentatie is een maatregel die de gevolgen van verschillende cyberaanvallen kan beperken. Hanteer het uitgangspunt dat netwerkverkeer in het algemeen niet toegestaan is en voeg vervolgens specifieke firewallregels toe voor verkeer dat wel nodig is.

Hardening

Er is naast segmentering van netwerkdelen ook nog een andere methode om aanvallen te voorkomen dan wel aanvalsgevolgen te verminderen. Dan gaat het om het begrip “hardening”. Het doel daarvan is het aanvalsvlak te verkleinen. Eenvoudig gezegd wil hardenen zeggen dat men alles uitzet, dicht zet of verwijdert dat de organisatie niet nodig heeft. Hardenen kan door verwijderen, uitschakelen, onbereikbaar maken of beperken van functionaliteiten en communicatie-openingen(poorten). Voorbeelden zijn technische services, communicatie-protocollen, software, gebruikersaccounts en systeemdiensten.

Doodzonden

Het niet implementeren van twee-/multifactor authenticatie op een kritische toegangsserver en het niet implementeren van segmentering(compartimentering) van een ICT-netwerk kan je zien als een doodzonde in het kader van cybersecurity. Gemakzucht kan je als één van de oorzaken zien. Ook kan het komen door een ongebreidelde uitbreidingsdrift van organisaties. Nieuwe onderdelen koppelt men dan bestaande netwerken zonder goed na te denken over adequate cybersecurity. Met de gedachte: “dat komt later wel”.

In de financiële wereld heeft het preventief handelen in de zin van afdoende cybersecurity-maatregelen altijd grote aandacht gehad. In de zorg loopt men daar nogal eens op achter.

Bovengenoemd voorbeeld speelde zich af in de V.S Het is absoluut niet uitgesloten dat in Nederland in de zorg ook op afstand gewerkt wordt zonder twee-/multi-factor-authenticatie en netwerken onvoldoende gesegmenteerd zijn. Men moet er altijd op bedacht zijn dat hackers altijd op zoek zijn naar de zwakke plekken in ICT-systemen.

W.J. Jongejan, 13 mei 2024

Afbeelding van Pete Linforth via Pixabay