Onvoldoende compartimentering op gehackte zorgplatform CARENZORGT?

onvoldoendeOp 25 oktober 2002 raakte bekend dat een hacker volgens de politie enkele tienduizenden medische documenten had buitgemaakt bij een hack van het zorgplatform CARENZORGT. De hack vond plaats op 17 oktober en duurde van 11.08u  tot 13.32 uur. Ondanks de relatief korte duur kon de dader toch het genoemde grote aantal medische  documenten buitmaken. Op de website Security.nl staat een bericht van 2 november 2022 waarin achttien zorginstellingen vermeld staan die aangeven dat het om documenten van hun cliënten gaat. Het varieert van GGZ-instellingen, instellingen voor mensen met een geestelijke beperking tot organisaties van verpleeg- en verzorgingshuizen. Een heel scala van verschillende zorggebieden. Het in een betrekkelijk korte tijd buitmaken van veel gegevens wijst op makkelijk in de breedte kunnen doorspitten van de database van het zorgplatform. De vraag rijst dan ook bij mij of er dan niet sprake was van onvoldoende compartimentering binnen systemen waarop CARENZORGT draait. .

Compartimentering

Eén van de methoden om de impact van een hack van ICT-systemen te beperken is naast goede cybersecurity-software ook het compartimenteren van de netwerken waaruit een ICT-systeem bestaat. Eenmaal binnengedrongen moet een hacker dan telkens opnieuw obstakels overwinnen om zijn jachtgebied te vergroten. Dat kost tijd en moeite voor de hacker en zal bij goed ingestelde detectiesoft- en hardware verdacht netwerkverkeer laten zien. Daardoor kan een hack vroegtijdig opvallen en gestopt worden. Bij het gebruik van ransomware door hackers is ook door compartimentering de schade die ransomware met zich meebrengt te beperken. Het feit dat de hacker bij CARENZORGT veel dossiers in kon zien en veel documenten kon kopiëren wijst op het ontbreken van voor de hacker hinderlijke schotten binnen het systeem.

Externe melding

Bij nauwkeurige lezing van de berichtgeving over de hack kan men zien dat NEDAP, de leverancier van CARENZORGT, op 17 oktober op de hoogte gesteld is van de hack. Daarop heeft men de kwetsbaarheid onderzocht en na anderhalf uur verholpen. Blijkbaar heeft men de hack niet zelf ontdekt maar heeft een externe partij NEDAP op de hoogte gesteld. Het is zeer wel mogelijk dat een computer-/cloudserver-bedrijf dat voor NEDAP de applicatie laat draaien plotseling verdacht verkeer zag binnen de gegevensstroom die onder hun beheer stond en daarop NEDAP inlichtte. Het is ook de vraag of NEDAP als verantwoordelijke voor haar product niet eigenstandig deze inbraak had dienen te ontdekken.

Gevaar bij dit type zorgplatform

Op het type zorgplatform als CARENZORGt staan medische documenten die zorgverleners uploaden naar die platformomgeving om als basis te dienen voor de informatie-uitwisseling door patiënten, mantelzorgers en professionele zorgverleners. Door dat op één zorgplatform te concentreren ontstaat een single point access en een single point of failure voor veel zorggegevens. Dat het om grote aantallen kan men zien aan de omvang van CARENZORGT. Men spreekt over een half miljoen zorgdocumenten en 9000 deelnemende zorgverleners.

Dat maakt dan ook een zeer strikt beveiliging en ook een ver doorgevoerde compartimentering tot een must.

W.J. Jongejan, 5  november 2022

Afbeelding van Peggy via Pixabay