Uiterst gevoelige medische data op Dark Web. Een les   

uiterstEen absoluut horror-scenario rond gehackte medische data doet zich voor in Australië. Daar maakte op 13 oktober 2022 de private zorgverzekeraar Medibank bekend dat een hack had plaatsgevonden van hun ICT-systemen. Het duurde even tot de volle omvang duidelijk was. Op 24 oktober bleek het te gaan om 200 GB aan informatie. Van 9,7 miljoen huidige/vorige klanten maakten de hacker(s) persoonsgegevens buit met daarbij ook bank- en creditcardgegevens. Nog veel erger is de wetenschap dat de hacker(s) van 500.000 klanten medische gegevens stalen. De gestolen gegevens bevatten o.a. codes voor medische zaken die artsen vastlegden. Daarbij gaat het o.a. seksuele gezondheid, ernstige diagnoses zoals kanker, of een vrouw een abortus heeft ondergaan en of een persoon is behandeld voor een psychische aandoening of middelenmisbruik. Medibank betaalt geen losgeld aan de aanvallers. Die hebben op hun beurt nu een deel van de medische informatie op het Dark Web gezet.

Hoe kon het gebeuren?

Naar verluidt zou sprake zijn geweest van het inbreken via eén enkel toegangsaccount. Dat zou beveiligd geweest zijn met multifactor-authenticatie. Dat werkt met iets wat je weet(inlognaam en wachtwoord), iets dat je hebt(een token of een code die via een smartphone wordt verstuurd) plus nog iets wat je bent( bijv. een vingerafdruk). Kenners vragen zich echter af hoe het in godsnaam mogelijk is dat na het zo binnenkomen de hacker(s) in de systemen van Medibank 200 GB aan data konden buitmaken. Experts vragen zich ook af of met de hack van inloggegevens misschien de toegangsaccounts tussen cloud-applicaties onderling binnen het Medibank-netwerk bedoeld worden. Dat zou dan gaan om de Microsoft “Azure Service Principals”, die kunnen worden gebruikt bij machine-to-machine-verbindingen. Daarbij zou het kan mogelijk kunnen zijn zo’n soort verbinding referentie gecompromitteerd is. Ook zou het een combinatie kunnen zijn van een hack van de initiële toegang en de dwarsverbindingen.

REvil

In de Australische nieuwsmedia komen steeds meer berichten dat de in Rusland gevestigde hackersgroep REvil verantwoordelijk zou zijn voor de hack. REvil staat ook bekend als Sodinokibi, werkt als een ransomware-as-a-service (RaaS) “dienst”. Ransomware-aanvallen worden over het algemeen ingegeven door financieel gewin. Aanvallers hacken een netwerk of systeem, extraheren privé- en gevoelige informatie en eisen vervolgens geld van een bedrijf of persoon in ruil voor het niet vrijgeven van gestolen gegevens of het decoderen van geblokkeerde computers. De eerste openlijke aanwijzing kwam naar voren toen een losgeldbrief en een dreigement om Medibank-klantinformatie vrij te geven op een darkweb-blog werd geplaatst. Een eerdere URL beheerd door REvil leidde door naar de nieuwe website die de Medibank-gegevens host. Dit kon alleen worden gedaan door REvil of iemand met toegang tot hun servers, zeiden cyberbeveiligingsexperts.

Dark web

Het internet, afzoekbaar met een zoekmachine als Google, heet het surface web. Daarnaast bestaat ook het deep web. Het deep web bewaart vooral gevoelige informatie. Denk aan inloggegevens en overheidsdata, maar ook aan academische, medische en militaire databanken. Deze informatie zit a.h.w. ‘diep’ verstopt in het internet. Het is alleen toegankelijk voor personen die in het bezit zijn van het exacte webadres of een gebruikersnaam met wachtwoord. Naar schatting neemt deep web minstens negentig procent van het internet in beslag. Het dark web is dan weer een duister gedeelte van het internet. Wie een kijkje wil nemen op het duistere web, heeft daarvoor een speciale browser nodig. De software die het meest wordt gebruikt is TOR: The Onion Router. Door het gebruik van dit netwerk ben je zo goed als onzichtbaar en lastig te traceren. Gegevens worden keer op keer versleuteld – met een duur woord encryptie genoemd.(bron NPOkennis)

Nederland

Wat in het buitenland gebeurt op digitaal gebied kan evengoed in Nederland plaatsvinden. Ook in ons land hebben zorgverzekeraars databases waarin een schat aan persoonsgegevens, maar ook bijzondere persoonsgegevens, zoals medische gegevens. Zorgverzekeraars beschikken door machtigingsaanvragen voor medische hulp in welke vorm dan ook plus door ingediende zorgdeclaraties over een massa medische gegevens. Daarnaast slaan de gezamenlijke zorgverzekeraars de declaratiegegevens op in hun datawarehouse VEKTIS. Zelf noemt VEKTIS zich het business intelligence centrum voor de zorg. Het betekent dat er ook in ons land gigantische datasilo’s bestaan die bij een eventuele hack compromittering van grote hoeveelheid gevoelige data kan opleveren.

HONOS+-database van NZa

Voor ons land speelt nu juist dat de Nederlandse Zorgautoriteit(NZa) voor het door haar beoogde zorgprestatiemodel voor de bekostiging van de GGZ veel data vaan GGZ-patiënten wil gaan verzamelen. De NZa wil voor dat bekostigingsmodel de antwoorden op de vragen van de HONOS+ vragenlijsten van alle cliënten uit de GGZ gaan verzamelen. Dat alles in één database. Ik schreef daar op deze website al zeer vaak over. Even zoeken met de zoekterm HONOS toont al die artikelen.

De hack in Australië laat zien dat het niet alleen potentieel risico is dat een dergelijke hack kan plaatsvinden, maar dat het ook daadwerkelijk een keer gebeurt. Bij Medibank gaat het voor een deel om geestelijke gezondheidszorg-informatie. Bij de zorgprestatiemodel-database gaat het uitsluitend om data van mensen met mentale problematiek. De door de NZa voorgestane vorm van dataverzameling van GGZ-gegevens vormt een te groot risico. Andere vormen van calculatie van zorgkosten in de GGZ is dus geboden.

W.J. Jongejan, 18-11-2022

Afbeelding van Gerd Altmann via Pixabay