10 sep 2014
Opslaan

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Spionage in de zorg

Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.
Onvermijdelijk natuurlijk: dat een aantal dagen na je blogt dat Chinese spionnen niet het grootste risico zijn voor de zorg, blijkt dat precies zij verantwoordelijk worden gehouden voor een gigantische datadiefstal in Amerika. Chinese spionnen hebben volgens Amerikaanse onderzoekers de persoonlijke gegevens van 4,5 miljoen mensen buitgemaakt bij Community Health Systems (CYH), de zorggroep achter 206 ziekenhuizen verspreid over de Verenigde Staten van Amerika. Maar wat moeten de Chinezen met deze gegevens?
Spionage in de zorg

Dat ik niet helemaal ongelijk had en dit incident heel ongebruikelijk is, blijkt wel uit de berichtgeving over deze hack. Zo stelt Bloomberg dat het de eerste keer is dat de veronderstelde daders achter consumentengegevens zijn aangegaan. Het betreft hier namelijk NAW-gegevens en social security numbers (BSN) en geen medische data. Er wordt in hetzelfde artikel zelfs vermeld dat een theorie bestaat dat binnen de criminele groep mogelijk een eenling voor eigen gewin de data heeft buitgemaakt, zonder daar de opdracht toe te hebben gekregen.

Zorg is doelwit

Wat uit de berichtgeving naar aanleiding van het lek bij CYH duidelijk wordt, is dat de zorg in de breedste zin van het woord wel degelijk een doelwit is van digitale spionnen. Het betreft dan bedrijfsspionage met als doel intellectueel eigendom buit te maken. De farmaceutische industrie, onderzoekslaboratoria en fabrikanten van medische apparatuur worden regelmatig aangevallen. Bedrijfsspionage is tenslotte altijd een risico voor organisaties die intellectueel eigendom bezitten, dat geldt dus ook voor de digitale variant. In de zaak CYH wordt dan ook nadrukkelijk gewezen naar een Chinese hackersgroep die erom bekend staat vooral op zoek te zijn naar data over medische apparatuur. De diefstal bij CYH valt samen met een grote groei van de Chinese medische technologiesector, aldus Bloomberg, terwijl de Chinese overheid investeringen in gezondheidszorg stimuleert. Het valt moeilijk te geloven dat dit toeval is.

Identiteitsfraude

Als het gaat om bedrijfsspionage lijken ziekenhuizen niet zo’n logisch doelwit. Dat blijkt ook wel uit de statistieken. Maar nu waren er NAW-gegevens buitgemaakt. Als het om dit soort gegevens gaat, is natuurlijk elke organisatie een potentieel doelwit. Maar wat doe je met NAW-gegevens? Eenvoudig gezegd: identiteitsfraude plegen. Klinkt misschien nog steeds vaag, maar cijfers over de weelderige handel in identiteiten liegen er niet om: een identiteit levert op de zwarte markt een paar dollar per stuk op. En dan blijkt de waarde die de van CYH gestolen data enorm, zelfs als de criminelen kwantumkorting geven. Als het echt om Chinese spionnen gaat, kunnen die data nog een waarde hebben die we kennen uit literatuur en films: namelijk rekrutering, chantage en afpersing. Niet onwaarschijnlijk, want er zouden persoonlijke gegevens zijn gestolen van Chinese staatsburgers die zich in de VS laten behandelen.

Impact is enorm

Is de diefstal bij CYH de uitzondering die de regel bevestigt? Misschien, maar wie weet is er sprake van een trendbreuk en worden ziekenhuizen steeds vaker doelwit. De gegevens die er te halen zijn, blijken voor cybercrimelen gewoon geld waard, van NAW-gegevens tot bijvoorbeeld onderzoeksgegevens. En het zal duidelijk zijn dat na een digitale inbraak de reputatieschade voor een ziekenhuis enorm kan zijn. Als bovendien zou uitkomen dat niet conform de wet- en regelgeving is gehandeld, zoals in ons geval de Wet bescherming persoonsgegevens (Wbp), is het problemen compleet. Een aanval op een ziekenhuis is nog ongebruikelijk, de kans op een lek door persoonlijke fouten blijft – vooralsnog – groter. Maar áls het gebeurt is de impact enorm. Wees dat moment dus voor!

Reageer op dit artikel
Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.