Nieuws

Medewerker Tilburgs ziekenhuis grasduinde in medische dossiers

security.nl - 04.12.2019

Een medewerker van het Elisabeth-TweeSteden Ziekenhuis (ETZ) in Tilburg heeft tientallen medische dossiers bekeken terwijl daar geen reden voor was, zo heeft het ziekenhuis zelf bekendgemaakt. Het ETZ kwam de ongeoorloofde dossierinzage zelf op het spoor, aangezien het controleert welke medewerkers een dossier hebben bekeken.

"Uit zo’n controle is duidelijk geworden dat een van de medewerkers van het ETZ dossiers met medische gegevens heeft ingezien, zonder dat daar een gegronde reden voor was", aldus het ziekenhuis. Alle patiënten in kwestie zijn door het ETZ geïnformeerd. Daarnaast is de Autoriteit Persoonsgegevens op de hoogte gesteld. Tegen de medewerker zijn "passende maatregelen" genomen, maar wat die inhouden wordt niet gemeld. "Hiermee laat het ETZ ook aan andere medewerkers zien dat het verboden is om zonder goede reden patiëntendossiers in te zien", besluit het ziekenhuis in een verklaring.

Ziekenhuis VS annuleert afspraken wegens ransomware

security.nl - 29.11.2019

Een Amerikaans ziekenhuis dat maandag door ransomware werd getroffen heeft veel afspraken en procedures moeten annuleren. Operaties konden nog wel doorgaan. Wat voor ransomware het netwerk van Great Plains Health infecteerde is onbekend, alsmede de infectiemethode.

Volgens het ziekenhuis zijn er geen aanwijzingen dat de aanvallers patiëntgegevens hebben gestolen. Voor de zekerheid zal er echter een audit plaatsvinden. Het ziekenhuis zal met patiënten van wie de afspraken zijn geannuleerd een nieuwe afspraak maken. In een verklaring op Facebook stelt Great Plains Health dat het niet om een lokaal incident gaat, maar dat het afgelopen jaar tal van zorgverleners en overheidsinstanties door ransomware zijn getroffen. Verdere details over het incident, behalve dat de autoriteiten een onderzoek hebben ingesteld, zijn niet gegeven.

Nederlandse bedrijven betaalden ransomware miljoenen euro's

security.nl - 28.11.2019

Verschillende Nederlandse bedrijven zijn het afgelopen jaar besmet geraakt door ransomware en hebben in sommige gevallen miljoenen euro's betaald voor het ontsleutelen van bestanden. Dat meldt de NOS op basis van een vertrouwelijk rapport van het Nationaal Cyber Security Centrum (NCSC).

Volgens het rapport zijn er wereldwijd zeker 1800 bedrijven door de onderzochte ransomware-exemplaren besmet geraakt, waaronder ook Nederlandse bedrijven. Het gaat om de Lockergoga-, Ryuk- en MegaCortex--ransomware die bij gerichte aanvallen worden ingezet. De aanvallers blijken soms al maanden toegang tot een netwerk te hebben voordat ze toeslaan en machines infecteren.

Mededelingen

Ondertekening van dienstverlening voortaan met S/MIME

Om onze dienstverlening te optimaliseren gaat Z-CERT haar mailverkeer voortaan voorzien van een S/MIME ondertekening. Dit houdt in dat lezers van e-mail niet meer de bekende header en footer in de tekst krijgen en dat gebruikers van Outlook voortaan een 'zegel' in hun overzicht krijgen.

S/MIME wordt alleen gebruikt ter ondertekening, daarnaast blijven we PGP ondersteunen indien partijen ons willen benaderen met versleutelde mail.

Whitepaper phishing

29.08.2019

Phishing is een van de meest voorkomende vormen van internetfraude. Bij phishing probeert een aanvaller de inloggegevens of andere gevoelige gegevens van een slachtoffer buit te maken. Dit doet de aanvaller door een bericht, meestal een e-mail, te sturen die een link naar een malafide website bevat. Deze website toont dan een inlogpagina. Wanneer het slachtoffer zijn of haar gegevens hier invult, worden deze naar de aanvaller verstuurd, die deze vervolgens kan misbruiken voor allerlei doeleinden.

Met dit whitepaper wil Z-CERT zorginstellingen helpen phishing pogingen via e-mail aan te pakken. Dit stuk is geschreven voor (Chief) Information Security Officers, Information Security Managers, en het daarbij behorend uitvoerend personeel, om een start te kunnen maken met het bestrijden van phishing.

Download het bestand hier: Whitepaper phishing

Voor verificatie zie de SHA256 checksum, ondertekend met de Z-CERT 2019 PGP-jaarsleutel

Maturity scan self-assessment

22.05.2019

Z-CERT stelt een tool beschikbaar om inzicht te krijgen in het volwassenheidsniveau van uw informatiebeveiliging en privacy. Deze 'maturity scan' verschaft u als organisatie inzicht hoe u ervoor staat ten aanzien van de NEN 7510 en de AVG. U kan in één gemakkelijk overzicht, per onderwerp, zien hoe ver uw organisatie is en waar verbeterpunten zijn. Verder kan dit overzicht goed gebruikt worden om management inzicht te geven. Door periodiek de maturity scan opnieuw te doorlopen kan groei, of achteruitgang, aangetoond worden.

De maturity scan is primair bedoeld voor CISO’s / ISO’s. Enige affiniteit met de NEN 7510 / ISO 27001/2 is tevens nuttig.
 
Hoewel een eerdere vorm van deze tool reeds beschikbaar was als dienst voor deelnemers, acht Z-CERT het zinvol voor de veiligheid van de hele zorgsector om de maturity scan publiek te maken. 
 
Deze scan is voornamelijk bedoeld om een algemeen beeld te krijgen waarmee een organisatie aandachtsgebieden naar voren kan brengen. Het is dan ook gebaseerd op de NEN 7510. Sommige onderwerpen zijn samengevoegd en de indeling is op plekken anders dan de NEN 7510.
 
Download het bestand hier: Maturity scan
Voor verificatie zie de SHA256 checksum, ondertekend met de Z-CERT 2019 PGP-jaarsleutel
 
Deze maturity scan mag gebruikt worden volgens Creative Commons Naamsvermelding 4.0 Internationaal-licentie.