Voor het vijfde jaar op rij zijn de ICT-kosten van ziekenhuizen gestegen. De stijgende kosten worden met name veroorzaakt doordat ziekenhuizen in hoge mate afhankelijk zijn van de digitale informatievoorziening. Dat is het resultaat van de groeiende digitalisering in de zorg. Dat blijkt uit de ICT Benchmark Ziekenhuizen over het boekjaar 2018 van M&I/Partners.
De grootste ziekenhuisketen van de Amerikaanse staat New Jersey heeft criminelen verantwoordelijk voor een ransomware-infectie een niet nader genoemd bedrag betaald voor het ontsleutelen van patiëntendossiers en andere data. Door de ransomware-infectie, die begin december bij Hackensack Meridian Health plaatsvond, werden systemen van klinieken en zeventien ziekenhuizen van de keten getroffen en moesten zo'n honderd operaties worden afgezegd.
Een medewerker van het Elisabeth-TweeSteden Ziekenhuis (ETZ) in Tilburg heeft tientallen medische dossiers bekeken terwijl daar geen reden voor was, zo heeft het ziekenhuis zelf bekendgemaakt. Het ETZ kwam de ongeoorloofde dossierinzage zelf op het spoor, aangezien het controleert welke medewerkers een dossier hebben bekeken.
"Uit zo’n controle is duidelijk geworden dat een van de medewerkers van het ETZ dossiers met medische gegevens heeft ingezien, zonder dat daar een gegronde reden voor was", aldus het ziekenhuis. Alle patiënten in kwestie zijn door het ETZ geïnformeerd. Daarnaast is de Autoriteit Persoonsgegevens op de hoogte gesteld. Tegen de medewerker zijn "passende maatregelen" genomen, maar wat die inhouden wordt niet gemeld. "Hiermee laat het ETZ ook aan andere medewerkers zien dat het verboden is om zonder goede reden patiëntendossiers in te zien", besluit het ziekenhuis in een verklaring.
Het ministerie van VWS vraagt alle zorgorganisaties om aandacht voor een ernstige kwetsbaarheid in 2 Citrix-servers: Citrix ADC en Citrix Gateway.
Deze kwetsbaarheid kan gevolgen hebben voor zorgorganisaties die deze servers gebruiken. Door deze kwetsbaarheid in het Citrix-systeem kunnen hackers toegang krijgen tot het computersysteem van uw organisatie.
Citrix kan geen 100% betrouwbare oplossing bieden. Het Nationaal Cyber Security Centrum (NCSC) heeft daarom de hoogste waarschuwing afgegeven. Het risico op misbruik is groot en de impact van misbruik is potentieel ook groot.
Welke maatregelen kunt u nemen?
In navolging van de rijksoverheid adviseert het ministerie van VWS om Citrix uit te schakelen, tenzij de patiëntveiligheid hierdoor in gevaar komt. In alle gevallen is het advies om alle door Citrix aanbevolen maatregelen te nemen en systemen intensief te monitoren op mogelijk misbruik.
Waar kunt u terecht voor meer informatie?
Voor het betreffende advies wordt verwezen naar het advies aan de rijksoverheid.
Voor nadere informatie en ontwikkelingen kunt u terecht op de website van het Nationaal Cyber Security Centrum.
Om onze dienstverlening te optimaliseren gaat Z-CERT haar mailverkeer voortaan voorzien van een S/MIME ondertekening. Dit houdt in dat lezers van e-mail niet meer de bekende header en footer in de tekst krijgen en dat gebruikers van Outlook voortaan een 'zegel' in hun overzicht krijgen.
S/MIME wordt alleen gebruikt ter ondertekening, daarnaast blijven we PGP ondersteunen indien partijen ons willen benaderen met versleutelde mail.
Phishing is een van de meest voorkomende vormen van internetfraude. Bij phishing probeert een aanvaller de inloggegevens of andere gevoelige gegevens van een slachtoffer buit te maken. Dit doet de aanvaller door een bericht, meestal een e-mail, te sturen die een link naar een malafide website bevat. Deze website toont dan een inlogpagina. Wanneer het slachtoffer zijn of haar gegevens hier invult, worden deze naar de aanvaller verstuurd, die deze vervolgens kan misbruiken voor allerlei doeleinden.
Met dit whitepaper wil Z-CERT zorginstellingen helpen phishing pogingen via e-mail aan te pakken. Dit stuk is geschreven voor (Chief) Information Security Officers, Information Security Managers, en het daarbij behorend uitvoerend personeel, om een start te kunnen maken met het bestrijden van phishing.
Download het bestand hier: Whitepaper phishing
Voor verificatie zie de SHA256 checksum, ondertekend met de Z-CERT 2019 PGP-jaarsleutel
