Overzicht alle Topics

Kwart ziekenhuizen en GGD-instellingen heeft beveiliging niet op orde

Leestijd: 2 minuten

Maar liefst een kwart van alle ziekenhuizen en GGD-afdelingen in Nederland heeft de beveiliging niet op orde. Dat blijkt uit een onderzoek van The Internet Cleanup Foundation in juni van 2021. 

Veiligheid: meer dan alleen fysieke beveiliging

Veiligheid gaat over meer dan alleen het plaatsen van goed opgeleide beveiligers in een gebouw. Afhankelijk van het te beveiligen gebouw of de te beveiligen mensen en/of objecten, wordt naast fysieke beveiliging vaak ook gebruikgemaakt van digitale beveiliging, bijvoorbeeld in de vorm van camera’s. 

Sinds de komst van het internet is daarmee de kous nog niet af. Instellingen die te maken hebben met vertrouwelijke en/of gevoelige gegevens, zoals ziekenhuizen en andere zorginstellingen, moeten daarnaast aandacht besteden aan cybersecurity

Wat is cybersecurity?

Cybersecurity omvat alle beveiligingsactiviteiten die een bedrijf, organisatie of instelling beschermen tegen digitale bedreigingen zoals:

  • virusaanvallen;
  • DDoS-aanvallen;
  • spam;
  • phishing;
  • diefstal van (gevoelige) persoonsgegevens;
  • en bedrijfsspionage. 

Cybersecurity is dus eigenlijk een vorm van informatiebeveiliging

Cybersecurity niet op orde in kwart ziekenhuizen en GGD-instellingen

Uit het onderzoek van The Internet Cleanup Foundation bleek dus dat niet alle zorginstellingen hun informatiebeveiliging op orde hadden. De stichting onderzocht bijna 5900 domeinen van 116 ziekenhuizen en GGD’s. Bij driekwart van de onderzochte zorginstellingen trof The Internet Cleanup Foundation geen kwetsbaarheden aan in de basisbeveiliging. Maar bij een kwart van alle instellingen was de basisbeveiliging niet op orde. 

Vaak gaat het hierbij om aparte domeinen die los staan van de algemene website van de instelling. Zo werden geregeld projectdomeinen aangetroffen die te maken hebben met specifieke aandoeningen, zoals de ziekte van Alzheimer, galblaas of depressie. 

Deze domeinen ontbrak het vaak aan security headers. Ook werd er vaak geen gebruik gemaakt van DNSSEC of was de e-mailserver verkeerd ingesteld (SPF, DKIM en DMARC). De resultaten per zorginstelling zijn te vinden op Basisbeveiliging.nl.

Privacygevoelige gegevens

Ondanks dat een meerderheid van de zorginstellingen haar zaken dus wel op orde heeft, is de uitslag van dit onderzoek kwalijk te noemen. Binnen de zorg worden namelijk uiterst privacygevoelige gegevens verwerkt. Elger Jonker, ethisch hacker en voorzitter van The Internet Cleanup Foundation, zei in de Volkskrant dat hij zich zorgen maakte over de uitkomst van het onderzoek: “Er is veel aandacht voor cybersecurity. Maar ondanks coalities in de zorg, alle normen die worden gesteld en afspraken die worden gemaakt, blijkt de basis vaak niet op orde.” 

Deel van de problemen inmiddels opgelost

The Internet Cleanup Foundation is een ethische hackersgroep. Het onderzoek naar kwetsbaarheden binnen de informatiebeveiliging is gedaan om ziekenhuizen en zorginstellingen te waarschuwen voor hun eigen zwakke plekken. De resultaten zijn dan ook met de ziekenhuizen gedeeld, voordat ze gepubliceerd werden. Inmiddels zijn een deel van de kwetsbaarheden verholpen. Maar er blijft werk aan de winkel. 

phone-handsetarrow-right