Criminelen hebben gevoelige informatie van een half miljoen Nederlanders gestolen die meededen aan bevolkingsonderzoek. Hoe kon dit gebeuren en wat kunnen de hackers met die persoonlijke gegevens?
is techredacteur voor de Volkskrant. Ze schrijft onder meer over sociale media en kunstmatige intelligentie.
Maandagmiddag maakte Bevolkingsonderzoek Nederland bekend dat cybercriminelen de gegevens van ruim 485 duizend mensen hebben buitgemaakt die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker.
Kort daarna meldde RTL Nieuws dat het om een veel grotere hack gaat, en dat er ook gegevens zijn gestolen van mensen die huid-, urine- en penisonderzoek hebben ondergaan.
De gegevens zijn gestolen bij het laboratorium Clinical Diagnostics NMDL, een van de partijen die voor het bevolkingsonderzoek monsters beoordelen. Hoe de diefstal kon gebeuren, wordt nog onderzocht.
De criminelen publiceerden delen van hun buit op het dark web, om te laten zien dat ze niet alleen naam- en adresgegevens wisten te ontvreemden, maar ook zeer gevoelige informatie zoals testuitslagen.
Wat kunnen zij met deze informatie, en wat zegt deze roof over de beveiliging van medische instanties? We vragen het Dave Maasland, directeur van beveiligingsbedrijf Eset Nederland.
Wat voor criminelen richten zich op een medisch laboratorium?
‘Dat is nu nog niet te zeggen. Het kan een professionele criminele organisatie zijn die een groot net heeft uitgegooid bij verschillende instanties. Maar bij een Finse psychiatrische kliniek werden ook een keer complete gespreksverslagen van tienduizenden patiënten buitgemaakt door één hacker, die vervolgens de kliniek en patiënten probeerde af te persen. Die man is uiteindelijk gearresteerd.’
Wat zegt deze diefstal over de beveiliging van Bevolkingsonderzoek Nederland?
‘Het zal in ieder geval de medische- en onderzoekswereld weer flink op scherp zetten. Ik heb geen zicht op wat er concreet is misgegaan. Vaak zit het probleem in wat ik de digitale basishygiëne noem. Het gaat dan om systemen die niet regelmatig geüpdatet worden, of er zijn geen heldere regels over welke personen toegang hebben tot welke data.
‘Hoe groter de keten, hoe groter de kans dat het misgaat. In dit geval is het een extern laboratorium dat monsters onderzoekt. Is het nodig dat zo’n extern laboratorium ook naam- en adresgegevens van patiënten heeft? Misschien is daar een logische reden voor, maar je moet altijd proberen dit soort gegevens zoveel mogelijk te anonimiseren. Ik hoop dat dit goed wordt onderzocht, zodat we er allemaal lering uit kunnen trekken.
‘Binnenkort wordt in Nederland de cyberbeveiligingswet aangescherpt, waardoor er extra aandacht komt voor het feit dat je ook verantwoordelijk bent voor de partners waarmee je je gegevens deelt. Dat gaat specifiek over dit probleem. Want het gebeurt overal, zoals bij commerciële partijen die hun gegevens door marketingbureaus laten analyseren.’
Wat kunnen de cybercriminelen doen met deze gegevens?
‘Medische gegevens zijn ontzettend waardevol voor criminelen. Telefoonnummers en adressen kunnen in de loop der jaren veranderen, maar dat jij in 2010 een bepaalde uitslag hebt gekregen, verandert nooit. Daarnaast maakt de gevoelige aard van dit soort gegevens het voor criminelen gemakkelijk om mensen ermee af te persen.
‘Phishing is een reëel risico. Doordat de criminelen nu adresgegevens aan testuitslagen kunnen koppelen, bestaat er een kans dat zij zich tegenover betrokkenen voordoen als een medische instantie, met als doel nóg meer informatie los te peuteren. Hoe meer ze van je weten, hoe geloofwaardiger ze zichzelf tegenover jou kunnen voordoen als een betrouwbare instantie die jou overhaalt je bankgegevens met hen te delen of geld over te maken.’
Waar moeten gedupeerden van de hack zich op voorbereiden?
‘Bevolkingsonderzoek Nederland heeft gezegd alle getroffenen een brief te sturen. Maar dat kunnen de criminelen nu ook. Met kunstmatige intelligentie wordt het steeds gemakkelijker om op grote schaal geloofwaardige e-mails te versturen, of telefoongesprekken te voeren. Vroeger zeiden we nog: let op spelfouten of gekke zinnen, maar dat is allang niet meer aan de orde.
‘Blijf scherp op de afzender, let op e-mailadressen. Maar het belangrijkste is: vaak moet er van criminelen nú iets gebeuren. Laat je niet opjagen. Als iemand zegt namens jouw bank of jouw ziekenhuis te bellen met de mededeling dat ze gegevens missen, of dat je direct moet handelen om fraude of diefstal te voorkomen, verbreek dan de verbinding en bel de betreffende instantie.
‘Vorige week zei Meldpunt Fraudehelpdesk nog dat het aantal fraudemeldingen ten opzichte van vorig jaar met 50 procent is gestegen. Terwijl bekend is dat de meeste mensen die dit overkomt het niet eens melden, deels uit schaamte. Daar moeten we vanaf. Cybercriminelen worden steeds geraffineerder en het aantal aanvallen neemt toe. Iedereen kan zoiets op een verkeerd moment overkomen.’
Luister hieronder naar onze wetenschapspodcast Ondertussen in de kosmos. Kijk voor al onze podcasts op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.
Alles over tech vindt u hier.
Geselecteerd door de redactie
Source: Volkskrant