is economieredacteur en commentator van de Volkskrant.
Hackers hebben toegang gekregen tot de laboratorium-gegevens van 450 duizend vrouwen doordat er structureel verkeerde keuzes zijn gemaakt.
Afgelopen week kregen honderdduizenden vrouwen een brief van Bevolkingsonderzoek Nederland over het feit dat medische en persoonlijke gegevens door een hack in criminele handen zijn beland. ‘Het is goed om alert te blijven op mogelijke fraude’, is de wijze raad waarmee de vrouwen het moeten doen. Altijd een goede raad, maar die zou de organisatie in de eerste zelf ter harte moeten nemen.
Meer dan dat: hier zijn structureel verkeerde keuzes gemaakt die de dieven de mogelijkheid hebben gegeven in één klap zoveel gegevens buit te maken.
De hackers hebben toegang gekregen tot de laboratorium-gegevens van 450 duizend vrouwen die ooit onderzoek lieten doen naar baarmoederhalskanker. Niet alleen de testuitslagen zijn uitgelekt, maar ook hun BSN-nummers, het unieke nummer dat we nooit zomaar met iemand mogen delen. In combinatie met geboortedatum en naam- en adresgegevens zijn dat zeer waardevolle ingrediënten voor identiteitsfraude.
Bij een ‘normale’ hack wordt de slachtoffers aangeraden hun wachtwoorden te veranderen. Het veranderen van een BSN-nummer is onmogelijk. Daarmee heeft deze datadiefstal mogelijk veel grotere consequenties, die pas op termijn duidelijk zullen worden.
Hoe kon dat gebeuren? Allereerst was het doelwit van de hack, het bedrijf Clinical Diagnostics, een bijzonder aantrekkelijk doelwit. Tot een paar jaar geleden waren de Nederlandse medische laboratoria verbonden aan individuele ziekenhuizen, en daarmee per definitie versnipperd. Lang verzette Nederland zich tegen de barbaren aan de poort, private partijen die deze laboratoria graag wilden opkopen om er na een efficiencyslag meer winst uit te kunnen halen. De coronacrisis brak dat verzet: toen was er behoefte aan een partij die massale testen kon uitvoeren en analyseren. Clinical Diagnostics, dochter van het Britse Eurofins, leek een reddende engel.
Maar die efficiëntie blijkt te ver te zijn doorgevoerd. Veiligheid en zorgvuldigheid zijn een sluitpost gebleken. Deskundigen vinden het raadselachtig dat het bedrijf de data niet beter heeft beveiligd. Alle gegevens lijken bij elkaar te hebben gestaan, en niet in gescheiden plekken in een netwerk dat uit compartimenten bestaat. Daardoor was één bres in de digitale ommuring van deze databurcht genoeg om enorme hoeveelheden gegevens buit te maken.
De extra verificatie die gebruikers nodig hebben bij het inloggen is niet genoeg gebleken, omdat hackers deze extra beveiligingslaag vrij makkelijk blijken te kunnen omzeilen door via spionagesoftware mee te kijken met een gecompromitteerde gebruiker. Dit lijkt een vals gevoel van veiligheid te hebben gecreëerd.
Daardoor zijn de hackers na binnenkomst niet opgemerkt, en konden ze vrijelijk rondneuzen in de labomgeving. Het is voor systeembeheerders raadzaam om vaker digitale beveiligingsrondjes te lopen in het systeem: zit er niemand in die er niet thuishoort?
Ook lijkt regelgeving een vals gevoel van veiligheid te hebben gegeven. Als systeembeheerders voldoen aan deze zogeheten ‘compliance’, lijkt alles in orde. Maar het is mogelijk dat daardoor niet meer wordt nagedacht over mogelijke zwakke plekken in het systeem. Hackers, die die creativiteit wel hebben, hebben daardoor een voorsprong.
Eens te meer blijkt de centrale opslag van grote hoeveelheden privégegevens een kwetsbaar onderdeel van de digitale maatschappij. Wie zijn heil zoekt in zulke centralisering en schaalvergroting, zal de beveiliging navenant moeten opschroeven.
In het Volkskrant Commentaar wordt het standpunt van de krant verwoord. Het komt tot stand na een discussie tussen de commentatoren en de hoofdredactie.
Geselecteerd door de redactie
Source: Volkskrant