Diefstal van klant- of persoonsgegevens wil je als bedrijf te allen tijde voorkomen. Daarom is het zaak de beveiliging op orde te hebben. Maar hoe weet je waarin je moet investeren? De hack bij het Groene Hart Ziekenhuis laat zien wat er kan gebeuren.

Röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, diagnoses en laboratoriumuitslagen, ze staan allemaal op een slecht beveiligde server van Goudse ziekenhuis. Een hacker weet in 2012 binnen te komen en bemachtigt de gegevens van honderdduizenden patiënten. Hij opereert onder de naam Bonnie van het Nederlands Genootschap van Hackende Huisvrouwen.

Het College Bescherming Persoonsgegevens (CBP) is twee jaar later snoeihard in zijn oordeel (pdf). Volgens de Wet bescherming persoonsgegevens moet een organisatie “passende technische en organisatorische maatregelen ten uitvoer brengen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking”. Dat had het Goudse ziekenhuis niet gedaan: de IT was hopeloos verouderd.

Sommige computers draaiden nog op Windows XP en Windows 2000, waarvan de laatste op het moment van de hack al bijna twee jaar niet meer door Microsoft van beveiligingsupdates werd voorzien.

Alle apparaten hingen bovendien aan hetzelfde netwerk: de hacker kon een zwakke plek kiezen om binnen te komen en vervolgens met het wachtwoord ‘groen2000’ bij alle gevoelige medische informatie.

Kosten van een hack

“Het Groene Hart Ziekenhuis is een interessant voorbeeld, omdat het heeft laten zien wat het nu kost om gehackt te worden”, zegt Chris van ‘t Hof, socioloog en schrijver van acht boeken over internet en technologie.

Hij sprak afgelopen week bij de presentatie van een rapport van de Amerikaanse denktank RAND over cybersecurity. “De directe kosten voor het ziekenhuis waren drie ton. Cybersecuritybedrijf Fox-IT moest meer uren draaien en KPMG werd ingehuurd om een audit te doen. Ook de communicatie- en juridische afdeling werden extra belast.”

Maar volgens Van ‘t Hof lagen de werkelijke kosten een stuk hoger: zo’n 3 miljoen euro. Alle verouderde computersystemen zijn vervangen, nieuwe kabels zijn getrokken en een gebouw is uitgebreid. Ook zijn bepaalde delen van het netwerk nu losgekoppeld, waarvoor veel processen tijdelijk zijn stilgelegd.

En dan zijn er nog de kosten van toezichthouder CBP, aldus Van ‘t Hof. Twee jaar lang heeft de toezichthouder meegekeken met alle verbeteringen die het Groene Hart Ziekenhuis doorvoerde. Aanpassen, melden, meten, rapporteren, verbeteren, weer een rapportage. “Al die tijd neemt de reputatieschade toe”, zegt Van ‘t Hof. “Ik durf te zeggen dat het Groene Hart Ziekenhuis momenteel één van de veiligere ziekenhuizen van Nederland is. Terwijl in de perceptie van de patiënt het een onveilig ziekenhuis is. Dat is de paradox.”

Wat ging er mis?

De systemen van het Groene Hart Ziekenhuis waren al jaren aan een opknapbeurt toe. Dat wist het ziekenhuis zelf ook. Maar veel medische software draaide alleen op besturingssysteem Windows XP. Bovendien was alles met elkaar verbonden: veel programma’s waren afhankelijk van andere applicaties. Wijzig je één ding, dan werken een heleboel dingen ineens niet meer. “Dat zorgde voor een impasse”, zegt Van ‘t Hof. “Het werd langetermijnwerk. En binnen die termijn kwam de hacker langs.”

Na de hack duurde het enkele dagen voordat het ziekenhuis in beweging kwam. Beveiligingsbedrijf Fox-IT had gezien dat iemand zich toegang had verschaft tot het netwerk en meldde dat aan de ICT-afdeling. Maar daar bleef het liggen; het bericht bereikte de directie van het ziekenhuis niet.

“Pas toen het stukje op NU.nl verscheen, kwam het management in actie”, aldus Van ‘t Hof. “De directie had toevallig twee weken daarvoor een training crisismanagement gehad. Ze waren helemaal voorbereid.” Toen pas luisterde de directie naar Fox-IT en werd duidelijk dat er 7,5 GB aan data gedownload was. Het ziekenhuis gooide alles digitaal op slot en deed aangifte.

Verkeerd investeren

Van ‘t Hof constateert dat het ziekenhuis wel degelijk investeerde in beveiliging, maar dat de focus verkeerd was. Het Groene Hart Ziekenhuis had een chief information security officer (CISO), die verantwoordelijk is voor de informatiebeveiliging. “Ze hadden als kleine organisatie relatief veel op menskracht ingezet”, zegt Van ‘t Hof. “Maar de tools en software waren niet op orde.”

Ook had de instelling niet in kaart gebracht waarom het een mogelijk doelwit zou kunnen zijn van kwaadwillenden. “Ziekenhuizen zijn een favoriet doelwit van ethische hackers, want daar zijn veel persoonsgegevens te halen”, zegt Van ‘t Hof, die vorig jaar een boek schreef over het onderwerp, getiteld Helpende hackers. “Doe gewoon een zooitje penetratietests.”

Hacker gepakt

En de hacker? Die heet eigenlijk Jordy van J. en belandt uiteindelijk in de cel. Maar niet vanwege de hack. Dat hij 7 GB aan data heeft gedownload, is niet bewezen. Wel dat hij een aantal documenten in handen heeft gekregen. “Vervolgens ging hij in de patiëntgegevens op zoek naar bekende Nederlanders en liet dat aan zijn vriendjes zien”, zegt Van ‘t Hof. “Daarin ging hij te ver. Hij kreeg daarvoor 120 uur taakstraf.”

Een meevaller, zo leek het. Maar de hacker moet alsnog een jaar de bak in, omdat het Openbaar Ministerie tijdens het onderzoek kinderporno op zijn computer vond. “Bijvangst”, merkt Van ‘t Hof droogjes op.