Na een eerdere geruststelling dat patiëntgegevens veilig zouden zijn, blijkt nu dat datalekken bij de recente ransomware-aanval op EPD-leverancier ChipSoft niet kunnen worden uitgesloten. Dat melden bronnen althans aan de NOS. Chipsoft zelf houdt de kaken nog stijf op elkaar en meldde eerder deze week nog dat er volop gewerkt wordt aan een oplossing voor de offline gehaalde diensten en het opzetten van een speciale webpagina met meer informatie over de aanval en diens gevolgen. Chipsoft heeft maandagavond (14 april) wel de beloofde webpagina online gezet waar meer informatie gegeven wordt over het incident.
De mogelijke kwetsbaarheid zoals die nu aan de NOS gemeld wordt, speelt volgens bronnen bij ziekenhuizen die gebruikmaken van het HIX365-platform, een online omgeving waarmee patiënten toegang krijgen tot hun dossier. Dataverkeer tussen patiënt en ziekenhuis loopt daarbij via servers van ChipSoft. Volgens betrokkenen bestaat de kans dat aanvallers dit verkeer hebben kunnen onderscheppen, al zijn er geen concrete aanwijzingen voor daadwerkelijke datadiefstal.
Meldingen en onderzoek
Het HIX365-platform wordt onder andere gebruikt door het Franciscus Gasthuis, Albert Schweitzer Ziekenhuis en Meander Medisch Centrum en een tiental andere ziekenhuizen. Inmiddels hebben meerdere ziekenhuizen al melding gedaan van een mogelijk datalek bij de Autoriteit Persoonsgegevens. De toezichthouder bevestigt deze meldingen, maar geeft geen nadere details over betrokken instellingen of de omvang van het incident De impact op andere ziekenhuizen wordt nog onderzocht. Eerdere zorgen dat systemen van ziekenhuizen zelf zouden zijn gecompromitteerd via ChipSoft-servers, zijn vooralsnog niet bevestigd.
Opvallend is dat de beveiligingsmaatregelen in een later stadium zijn aangescherpt. Zo zijn de HIX365-omgevingen alsnog tijdelijk offline gehaald na inschakeling van externe securityspecialisten. Ook zijn toegangsaccounts van ondersteunend personeel ingetrokken of voorzien van nieuwe wachtwoorden en zijn digitale certificaten vervangen. Deze stappen wijzen erop dat niet kon worden uitgesloten dat aanvallers meer toegang hebben gehad dan eerder gedacht. Externe experts voeren momenteel forensisch onderzoek uit naar de aard en omvang van het incident.
Reactie ChipSoft
ChipSoft geeft aan inhoudelijk niet te reageren zolang het onderzoek loopt, maar stelt wel dat externe beveiligingsexperts direct zijn ingeschakeld. Ook Z-Cert, verantwoordelijk voor coördinatie van cybersecurity in de zorg, onthoudt zich van commentaar, zo meldt de NOS.
De kwestie benadrukt opnieuw het belang van robuuste cybersecuritymaatregelen binnen de zorgsector, waar de bescherming van gevoelige patiëntdata cruciaal is.
