Toen Karin Spaink bestuursvoorzitter Hans Büller vorig jaar benaderde of het Erasmus MC te porren was voor een informatiebeveiligingstest, hoefde hij daar niet lang over na te denken. “Het Erasmus MC steekt veel energie in informatiebeveiliging, zo laten wij ieder jaar een penetratietest uitvoeren. Meestal komen we hier goed uit, dus wij durfden de uitdaging wel aan te gaan”, vertelt Jan Willem Schoemaker, security officer van het Rotterdamse ziekenhuis.
De uitkomsten van de test (zie kader) waren schrikbarend. De hackers van Fox-IT, ITSX en Madison Gurkha kregen op vrij eenvoudige wijze toegang tot patiëntengegevens van de twee ziekenhuizen die meededen aan de proef. In het Erasmus MC kregen de hackers op afstand geen toegang tot patiëntgegevens, maar konden zij wel op locatie vrijelijk zoeken in alle interne gegevens door in te breken op het intranet. Met gebruik van social engineering konden de hackers telefonisch contact leggen met medewerkers en hen wachtwoorden ontfutselen. Hierbij deden zij zich voor als iemand van de IT-afdeling. Vervolgens kregen de hackers, gekleed in witte jassen, op diverse werkplekken toegang tot diverse systemen en patiëntgegevens. Bij het andere ziekenhuis was de situatie nog veel ernstiger. Hier hadden hackers via internet twee weken lang toegang tot 1,2 miljoen patiëntgegevens, zonder dat iemand het opmerkte. 
“Wat ons geruststelde, was dat onze patiëntgegevens technisch gezien niet van buitenaf benaderd konden worden. Dat wij kwetsbaar bleken op het gebied van social engineering hadden we wel verwacht, maar dat het zo erg zou zijn…”, zegt Schoemaker. Met behulp van de tilde (~) als gebruikersnaam verkregen de hackers toegang tot intranet. “Dat hebben wij natuurlijk onmiddellijk aangepast. Ook hebben onze beheerders en het Computer Emergency Response Team (CERT) een opleiding van Fox-IT gevolgd, onder meer op het gebied van Intrusion Detection- en Intrusion Prevention-systemen (IDS/IPS) en forensisch onderzoek.”

Maatregelen
Naast een aantal technische maatregelen, is een flink aantal andere acties ondernomen naar aanleiding van de uitkomsten. Zo is het informatiebeveiligingsbeleid van het ziekenhuis aangepast, is er dit jaar opnieuw een audit gedaan op het gebied van informatiebeveiliging, is een methodiek voor classificatie en risicoanalyse ingevoerd en is er veel gedaan op het gebied van communicatie en bewustwording. Verder zijn de activiteiten van het CERT geïntensiveerd en zijn er diverse eigen onderzoeken gedaan op het gebied van social engineering. 
Een van de uitgangspunten van het nieuwe beveiligingsbeleid is de NEN 7510, de norm voor informatiebeveiliging in de zorgsector. “Wij waren hier al mee bezig, maar door de hack heeft dit nog meer prioriteit gekregen”, licht de security officer toe. Er wordt ook regelmatig overleg gevoerd met beveiligingsspecialisten van de andere universitair medische centra. De UMC’s hebben dit jaar voor de tweede maal een audit uitgevoerd, waarbij gebruik werd gemaakt van de gezamenlijk ontwikkelde Monitor Informatiebeveiliging. De UMC’s voerden de meting uit door middel van collegiale toetsing. Schoemaker: “Het LUMC heeft de informatiebeveiliging bij ons doorgelicht. Wat betreft de naleving van de NEN7510 hebben wij een score behaald van 60 procent. Wij hebben positief gescoord op het gebied van beleid, organisatie en operationeel beheer. Wat nog aanzienlijk moet verbeteren is de fysieke beveiliging, met name op zorgafdelingen – dus niet meer zomaar weglopen van je pc zonder af te melden – en de controle en naleving.”

Verbetering
Afgelopen zomer deed het Erasmus MC in aanvulling op de getroffen technische beveiligingsmaatregelen, zelf een aantal social engineeringsonderzoeken om vast te stellen of er al verbetering in de situatie zat en om het bewustzijn voor de consequenties van het eigen gedrag bij medewerkers te vergroten. Er is gebruik gemaakt van phishing via e-mail en speciaal geprepareerde websites, Trojaanse paarden op cd-roms en USB-sticks, persoonlijk of telefonisch contact om wachtwoorden te ontfutselen en er is rondgesnuffeld op werkplekken. “Bijna eenderde van de benaderden trapte toch nog in onze phishing-e-mail en liet inloggegevens achter op een door ons nagebouwde website. Via de telefoon gaf maar liefst 63 procent informatie vrij die hij of zij niet zou moeten geven. En 71 procent kreeg een Trojaans paard op zijn pc na het bekijken van bewust achtergelaten cd-roms en USB-sticks met vakantiefoto’s van een onbekende collega. Zonder dat ze het doorhadden, is hun C-schijf gekopieerd.” De verontrustende resultaten worden gepubliceerd in het personeelsblad van het ziekenhuis.

Wensenlijstje
Schoemaker heeft nog een uitgebreid wensenlijstje voor de toekomst. “De NEN7510 zal binnen het Erasmus MC verder worden geïmplementeerd, met de andere UMC’s worden er gezamenlijke activiteiten ontwikkeld op het gebied van informatiebeveiliging, zoals een communicatiecampagne, en we gaan de activiteiten voor penetratietesten en technische controles binnen het Erasmus MC verder borgen. Daarnaast gaan we, in aanvulling op reeds getroffen technische beveiligingsmaatregelen, een Intrusion Detection- en Intrusion Prevention-Systeem inrichten. Wellicht wordt dit open source, waarbij gebruik wordt gemaakt van SURFnet. Tot slot willen we ons CERT laten accrediteren en aansluiten bij het SURFnet-Pact. Op die manier krijgen we direct contact met de andere PACT-leden en kunnen wij toegang krijgen tot hun noodprocedures, beschikken we over een beveiligd onderling alarmeringssysteem, gedetailleerde informatie en de nieuwste veiligheidsdiensten.”


Kader: Spainks dossierkraak
Karin Spaink zette met haar onderzoek ‘Medische Geheimen’ vorig jaar september de medische wereld op zijn kop door samen met beveiligingsspecialisten van ITSX, Fox-IT en Madison Gurkha aan te tonen hoe eenvoudig het was om toegang te krijgen tot patiëntgegevens. Met instemming van twee ziekenhuizen - het Erasmus Medisch Centrum in Rotterdam en een algemeen ziekenhuis dat anoniem wenst te blijven – werd de informatiebeveiliging op de proef gesteld. De hackers kregen op vrij eenvoudige wijze toegang tot patiëntgegevens. Namen, adressen, telefoonnummers, patiëntnummers, polisnummers, geslacht, geboortedatum, lengte en gewicht konden gemakkelijk worden ingezien en gekopieerd, weggegooid of veranderd.
De test zorgde voor een verhoogde alertheid bij medisch personeel, ziekenhuisbesturen, patiënten, leveranciers en de overheid. Een van de gevolgen was dat minister Hoogervorst de invoering van het elektronisch medicatiedossier zeker een jaar uitstelde, om eerst maatregelen voor verbeterde veiligheid te nemen. “Zorgvuldigheid gaat voor snelheid”, aldus de minister.