In totaal zijn minstens vijf Belgische ziekenhuizen het slachtoffer geworden van hetzelfde gegevenslek bij een leverancier van online patiëntregistratiesoftware. Dat zegt cyberveiligheidsbedrijf Secutec woensdag. Bij het lek kwamen 71.000 persoons- en aanmeldgegevens van patiënten én zorgverleners online te staan. Secutec roept alle Belgische ziekenhuizen daarom op om hun leveranciers beter te controleren.
Dinsdag werd het AZ Monica te Antwerpen getroffen door een cyberaanval. Die leidde tot een ernstige verstoring van de IT-systemen in het ziekenhuis. Ingrepen werden uitgesteld en de servers van de campus in Deurne en in Antwerpen werden preventief uitgeschakeld.
Uit onderzoek van Secutec blijkt nu dat ook zeker vier andere ziekenhuizen die met dezelfde IT-leverancier werken, door hetzelfde lek getroffen zijn. Daarbij werden 71.000 persoonlijke gegevens gelost. Het gaat bijvoorbeeld om namen, adresgegevens en rijksregisternummers. Het is onduidelijk sinds wanneer de data al online staan, maar volgens Secutec gaat om een "erg recent" lek. Welke ziekenhuizen precies getroffen zijn, wil het bedrijf niet zeggen.
Bovendien ontdekten de experts tijdens hun onderzoek nog een tweede datalek bij een andere grote leverancier van IT-diensten. Daarbij werden nog eens duizend aanmeldgegevens bij commerciële en overheidsorganisaties in ons land op de straatstenen gegooid.
Volgens Geert Baudewijns van Secutec beschikken Belgische ziekenhuizen wel degelijk over cyberbeveiliging "van het hoogste niveau". Zij moeten echter hun eigen leveranciers aan audits onderwerpen, vindt hij. "Toeleveranciers kunnen ook gehackt of nalatig zijn en vormen dus een belangrijk, potentieel cybergevaar. Daarom legt de Europese NIS2-cyberbeveiligingsrichtlijn controle-audits van derde partijen op. Daar kunnen sommige ziekenhuizen in ons land nog een tandje bijsteken." Ook organisaties in andere sectoren moeten hun leveranciers trouwens scherper monitoren, vindt Baudewijns.
De cyberaanvallen bewijzen volgens de experts bovendien het belang van tweefactorauthenticatie, waarbij je pas op een website kan inloggen als je daarvoor je toestemming geeft via een ander apparaat. Indien een hacker je wachtwoord dan toch in handen heeft, kan die persoon in dat geval nog steeds geen toegang verkrijgen tot vertrouwelijke gegevens.
Secutec heeft inmiddels het Centrum voor Cybersecurity op de hoogte gebracht van de bevindingen van het onderzoek. Ook het parket onderzoekt de zaak rond het datalek bij AZ Monica.
Lees ook : Cyberaanval AZ Monica: cybersecurityprobleem al blootgelegd in enquête De Specialist
