Securitybedrijf Secutec heeft ontdekt dat minstens vijf Belgische ziekenhuizen slachtoffer zijn van een datalek bij een leverancier van patiëntregistratiesoftware. In totaal lagen 71.000 persoons- en aanmeldgegevens van patiënten en zorgverleners op het darknet. Maar dat is niet alles: een tweede lek bij een IT-leverancier trof nog eens 1.000 aanmeldgegevens van commerciële en overheidsorganisaties.
Het onderzoek startte naar aanleiding van de cyberaanval op het Antwerpse ziekenhuis AZ Monica. Het security operations centre van Secutec kwam tijdens zijn darknetonderzoek vier andere getroffen zorginstellingen op het spoor. Allemaal gebruikten ze dezelfde online patiëntregistratiesoftware, en blijkbaar niet alleen zij.
Geert Baudewijns, CEO van Secutec, plaatst kanttekeningen bij het beeld dat de zorgsector te weinig aan cyberbeveiliging doet. Volgens een onderzoek van de FOD Volksgezondheid zouden drie op de vier Belgische ziekenhuizen onvoldoende maturiteit hebben voor NIS2-compliance. “De zorgsector wordt nogal snel met de vinger gewezen”, reageert hij. “In de realiteit is de cyberbeveiliging in Belgische ziekenhuizen van het hoogste niveau met de nodige beveiligingssystemen.”
Gevaar zit bij derden
Het echte probleem ligt volgens Baudewijns elders. Ziekenhuizen en andere organisaties vertrouwen vaak op online toepassingen van externe leveranciers. Die toeleveranciers kunnen gehackt worden of nalatig zijn en vormen daarmee een potentieel cybergevaar. De Europese NIS2-cyberbeveiligingsrichtlijn, die sinds oktober 2024 van kracht is in België, legt dan ook controle-audits van derde partijen op.
“Daar kunnen sommige ziekenhuizen in ons land nog een tandje bijsteken”, vindt Baudewijns. Het tweede gegevenslek dat Secutec ontdekte, toont aan dat ook organisaties buiten de zorg hun leveranciers scherper moeten monitoren.
Password stealers even gevaarlijk als kwetsbaarheden
Datalekken en cyberaanvallen gebeuren volgens Secutec op twee manieren: via nieuwe of ongepatchte kwetsbaarheden, of door password stealers (software die letterlijk wachtwoorden steelt). Beide intrusies komen even frequent voor. Bij grote organisaties zijn aanvallen met password stealers volgens het bedrijf schering en inslag.
“Technici krijgen vaak volledige administratorrechten om alle nodige IT-ingrepen te kunnen doen”, legt Baudewijns uit. “Jammer genoeg installeren ze soms ongewild zo’n verstopte password stealer mee. Als het dan een IT-leverancier betreft, zijn de gevolgen niet te overschatten.”
Het benadrukt volgens de CEO het belang van tweefactorauthenticatie. Ook al heeft de hacker het wachtwoord in handen, de dubbele bevestiging gebeurt enkel door de legitieme gebruiker.
Secutec heeft inmiddels het Cybersecurity Centrum België op de hoogte gesteld van de bevindingen. Ook de vier andere ziekenhuizen en de IT-leverancier werden ingelicht. Het adviseerde hen wachtwoorden te resetten, back-upsystemen te testen en netwerken te scannen op eventuele intrusies.