NOS Nieuws•
Cybercriminelen hebben de gegevens van bijna een half miljoen vrouwen gestolen uit een laboratorium dat onderzoek deed voor het Bevolkingsonderzoek. Uit een analyse door de NOS van de data die al door de hackersgroep zijn gepubliceerd, blijkt dat het in de meeste gevallen gaat om data van patiënten die zijn doorverwezen door een huisarts.
Het gaat voor een groot deel om gegevens van vrouwen die meededen aan een bevolkingsonderzoek voor baarmoederhalskanker via een uitstrijkje bij de huisarts of een zelftest. Die gegevens van ruim 53.000 mensen kwamen binnen via ruim 1100 zorgverleners.
De hack roept de vraag op waarom criminelen zich richten op medische gegevens. Volgens cyberexpert Joey Fennis vallen hackers medische instellingen aan omdat daar heel gevoelige informatie te halen is, zoals testuitslagen en medische gegevens.
“Bij een kopie van een paspoort kan je een nieuw document aanvragen, maar testuitslagen van een soa of kankeronderzoek zijn niet herstelbaar. Dat blijft als het is uitgelekt op het internet zwerven.”
Losgeld
Dat is ook voor de organisatie die de gegevens bewaarde precair, legt hij uit. “Omdat deze informatie vertrouwelijk is en diefstal ervan inbreuk maakt op de persoonlijke levenssfeer, wil de organisatie zijn reputatie redden.” Daarom is die vaak geneigd om ‘losgeld’ dat de hackers vragen te betalen, zegt Fennis.
Hij legt uit dat hackers goed onderzoek doen voordat ze een hack uitvoeren. “Ze bekijken in de bedrijfsgegevens bij de Kamer van Koophandel de jaaromzet van een organisatie, en eisen vervolgens een bedrag, vaak 1 of 2 procent van de jaaromzet.”
Vermoedelijk kan de organisatie die nu gehackt is de vraagprijs niet betalen, en zijn ze daar nu over aan het onderhandelen. “Ook omdat de hack nu al naar de media gelekt is, probeert de organisatie de prijs omlaag te krijgen”, zegt Fennis.
Oplichtingspraktijken
Zolang criminelen de data bewaren, kunnen ze die informatie misbruiken bij oplichtingspraktijken. “Met deze informatie komen ze heel geloofwaardig over. Dat doen ze bijvoorbeeld om je te foppen, om geld over te maken of om iets te installeren op je telefoon of op je pc”, zegt Eward Driehuis. Hij is voorzitter van de internationale cybersecurityorganisatie CSIRT.global.
De dieven gebruiken deze gegevens voor social engineering, een manipulatietactiek van hackers. “Stel, ik heb de gegevens van mevrouw Els. Ik ga dan kijken naar de zus of zoon van Els”, aldus Driehuis. Een crimineel kan zich bij hen voordoen als Els en vragen om geld over te maken of bankgegevens door te sturen. “Zo kunnen criminelen frauderen of personen afpersen.”
Consumenten krijgen vaak pas door dat persoonlijke gegevens zijn gestolen als ze worden benaderd, legt Driehuis uit. “Jouw gegevens staan op de servers van talloze bedrijven. Die hebben allemaal een eigen verantwoordelijkheid om zorgvuldig met die gegevens om te gaan.”
Geloofwaardig verhaal
Het belangrijkste is dat mensen in het algemeen alert blijven, zegt Driehuis. “Let op als je aan digitale communicatie doet, dus als je bijvoorbeeld linkjes opgestuurd krijgt of als een bekende van jou ineens met een nieuw nummer appt.”
Ook als het lijkt of een kennis appt vanaf een nieuw nummer met een geloofwaardig verhaal moet je oppassen. “Dan is er kans dat het een crimineel is die iets van jou wil”, zegt Driehuis. Hij adviseert dan het oude nummer van de kennis te bellen.
Omdat het nu gaat om een hack bij een medisch laboratorium, waarschuwt Driehuis voor alle digitale medische communicatie met de arts of zorgverzekeraar. Een crimineel kan zich aan de telefoon voordoen als de zorgverzekeraar en vragen om een openstaand bedrag te betalen. “Een tip blijft altijd om te zeggen: ik bel je dadelijk terug. En bel dan direct naar de huisarts of verzekeraar.”
Slippertje
Consumenten zitten na zo’n lek met de gebakken peren. Driehuis: “Dit soort gegevens kunnen nog jarenlang tegen je gebruikt worden. Stel, je bent druk of onderweg en je wordt op dat moment gebeld door iemand die zich voordoet als iemand anders. Een slippertje is zo gemaakt.”
Volgens hem is het niet duidelijk of gedupeerden naar de rechter kunnen stappen. “Ik ken geen manier om daarvoor gecompenseerd te worden. De bestaande wetgeving is nog niet ingericht op een hack zoals deze.”
