Ongeremde toegang tot patiëntgegevens uit medische dossiers

Vrijdag dient de strafzaak tegen 50Plus-politicus en journalist Henk Krol. Onze knuffelhacker zou volgens Justitie te ver zijn gegaan. Maar na het lezen van het strafdossier zijn er nog wel wat partijen aan te wijzen die behoorlijk ver zijn gegaan en het geheimhouden van patiëntendossiers niet bovenaan hun prioriteiten hebben staan. The story continues…

Om te beginnen is daar een psychiater van GGZ Eindhoven, de man wiens account was gehackt. Tijdens het politieverhoor vertelt hij vrolijk over het feit wanneer hij de medeverdachte van Krol die het lek op het spoor kwam, nog heeft gesproken in consult en over het feit dat hij zijn bloedwaarden wilde weten. Hoezo in vertrouwen met je psychiater praten? Het staat openlijk in het strafdossier!

Ongeremd
Daarnaast wil de psychiater ook de persoonsgegevens van iemand geven die niet verdacht is. Uit het strafdossier:

De naam van de andere (vrouwelijke) patiënte weet ik zo niet, maar zou ik voor u kunnen opzoeken. Deze vrouw was in een vrij ongeconcentreerde en ongeremde stemming. Zij zat min of meer tegenover mij, ik denk niet dat zij in staat was om mee te kijken bij het inloggen in het systeem. Ik denk ook niet dat zij in staat was deze inlogcode te onthouden.

Diagnoses over de stemming van de vrouw gaan de politie geen bal aan, en zelfs als dit wettelijk zou kunnen moet je dit als psychiater niet willen.

Diagnostiek voor U
Diezelfde ongeremdheid zie je terugkomen bij het bestuur van Diagnostiek voor U. Zij leverden in het strafdossier een lijst met de bekeken medische dossiers op het account van de psychiater. Dat kan, maar waarom staat naast de naam van de patiënt ook de vaste behandelaar op deze lijst? Let wel: het verstrekken van deze medische gegevens gebeurde zonder dat er een vordering van het OM aan ten grondslag ligt.

Daarnaast ging de directie van het centrum behoorlijk ver. Bij de door Krol geraadpleegde dossiers werd gekeken of er een relatie tussen hem en de patiënt bestond. Opnieuw wordt er dus gekeken naar de behandelrelatie tussen arts en patiënt. Terwijl hacker Henk de namen onleesbaarbaar maakt, doet de directie dat niet. Logisch, want Barbertje moet hangen.

EPD
Dit toont het failliet van een EPD, want in de oude wereld zouden medische dossiers nooit gelicht worden. Maar nu heeft een directie er kennelijk geen enkele moeite mee om medische gegevens te bekijken om een bedrijfsmatig doel na te streven: het verhalen van de schade op Krol.

Daar moet kennelijk alles voor wijken, zelfs de vertrouwelijke relatie tussen arts en patiënt. Als iets getuigt van een ‘ongeconcentreerde en ongeremde stemming’ dan is het deze zaak wel. Gelukkig val ik onder een ander diagnostisch centrum.

Waar blijft de meerlaagse beveiliging in de zorg?

Deze week werd duidelijk dat het niet alleen mogelijk was om duizenden medische dossiers van Diagnostiek voor U in te kijken, maar ook wijzigingen in bloedwaarden door te voeren. Daarmee kun je – mits goed georkestreerd – prima een moord beramen, waarbij de huisarts zonder het te beseffen een gewillig hulpmiddel is. Een enorme misstand die Henk Krol aan het licht heeft gebracht.

Dat de dossiers überhaupt toegankelijk zijn via internet is al twijfelachtig, want als er iets verkeerd gaat dan gaat het ook goed fout. In tegenstelling tot papieren dossiers kun je soms letterlijk in seconden duizenden dossiers ‘meenemen’.

Slecht beveiligd
Wat vooral opvalt in deze zaak is dat Diagnostiek voor U de beveiliging zo ontzettend slecht op orde had. Zo kon Krol – en zijn bron – in het systeem komen door een vijfcijferige code in te geven (de gebruikersnaam en het wachtwoord waren hetzelfde). Een wachtwoordbeleid dat typerend is voor een organisatie die beveiliging niet serieus wenst te nemen.

Sowieso is een combinatie van gebruikersnaam en wachtwoord een zwakke vorm van beveiliging. Wachtwoorden worden opgeschreven en dus gezien, lekken uit, zijn met kwaadaardige software makkelijk af te tappen en worden vaak op meerdere plaatsen door dezelfde persoon gebruikt.

Er is een alternatief voorhanden, de meerfactor-authenticatie. Daarbij gebruik je niet alleen ‘iets wat je weet’ (een wachtwoord), maar gebruik je bijvoorbeeld ook iets ‘wat je hebt’. Dat laatste kan een pasje zijn, of een USB-stick met wisselende codes. Bijna iedere oplossing voor internetbankieren gebruikt zoiets en Google wil het ook. Zo niet Diagnostiek voor U.

En dan is er natuurlijk nog de nalatigheid. Iemand met een login kon meteen bij alle data komen. Juist bij gevoelige gegevens mag je redelijkerwijs verwachten dat er virtuele schotten worden geplaatst tussen verschillende (delen van) dossiers. Zo kun je alleen daarin kijken waar je thuishoort.

Nalatig
Kortom: Diagnostiek voor U vond het niet nodig schotten te plaatsen, meerfactor-authenticatie te gebruiken en werkte met slechte wachtwoorden. Een complex van nagelaten kansen om de wettelijke plicht om de bescherming van bijzondere persoonsgegevens, die medische informatie nu eenmaal is, in de praktijk in te vullen.

Voor de zorg gelden blijkbaar andere standaarden. Toch iets om in het achterhoofd te houden als een of andere zorgverlener weer eens toegang tot uw informatie wil.

Patiënt is de dupe van ruzie tussen zorgverlener en zorgverzekeraar

inds januari zijn nieuwe contracten tussen zorgverleners en zorgverzekeraars gesloten. Tenminste, dat is de bedoeling. Maar waar de partijen niet tot elkaar hebben weten te komen, wordt dit conflict over de rug van de patiënt uitgevochten.

Dat merkte ik toen mijn op leeftijd zijnde moeder begin dit jaar ernstig ziek werd. Omdat ze niet naar een ziekenhuis wil en mijn zus haar als arts verzorgt, kreeg ik van de dienstdoende avonddokter de opdracht een flinke hoeveelheid medicatie op te halen. In Ede betekent dat in de avond naar de dienstenapotheek gaan, die als enige open is.

Geen contract
Normaliter tikt de apotheek de rekening geautomatiseerd af met de verzekeraar. Maar sinds 1 januari werkt dat bij deze apotheek niet meer zo voor mijn moeder die is verzekerd bij een Achmea-dochter. Dus wordt de rekening niet geautomatiseerd voldaan, maar moet de klant zelf declareren via een papieren (dus kostbare procedure). “Zij hebben namelijk geen contract met ons afgesloten en dus moet u het voorschieten”, vertelde de apotheker me. “U kunt het dan later declareren.”

Een prachtig staaltje oorlogsvoering tussen een apotheker over de rug van de patiënt. Waarschijnlijk viel de prijsonderhandeling tegen en nu heeft de dienstenapotheek Achmea bij de ballen. Iedere rekening moet handmatig worden gedeclareerd en door de verzekeraar worden verwerkt. Ongetwijfeld een administratief dure grap, want tijdens het wachten hoorde ik het onzinargument in die anderhalf uur zeker tien keer langs komen.

Foute verzekeraar
Ook irriteerde de ondertoon mij enorm, want iedere keer werd er vilein bij verteld dat ‘het alleen maar bij Achmea zo is’. Ergo: moeders heeft de verkeerde verzekeraar gekozen. Als enige verstrekker van medicatie in de regio tijdens de avond en nacht heb je geen keus en schiet je de rekening voor.

Toen ik naar buiten liep vroeg ik me af hoe het zou verlopen als iemand de rekening om wat voor reden dan ook niet kan pinnen. Moet er dan een ambulance uitrukken om zo toch de zorg in een duur ziekenhuisbed te bieden of is men dan opeens wel in staat iets op rekening te leveren? Voor de klant is het gedoe, technisch is er geen reden om de administratie te frustreren en de zorg wordt er niet goedkoper van. Of ik nu de klant ben, mijn moeder of de verzekeraar maakt niet uit: Geen van drieën werden hier ook maar iets gelukkiger van.

Ruim drie miljoen boete voor het Groene Hart Ziekenhuis

Goed nieuws! De Europese Commissie neemt privacy serieus en als alles doorgaat wordt in 2015 een nieuwe Europese verordening aangenomen die bedrijven en organisaties dwingt fatsoenlijk met persoonsgegevens om te gaan.

Een van de prikkels is een boete tot twee procent van de omzet. Om de uitwerking van de plannen inzichtelijk te maken is er een calculator ontwikkeld om de toekomstige boete te kunnen berekenen.

De vragen zijn eenvoudig en wie eventjes met de calculator speelt, ziet meteen dat het overtreden van de wet veel gevolgen kan hebben voor. Dat is goed nieuws, want nu ontbreekt het aan een stok voor het College bescherming persoonsgegevens (CBP) om goed mee te slaan.

Hoe werkt het in de praktijk? Neem bijvoorbeeld het Groene Hart Ziekenhuis. Dat plaatste medische dossiers op een slecht beveiligde server, zo op internet. En net als bij Diginotar blijkt een wachtwoord overal te werken. Dat is een ernstige overtreding van verschillende wetten, want dit stond patiënten uiteraard niet voor ogen toen zij hun medisch gevoelige gegevens op internet zetten.

Henk Krol
Met de calculator van Considerati riskeert het Groene Hart Ziekenhuis onder de nieuwe regels een boete van 3,07 miljoen euro, bij een omzet in 2011 van ongeveer 154 miljoen euro. Nu er door het Groene Hart Ziekenhuis ook een overname van een ander ziekenhuis is gedaan, zou het datalek dus nog duurder uitvallen.

Het bloedlaboratorium Diagnostiek voor U zou volgens de calculator 578.000 euro mogen aftikken. Zij hebben een systeem in gebruik waarvan Henk Krol heeft aangetoond dat de dossiers erg slecht beveiligd zijn en waar onvoldoende gegevens worden gescheiden.

Niet meer in de slachtofferrol
U zult begrijpen dat ik niet kan wachten tot deze regels ingaan en dat de eerste organisaties op hun vingers worden getikt. Vanaf dat moment worden organisaties hopelijk eindelijk wakker en worden ze gedwongen hun maatschappelijke verantwoordelijkheid te nemen. Dat is toch iets anders dan zelf het slachtoffer uithangen voor je eigen falen. Dan moet het CBP naast extra bevoegdheden overigens wel echte mankracht krijgen om corporate, onverantwoord tuig aan te pakken.

Stop de vriendjespolitiek van het Nationaal Cyber Security Centrum

Op 22 en 23 januari organiseert de overheid een jaarlijks feestje rond cybersecurity. Iedereen is welkom als je maar tot de incrowd behoort – typerend voor de sfeer in de industrie.

Toen begin deze eeuw ICT-beveiliging eindelijk op de kaart kwam te staan bij de overheid werd Govcert opgericht. De dienst moet beveiliging verder helpen. Een van de wapenfeiten was het neerzetten van een conferentie genaamd ‘Govcert Symposium’. Inmiddels is Govcert opgegaan in het Nationaal Cyber Security Centrum en gaat de conferentie onder die naam door.

U betaalt de bijeenkomst
Niet dat er een gebrek is aan beveiligings- en hackerconferenties in Europa. Hackers, bedrijven en stichtingen organiseren continu dit soort evenementen. Deze conferentie is anders op een paar punten, waarvan de belangrijkste is dat u als belastingbetaler de rekening betaalt. Vorig jaar was dat bijna anderhalve ton.

Niet iedereen is welkom, ondoorzichtige criteria
Een ander verschil is dat niet iedereen welkom is. Op compleet ondoorzichtige criteria worden sommige beveiligingsexperts toegelaten en andere niet. Bij sommige lezingen worden journalisten geweerd, terwijl niet-gescreende mensen wel worden toegelaten. Waarom dat is, wordt niet of nauwelijks onderbouwd. Geheime zaken worden er overigens niet besproken, want via de Amerikaanse Wob kreeg ik vorig jaar een presentatie van de FBI in handen en eigenlijk was alles wat er stond ook bij elkaar te googelen.

Meer openheid
De bijeenkomst is mij een doorn in het oog – ondanks dat ik wel welkom ben – want juist een conferentie is erop gericht kennis te delen. Het is principieel onjuist een kleine groep mensen wel toe te laten en de rest te weigeren. Vanuit de beveiliging is dat soort geheimzinnigheid weinig behulpzaam, aangezien het ‘security through obscurity’ breed wordt gezien als slecht gedrag.

ALT-S
Met een groep mensen gaan we het nu anders doen. Op 22 januari ben ik een van de mede-organisatoren van een alternatief inhoudelijke conferentie ALT-S. We selecteren gasten niet op het feit of de overheid ze wel lief genoeg vindt, maar hopen juist dat kennis breed wordt gedeeld. De toegang is gratis met dank aan de sponsors, waardoor de belastingbetaler de rekening niet hoeft te betalen. Natuurlijk is de conferentie kleiner, maar het is zeker geen ‘bal der geweigerden’, want ook bezoekers van de NCSC-conferentie komen bij ons en de sprekers zijn van hoog niveau. Iedereen heeft het recht om naar beveiligingsconferenties te gaan, ook de maatschappijkritische mensen.

Het DigiD-systeem onvoldoende getest

Vorige week lag DigiD, het systeem dat we gebruiken voor het aanmelden op overheidssites en bij zorgvezekeraars, er een dag uit. Aanleiding was de ontdekking van een ernstig beveiligingslek in de DigiD-omgeving. De reactie van de verantwoordelijke overheiddienst Logius was snel en daadkrachtig, maar het had niet zover moeten komen dat DigiD plat ging. Pijnlijk duidelijk werd dat een simpele update van software vitale dienstverlening kan platleggen.

Weken zonder DigiD
In dit geval viel het mee, want na wat testen door Logius konden we een dag later weer inloggen. Maar bij een ingewikkelder lek kun je niet uitsluiten dat DigiD ook zelf aanpassingen nodig heeft en dan ligt de dienst er zo weken uit. Betekent dat vrijstelling van belastingaangiften, geen uitkeringen kunnen uitvragen, extra ambtenaren voor het regelen van een kapvergunning en dus het einde van de elektronische dienstverlening? Blijkbaar is er onvoldoende nagedacht over een plan B. Dat zagen we ook al bij Diginotar, toen overheden geen reservebeveiligingscertificaten voor noodgevallen bleken te hebben.

Kansen niet benutten
Afgelopen week werd ook duidelijk dat niet alleen het testen op uitval kennelijk tekort heeft geschoten, maar ook dat beveiligingsonderzoek de voordelen miskent van de gekozen software onder DigiD. Het platform bestaat uit open broncode die je mag analyseren en wijzigen. Juist bij zoiets belangrijks als het DigiD, een soort paspoort op internet, moet je dat voordeel benutten. Waar je er bij Microsoft, Adobe of andere leveranciers van platformen afhankelijk van bent dat zij wijzigingen doorvoeren en de broncode onderzoeken, kun je hier zelf het heft in handen nemen.

Dat voordeel van dit type programmatuur benutte de AIVD in 2011 bij het controleren van software voor veilig thuiswerken. Er werden problemen gevonden en verholpen. Iedereen profiteerde van de investering en niet in de laatste plaats de ambtenaren die de programmatuur gebruikten.

Investeren
Ook DigiD is als aanmelddienst een beveiligingsproduct en gebruikt als basis de webomgeving Ruby. Daar bleek opeens een lek in te zitten dat toegang gaf tot de database en die fout is het meest voorkomende probleem bij webapplicaties. Als je de broncode hebt kan en mag je niet stoppen bij het kijken naar alleen je eigen software. Hopelijk wordt daar nu budget voor vrijgemaakt.

Responsible disclosure richtlijn is onverantwoord risico

Donderdag introduceert minister Opstelten van Veiligheid en Justitie een richtlijn voor responsible disclosure. Het is een leuke gedachte-oefening, maar voor hackers bloedlink en volkomen zinloos.

De gedachte bij responsible disclosure is dat er een verantwoorde manier wordt gevonden om beveiligingsproblemen aan te melden bij organisaties. Daarbij is het de bedoeling dat het zo wordt gemeld dat niet meteen alle gegevens op straat liggen. Er was veel onduidelijkheid in de bestaande regelgeving en daarom heeft het National Cyber Security Center een richtlijn opgesteld.

Zelf melden
De basisgedachte is dat de ontdekker van een lek zichzelf meldt bij de betreffende organisatie. Die bepaalt vervolgens of ze aangifte doet of niet. Als men besluit tot aangifte, mag duidelijk zijn dat er meteen voldoende informatie is om de eerlijke melder juridisch aan te pakken. En in mijn werk zie ik helaas vaak gebeuren dat organisaties eerst zoveel mogelijk informatie tot zich nemen, om vervolgens alsnog aangifte te doen.

Ook gaat de richtlijn voorbij aan het feit dat het OM soms zelfstandig een onderzoek start en de afspraken uit de richtlijn, die gaan over de relatie tussen bedrijf en hacker, zijn dan volkomen zinloos. Dat gebeurde bijvoorbeeld in mijn strafzaak rond de OV-chipkaart, wat inmiddels door Lodewijk van Zwieten, dé cybercrime Officier van Justitie, op twitter is bevestigd.

Zoek geen contact met de media!
De route via de media wordt in de richtlijn ontraden, omdat privacygevoelige informatie dan meteen op straat zou liggen. Een vooroordeel van het kaliber ‘alle moslims zijn terroristen’, wát een onzin! Zelf meld ik altijd een lek bij een organisatie en publiceer ik geen artikelen voordat het lek gedicht is. Van de ruim 500 lekken die bij mij zijn gemeld is het slechts één keer voorgekomen dat er iets is gepubliceerd toen het lek niet gedicht was. Dat betrof een onwillige organisatie die het probleem bleef ontkennen en bleef hangen in dreigementen.

Bronbescherming
Maar voor de hacker zijn er belangrijkere redenen om juist wel via de media melding te doen. Journalisten hebben een bronbescherming waardoor de hacker uit de wind wordt gehouden. Daarnaast gaat het veel hackers (of: ontdekkers van zwakheden) er niet om die ene organisatie gelukkig te maken door ze op hun fouten te wijzen, maar willen ze een groot publiek waarschuwen voor de gevaren. Het gaat immers om hun gegevens en niet om het bedrijf of de overheidsinstelling.

Daarnaast is het ongelofelijk optimistisch te denken dat hackers zich met deze richtlijn rechtstreeks gaan melden, want je loopt nogal wat risico. In december werd al duidelijk dat het wantrouwen – juist door het handelen van de overheid – enorm groot is.

Naïef
Maar de richtlijn schiet op meer punten tekort. Als een organisatie het lek niet kan dichten mag er geen melding van worden gemaakt in de media, maar die dreiging kan juist helpen om net iets beter te zoeken naar een oplossing. En waarom zouden anderen (kwaadwillenden) niet hetzelfde lek kunnen vinden met alle gevolgen van dien?

Deze richtlijn toont de onvolwassenheid van de beveiligingsindustrie. In de luchtvaart leren we van fouten door ze publiek te maken en lessen te trekken. In de ICT houden we de problemen liever geheim en vervolgen we de boodschapper. Daarom zal ik nog jarenlang moeten schrijven over problemen die eenvoudig voorkomen hadden kunnen worden. Hoe responsible is dat?

Leve de hackers

Op het alweer 29ste Chaos Communication Congress (CCC) in Hamburg kwamen bijna 6000 hackers, activisten, wetenschappers, geïnteresseerden in technologie en andere nerds bij elkaar. Naast het spelen met technologie en het feesten, was de bijeenkomst dit jaar vooral een waarschuwing voor hoe technologie bedreigend voor de democratie kan zijn.

Angst voor de overheid, ook in het westen
Dat er een probleem speelt, wordt ieder jaar duidelijker uit verhalen van mensen die het zelf meemaken. De getuigenissen worden talrijker en komen niet alleen uit landen als Iran, China, of Zimbabwe.

Neem Jesselyn Radack die openhartig vertelt hoe zij als jurist bij het ministerie van Justitie in de Verenigde Staten adviseerde een terreurverdachte niet te martelen en hem bijstand van een advocaat te gunnen. Tegen het advies in werd de verdachte wel gemarteld en zonder advocaat verhoord. De e-mails werden gewist en kwamen niet in het strafdossier. Totdat zij met papieren uitdraaien in de hand de zaak aan het licht bracht. Daarop keerde het systeem zich tegen haar en dat resulteerde in een strafzaak en het zwart maken bij nieuwe werkgevers.

Twee oud-medewerkers van de Amerikaanse geheime dienst NSA vertellen in dezelfde lezing hoe zij strafrechtelijk werden aangepakt, lastercampagnes moesten laten welgevallen, huiszoekingen over zich heen kregen en zelfs een pistool tegen het hoofd gedrukt kregen. Allemaal omdat zij – conform de geldende regels – aankaartten dat mensen massaal werden getapt. Dat is niet alleen keihard ontkend door leidinggevende in een verklaring voor het congres, maar ook ongrondwettelijk.

Herkenbare symptomen
Ik bezoek de conferentie een kleine tien jaar en inmiddels zijn bovenstaande voorbeelden geen incidenten meer. Ook in Nederland zien we dat minister van Justitie Ivo Opstelten massaal gegevens opslaat en onze politie toestemming wil geven in te breken in buitenlandse computers. Nieuwe bevoegdheden gaan telkens gepaard gaat met een toenemend gebrek aan transparantie. De overheid bestrijdt goede initiatieven rond transparantie met het inperken van ons recht om te weten wat de overheid doet.

Leve de hacker
Hackers signaleren de problemen niet alleen, maar dragen ook oplossingen aan. Neem bijvoorbeeld een komende technologie om ervoor te zorgen dat harde schijven zichzelf vernietigen als onbevoegden eraan zitten. Een overheid die een kopietje draait krijgt dus niets.

Er is kortom veel om hackers dankbaar voor te zijn. De ervaringen met technologie leren dat oplossingen zelden van overheden komen. Het zijn altijd de intelligente hackers die hun werk met liefde delen aan de gemeenschap. Tenminste, als overheden niet in de weg staan. Steeds vaker zien we wetgeving en debatten gericht op het verbieden van die technologieën, die soms aantoonbaar mensenlevens redden. Hackers zijn vaak hun tijd vooruit en de tijd geeft ze bovengemiddeld vaak gelijk.

Heeft u al een Rus in uw computer?

Wat zou u ervan vinden als criminelen meekijken met iedere handeling die u op uw computer verricht en daar een kopie van bewaren? Ik wil u niet bang maken, maar voor Nederlandse computers is het helaas de realiteit.

Afgelopen week mocht ik meekijken met beveiligingsonderzoeker Rickey Gevers van het bedrijf Digital Investigation naar zijn ontdekking. Het bedrijf, gespecialiseerd in digitale opsporing, wist de hand te leggen op een kopie van een groot moederschip van een botnet. Dit Pobelka-botnet van geïnfecteerde computers werd gebruikt om de gegevens honderdduizenden van voornamelijk Nederlandse computers te verzamelen. De data werden geïndexeerd en in een database bewaard.

Netjes toegankelijk
Nu de informatie in handen van Gevers was, kon ik zien wat criminelen zoal verzamelen. Met stijgende verbijstering zag ik:

de indeling van het netwerk van een grote multinational;
lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken;
productontwikkeling van een technologisch hoogstaand bedrijf;
de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt;
welke medewerker op een ministerie precies aan welke Kamervragen werkt;
welke software precies op welke computer staat, hoe de politie precies haar werk doet in een zaak;
informatie die op diverse redacties circuleert;
welke medewerkers in een ziekenhuis welke verslagen schrijven.
Van nervositeit stotterde ik, want ik vroeg me af wie er eigenlijk niet in de gaten werd gehouden door de criminelen.

Tot in detail is inzichtelijk wie op welk moment actief is. Beter dan een prikklok ooit zal kunnen, zie je wie wanneer actief is en hoe productief hij is. Wat je noemt de natte droom van iedere slavendrijver. Geen geheim blijft voor de criminelen verborgen, want ieder wachtwoord is keurig in de database opgeslagen. Van ieder document is een kopie beschikbaar. Al zou je de database onderscheppen, nog jaren blijft het risico dat gevoelige informatie naar buiten komt.

Gevers hoefde niet eens veel te doen om toegang te krijgen tot de informatie in leesbare vorm, aangezien de criminelen een nette website hadden gebouwd om netjes door de informatie te zoeken. Wie daar op inlogt kan op zijn gemak zoeken. Met een paar muisklikken komt het kleinste detail naar boven.

Miljoenen
Ik overdrijf niet als ik stel dat geïnfecteerde netwerken volledig zijn overgeleverd aan criminelen, die in een zwaar geautomatiseerd land als Nederland elk detail van de bedrijfsvoering kunnen zien. Dat is vele tientallen of honderden miljoenen waard en zeker ook interessant voor ons niet zo vriendelijk gezinde landen. Het functioneren van de Nederlandse overheid én bedrijfsgeheimen in één mooie database.

En dan moet u beseffen dat de 750Gb aan informatie die Digital Investigations in handen heeft slechts een klein deel vormt van alle informatie. Dit was slechts één van de vele netwerken. Bovendien worden de bestanden dagelijks opgehaald door de criminelen, die vermoedelijk in Rusland zitten. Veel oude documenten worden na veiligstellen gewist, zodat de schijven niet te vol raken. Een perfect backupsysteem van criminelen die met de dag meer documenten in handen krijgen.

Komkommernieuws
Dit botnet is uiterst professioneel opgezet. De software is geavanceerd en in staat zichzelf bij te werken en verborgen te blijven voor antivirussoftware. Kortom, de criminelen voeren een professionele operatie van gegevensdiefstal uit, waarbij Nederland bovengemiddeld veel aandacht krijgt.

Het Pobelka-virus blijkt onderdeel te zijn van het Citadel-netwerk. Misschien herinnert u zich deze naam nog van deze zomer. Toen bleken veel organisaties geïnfecteerd met het Dorifel-virus, een variant van dit netwerk, en beide zaken zijn duidelijk gelinkt. Toen onze crimefightende staatssecretaris Fred Teeven de zaak afdeed als komkommernieuws wees ik er al op dat het wel degelijk om zware criminaliteit gaat. Dat is nu gebleken.

Of ook u slachtoffer bent van deze criminelen kunt u controleren op een speciale website van Digital Investigation. De good guys vernietigen de gegevens en hebben mij laten tekenen voor geheimhouding van hetgeen ik heb gezien. De criminelen gaan ondertussen onvermoeibaar verder. Justitie stelt de zaak te onderzoeken, maar heeft het waarschijnlijk nog even te druk met Henk Krol achter tralies te krijgen.

UPDATE 15 februari: Donderdag kwam naar buiten dat de overheid laks is omgegaan met de gestolen informatie die in handen is van Digital Investigations.

Help mee digitale boeven vangen!

Mijn vrienden bij ReplaceDirect hebben uw hulp nodig. Vrienden? Ja, want nadat ik ze op deze plek erg kritisch heb benaderd ging het roer om. Ze gaan niet alleen beter met beveiliging om, maar nemen zelfs het voortouw in de industrie. Nu vragen ze uw hulp bij het opsporen van criminelen.

Begin dit jaar werd er bij de webwinkel ingebroken en werden klantgegevens ontfutseld die misbruikt worden voor oplichtingspraktijken. En het houdt niet op, ook nu is er een aanval bezig.

Paypal
Het bedrijf achter ReplaceDirect benaderde me om aandacht te vragen voor de nieuwste aanval. Criminelen hebben een nep Paypal-website gemaakt en vragen via een mail klanten in te loggen op de oplichterswebsite. Trapt u erin dan krijgen ze uw inlognaam en wachtwoord voor Paypal en daarmee kunnen ze u beroven. Phishing heet dat.

 
(De phishing-actie richt zich ook op Duitsland)

ReplaceDirect spant zich in om de website van internet te krijgen en zo deze aanval te stoppen. Dat is eenvoudiger gezegd dan gedaan. Daarom is het advies extra goed op te letten. Zoals u op de screenshot kunt zien, is de website van Paypal bijna niet van echt te onderscheiden.

 

Alleen de adresbalk toont een heel ander adres:

U moet dus waakzaam zijn. Ondertussen doet ReplaceDirect actief onderzoek naar het misbruik van de gegevens en wordt u verzocht eventueel ontvangen oplichtersmailtjes door te sturen naar [email protected]. Zo helpt u het onderzoek en mogelijk het achterhalen van de daders. Want zolang die niet gepakt zijn, lopen we elke dag risico.

Een mooi voorbeeld
Bovenstaand verzoek is uitzonderlijk, want ik ken geen webwinkel in Nederland die op deze manier de gevolgen van een hack tot een minimum probeert te beperken. Waar ReplaceDirect eerder dit jaar nog het slachtoffer was van een hack, heeft het inmiddels de ambitie om de veiligste webshop van Europa te worden. Grote stappen zijn al gezet en het bedrijf voldoet inmiddels aan lastig te behalen standaarden voor beveiliging. Een mooi voorbeeld hoe een bedrijf in korte tijd lering kan trekken uit zijn fouten, en uw veiligheid serieus neemt!