Never waste a good crisis, luidt een bekend Engels spreekwoord. Dat doen we dan ook niet. We gaan met Erik de Jong van Tesorion nog eens langs de tijdlijn en de gebeurtenissen bij het Openbaar Ministerie (OM) en bij Clinical Diagnostics. Wat ging er goed, wat ging er minder goed en vooral, wat kunnen we ervan leren?

Het OM-incident: voorzorgsmaatregelen en transparante communicatie

Op 18 juli werd bekend dat het Openbaar Ministerie zichzelf van internet had afgesloten nadat het NCSC had gewaarschuwd voor mogelijk gecompromitteerde systemen. De oorzaak lag in een kwetsbaarheid in Citrix-apparatuur.

Wat opvalt aan de aanpak van het OM is de snelle en transparante communicatie. Binnen 24 uur werd de Tweede Kamer geïnformeerd, en er verschenen regelmatig updates over de voortgang van het herstel. Deze openheid staat in schril contrast met veel commerciële organisaties, die er vaak langer over doen, minder transparant zijn en dit soort incidenten ook geregeld helemaal stilhouden.

Edge device security: een kritiek aandachtspunt

Het incident benadrukt het belang van het beveiligen van edge device. Citrix NetScaler staat vaak aan de rand van het netwerk en is daardoor vrijwel continu blootgesteld aan aanvallen. Organisaties moeten edge devices zoals deze, VPN-gateways en andere randapparatuur voortdurend monitoren en onmiddellijk patchen.

Clinical Diagnostics: ransomware en communicatie-uitdagingen

Het tweede incident betrof Clinical Diagnostics, dat tussen 6 en 8 juli werd getroffen door een ransomware-aanval van de Nova-groep. Pas op 11 augustus (vier weken later dus) werd dit bekendgemaakt door Bevolkingsonderzoek Nederland. Deze vertraging roept vragen op over de naleving van meldingsverplichtingen onder de AVG.

De aanval had verstrekkende gevolgen: medische gegevens van ongeveer een miljoen Nederlanders kwamen in handen van cybercriminelen. Dit betrof niet alleen gegevens van bevolkingsonderzoeken, maar ook van huisartsen en andere zorgverleners die gebruik maakten van de laboratoriusdiensten.

De emotionele impact van medische datalekken

Hoewel de technische of monetaire impact van de gestolen medische gegevens misschien beperkt blijft, is de emotionele impact aanzienlijk groter. Mensen kunnen zich aangetast voelen in hun persoonlijke sfeer wanneer vertrouwelijke medische informatie wordt gestolen. Dit kan ertoe leiden dat burgers screening-programma’s gaan mijden. Dat laatste is onwenselijk, omdat dit kan betekenen dat potentieel dodelijke aandoeningen niet tijdig ontdekt worden.

De communicatie naar getroffen burgers bleek ook een uitdaging. Veel mensen begrepen niet goed wat er precies was gestolen en wat de risico’s waren. Dit benadrukt het belang van heldere, niet-technische communicatie bij datalekken.

