2min Security

RDI start onderzoek na ransomware-aanval ChipSoft

RDI start onderzoek na ransomware-aanval ChipSoft

De Rijksinspectie Digitale Infrastructuur onderzoekt de beveiliging van EPD-leverancier ChipSoft. Aanleiding is de ransomware-aanval van afgelopen april, waarbij criminelen medische patiëntgegevens buitmaakten. De toezichthouder wil weten wat er precies is gebeurd en onder welke omstandigheden de aanval kon plaatsvinden.

De RDI kijkt naar wat er misging, hoe de aanval mogelijk was en wat de impact ervan is geweest. ChipSoft levert software voor elektronische patiëntendossiers en is daarmee een dominante speler in de Nederlandse zorg. Naar schatting werkt ruim 70 procent van de ziekenhuizen met het HiX-systeem van het bedrijf.

Die dominante positie maakt het onderzoek relevant. Want als een enkele leverancier zoveel ziekenhuizen bedient, heeft een incident al snel landelijke gevolgen. Dat bleek in april maar al te goed.

Wat er in april gebeurde

ChipSoft ontdekte de aanval op 7 april. Aanvankelijk sprak het bedrijf nog van een ‘data-incident’ en stelde het dat persoonsgegevens waarschijnlijk niet betrokken waren. Later bleek het tegendeel, want forensisch onderzoek bevestigde de diefstal van medische persoonsgegevens bij meerdere zorginstellingen.

De aanval werd opgeëist door een ransomwaregroep, die claimde honderd gigabyte aan data te hebben gestolen. Onder meer het Franciscus Gasthuis, Meander MC en het Albert Schweitzer Ziekenhuis werden daarbij geraakt. Getroffen zorginstellingen deden meer dan zestig datalekmeldingen bij de Autoriteit Persoonsgegevens.

Eind april liet ChipSoft weten dat de buitgemaakte bestanden waren vernietigd. Minister Sterk van Langdurige Zorg plaatste daar in een Kamerbrief een kanttekening bij. “Ik merk echter op dat nooit met volledige zekerheid vast te stellen is dat de buitgemaakte bestanden ook daadwerkelijk volledig zijn vernietigd.”

Toezicht via de Wbni

ChipSoft is een digitale dienstverlener en valt daardoor onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Die wet verplicht bedrijven om passende technische en organisatorische maatregelen te nemen. De RDI houdt toezicht op de naleving ervan.

“Incidenten zijn helaas niet altijd te voorkomen. Wel verwachten we dat organisaties hun beveiligingsmaatregelen op orde hebben”, laat de toezichthouder weten. Hoe de aanvallers precies binnenkwamen, is nog altijd niet vastgesteld. Het forensisch onderzoek daarnaar loopt nog steeds.

De RDI heeft ChipSoft niet als enige in het vizier. De toezichthouder doet ook onderzoek naar de ransomware-aanval bij Odido, waar gegevens werden gestolen van miljoenen klanten.