Domeinnaambeheer blijkt niet op orde is bij veel zorginstellingen. Zo staat bijna een derde van de onderzochte domeinnamen niet op naam van de zorginstelling. Ook zijn bij zo’n 17 procent van de domeinnamen in de jeugdzorg contactgegevens geregistreerd die niet van de zorginstelling zijn. Dat blijkt uit onderzoek van SIDN en Z-CERT, het expertisecentrum voor cybersecurity.
Door de toenemende digitalisering van de zorg, verschuift de focus van fysieke naar digitale veiligheid. Patiëntgegevens, communicatie tussen zorgverleners en zelfs medische apparatuur zijn steeds meer afhankelijk van een betrouwbare en veilige online infrastructuur. Domeinnamen worden hierbij vaak over het hoofd gezien als potentieel risico. Toch laten recente datalekken zien dat kwetsbaarheden in domeinnaambeheer een cruciale rol kunnen spelen in het ontstaan van beveiligingsincidenten.
Uit het onderzoek blijkt dat bijna de helft van de onderzochte domeinnamen van zorginstellingen problemen vertoont. Deze problemen variëren van onjuiste registratiegegevens tot potentieel malafide praktijken. In dit artikel bespreken we de meest voorkomende problemen, de risico’s en geven we handvatten om deze aan te pakken.
Een deel van de domeinnamen (ongeveer 7%) bevat verkeerde contactgegevens. Hoewel de domeinnaam wel geregistreerd is door de zorginstelling, zijn de bijbehorende contactgegevens niet van de organisatie. Bij de registratie staat dan het privémailadres van een medewerker, een extern webdesignbureau en in een enkel geval zelfs een lokale sportvereniging. Staan de contactgegevens niet op naam van de organisatie, dan kan de domeinnaam zonder medeweten van de zorginstelling worden overgezet naar iemand anders, of worden opgezegd. Het probleem met verkeerde houderdata komt regelmatig voor. Bij jeugdzorg zien we dat ongeveer 17% van de domeinregistraties externe contactgegevens bevat.
Bij ongeveer 30 procent van de onderzochte domeinregistraties ligt het eigendom buiten de zorginstelling. Vaak staat de domeinnaam dan op naam van een IT-dienstverlener of marketingbureau, maar soms ook op naam van een individuele arts of onderzoeker. Dit gebeurt vaak uit gemak: een medewerker of externe partij registreert even snel een domeinnaam, zonder tussenkomst van de IT-afdeling.
Als de dienstverlening van de IT-leverancier stopt, of als de medewerker de organisatie verlaat, kan dit grote problemen veroorzaken. Vaak worden deze domeinnamen nog vertrouwd in interne mailservers en applicaties. Een kwaadwillende kan deze domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens.
Dit risico is vooral hoog bij kleinere organisaties, zoals organisaties in de verpleeg- en verzorgingshuizen en thuiszorg (VVT), maar ook gehandicaptenzorg. Daar wordt rond de 35 procent van de domeinnamen extern beheerd. Ook universitaire medische centra (UMC) scoren opvallend hoog (36%), waarschijnlijk door het grote aantal domeinnamen dat zij gebruiken en de zelfstandigheid van onderzoekers en afdelingen. Kenmerkend voor ziekenhuizen in het algemeen: zij hebben vaak te maken met websites van patiëntenverenigingen, jaarverslagen of fondsenwervende initiatieven). Deze sites gebruiken vaak de huisstijl van het ziekenhuis, maar zijn niet in eigen beheer en worden extern gehost.
emerce
27-03-2025 11:55