Hack Bevolkingsonderzoek onderdeel van grotere ransomware-aanval

De hack bij het lab Clinical Diagnostics NMDL, waarbij persoonsgegevens van 485.000 deelnemers aan het Bevolkingsonderzoek werden gestolen, heeft ook huisartsen getroffen. De hack waardoor de gegevens van alleen al 485.000 deelnemers van het Bevolkingsonderzoek Nederland zijn gelekt is veel groter dan gedacht. Bovendien is het een ransomware-aanval, zo meldt Z-Cert, het cybersecuritycentrum van de zorg: ‘Op basis van door de hackersgroep gedeelde samples hebben wij kunnen vaststellen dat ook de eerstelijnszorg, waaronder huisartspraktijken, is geraakt.’ De aanval was gericht op een Nederlandse vestiging van het Franse, beursgenoteerde laboratoriumconglomeraat Eurofins, Clinical Diagnostics LCPL. Die doet voor veel instellingen laboratoriumonderzoek. ‘Zodra de melding bij ons binnenkwam, zijn onmiddellijk technische maatregelen genomen om verdere risico’s te beperken, waaronder het isoleren van de betrokken omgeving en het intensiveren van monitoring,’ aldus het bedrijf. Als voorzorgsmaatregel waren ook de werkzaamheden in dat lab stilgelegd. Die zijn inmiddels weer hervat, ‘nadat kon worden vastgesteld dat alle systemen veilig konden opereren.’ Belangrijkste persoonsgegevens gestolen De hack gaat veel verder dan die van vorige week bij KLM. Zo is van patiënten alle informatie gestolen om officiële handelingen te verrichten: naam, geslacht, geboortedatum, adres, BSN, en de naam van de zorgverzekeraar. Ook bedrijfsgegevens zijn gestolen: organisatienaam, AGB-code, contactgegevens en gegevens over het aangevraagde onderzoek. ‘Alle betrokken systemen zijn veiliggesteld en weer volledig functioneel. We hebben op korte termijn extra maatregelen getroffen binnen ons hele netwerk om het risico op herhaling van dergelijke incidenten te minimaliseren,’ aldus het lab. De hack vond plaats tussen 3 en 6 juli, maar de getroffen organisaties, zoals Bevolkingsonderzoek Nederland, zijn pas een maand later, op 6 augustus inhoudelijk erover geïnformeerd. Vandaag is het pas doorgegeven aan de media. Afgezien van de toegang die de cybercriminelen hadden, is ook vastgesteld dat persoonsgegevens gekopieerd zijn. Desgevraagd wilde het lab nog geen verdere details geven.