SingHealth Cyber Attack: voorkomen is beter dan genezen

Afgelopen week was het weer raak. Deze keer in Singapore waar een cyber aanval plaatsvond op het IT systeem van SingHealth, de grootste zorginstelling van het land met onder andere 9 aangesloten ziekenhuizen. Het resultaat van de hack is dat persoonlijke gegevens, waaronder NRIC-nummer (vlg BSN-nummer in Nederland), etnische achtergrond en medicatie, van 1,5 miljoen patiënten zijn ontvreemd.

Bij het doorlezen van de vele nieuwsberichten over dit incident wordt mij duidelijk dat het alles in zich heeft om de leerboeken in te gaan als voorbeeld van hoe je niet met gevoelige persoonsgegevens om moet gaan. Het SingHealth systeem vertoont kwetsbaarheden en vormt bovendien een bijzonder aantrekkelijk doelwit voor cybercriminelen.

Wat is er misgegaan?

Een computer in het netwerk is geïnfecteerd met malware. De malware bevatte software die is gebruikt door de hackers om verder door te dringen in het systeem en zich toegang te verschaffen tot meer kritische onderdelen waarna uiteindelijk de diefstal is uitgevoerd.

Had de diefstal voorkomen kunnen worden?

Het antwoord op die vraag komt in twee delen. In een van de berichten staat dat de diefstal heeft kunnen plaatsvinden doordat de credentials van een systeembeheerder zijn ontvreemd waarmee toegang tot de database kon worden verkregen. Als verantwoordelijke voor kwetsbare systemen ga je er altijd van uit dat logon credentials mogelijk in verkeerde handen terechtkomen (bijv. door middel van phishing, fraude of zelfs afpersing). Zeker wanneer het aantal gebruikers van een systeem groot is (in dit geval 26.000 gebruikers), vormt dit een reëel risico.

Waar je wel voor kunt zorgen is dat bovenstaande niet resulteert in de vervolgdiefstal van gegevens zoals bij SingHealth het geval was. Op basis van een systematische benadering kunnen heel wat maatregelen worden genomen die de kans op een dergelijke vervolgdiefstal reduceert tot een acceptabel (rest)risico. De vraag is natuurlijk welke maatregelen Singhealth heeft genomen en welke niet: Wat rechtvaardigt een useraccount met toegangsrechten die het mogelijk maken om 1,5 miljoen records op te vragen? Werd er dan geen multifactor authenticatie toegepast? Zat er geen restrictie op het gebruik van deze account? Zat er geen online realtime eventdetectie op het gebruik? Werd er wel of niet gebruik gemaakt van locatiebeperking door middel van white/blacklisting? Werd er gewerkt met protocollen op basis van 4/6-ogen principe? Allemaal vragen waar het antwoord misschien later nog op volgt.

Bovenstaande laat overigens onverlet dat kleinschalige diefstal van gegevens vrijwel niet te voorkomen valt. Hoe kun je bijvoorbeeld voorkomen dat iemand een foto maakt met zijn mobiele telefoon van een scherm waarop gegevens worden getoond en deze vervolgens doorstuurt naar een kwaadwillende kompaan? In dit soort situaties is het vooral een kwestie van betrouwbare en integere medewerkers.

Hoe groot is de schade?

Behoorlijk enorm! De directe schade als gevolg van dit incident is dat SingHealth veel maatregelen heeft genomen (bijvoorbeeld het loskoppelen van het internet van 26.000 werkstations) en nog moet nemen om de schade te beperken. En op termijn komen daarbij de onderzoekskosten en reparatiekosten en, zeer waarschijnlijk, schadeclaims van slachtoffers van de diefstal. Maar niet alleen SingHealth lijdt schade. Ook andere instellingen in Singapore, en ver daarbuiten, worden nu gedwongen, onder druk van autoriteiten en publieke opinie, om extra maatregelen te nemen die de gevolgen van de diefstal moeten inperken (banken in Singapore moeten nu bijvoorbeeld verplicht extra verificatie stappen uitvoeren bij de identificatie van hun klanten). Daarnaast is het nationale programma voor verdere digitalisering van de Singaporese maatschappij tijdelijk stopgezet in afwachting van de uitkomsten van het onderzoek naar dit incident.

Had die schade kleiner uit kunnen vallen?

Ik denk van wel. De omvang en gevoeligheid van de gegevens die ontvreemd zijn, zijn hierin allesbepalend. Niet alleen de diefstal zelf maar ook de media-aandacht zorgen ervoor dat veel kostbare maatregelen worden getroffen door instanties die zich geroepen voelen om preventieve maatregelen te nemen die de bevolking gerust moeten stellen dat de zaak onder controle is c.q. een geïsoleerd incident betreft.

De omvang van het bestand

Het centraliseren van de opslag van gegevens van meerdere instellingen in een groot bestand is om operationele redenen te verklaren maar maakt het systeem kwetsbaar. Een incident met een dergelijk bestand, en dat betreft dan niet alleen datalekken maar ook inbreuk op beschikbaarheid, kan grote gevolgen hebben. Separeren van gegevens in kleinere blokken kan hier helpen. De kans op een incident neemt dan statistisch gezien toe maar de mogelijke gevolgen per incident zijn veel minder desastreus.

Het beperken van de omvang van het systeem kan ook worden gerealiseerd door gegevens zo snel mogelijk te archiveren. Het lijkt erop dat de dataretentie policy scherper kan worden gedefinieerd (de gestolen gegevens betroffen een periode van meer dan 3 jaar.) In veel systemen bestaan er wel regels voor het archiveren van records maar veelal zijn deze gebaseerd op het maximaliseren van gebruikersgemak en niet op veiligheid.

De gevoeligheid van de gegevens

De gegevensverzameling bevatte buitengewoon gevoelige informatie: naam, adres, ras en NRIC-nummer en tevens informatie over medicatie. Deze informatie is potentieel bijzonder waardevol en kan voor allerlei legitieme en minder legitieme zaken worden gebruikt zoals marketing, profilering maar wellicht ook afpersing en andere kwalijke praktijken. In heatmap termen hangt hier zonder meer het risico ‘business critical’ aan.

De oplossing licht voor de hand: zorg ervoor dat de verzameling minder risicovol wordt door het NRIC-nummer niet op te slaan in het bestand met naam en adresgegevens. Hetzelfde geldt voor de etnische gegevens. Verder kunnen technieken als anonimiseren, pseudonimiseren en versleuteling worden toegepast om de gevoeligheid verder te reduceren.

Conclusie?

Het is lastig om vanuit een kantoor in Nederland een sluitende analyse te maken over wat er in Singapore is gebeurd, maar het lijkt erop dat het hier op een aantal plekken structureel niet goed zit waar de oorzaak op strategisch niveau misschien wel moet worden gezocht in de bedrijfseconomische hoek. Het systeem is inherent kwetsbaar doordat bepaalde gebruikersaccounts zeer ruime bevoegdheden hebben op een grote verzameling van uiterst gevoelige persoonlijke gegevens.

Diefstal van gegevens valt nooit helemaal uit te sluiten, maar met behulp van risico en scenario analyse, preventie en detectie en incident response kan de omvang enorm worden beperkt en daardoor veel schade worden voorkomen. Wat dat betreft geldt ook hier “voorkomen is beter dan genezen”.

Cybercrime: Is uw CIO net zo belangrijk als uw CFO?

De maatschappij vertrouwt erop dat uw organisatie afspraken nakomt, integer handelt en informatie op adequate wijze beschermt. Bent u zich voldoende bewust van uw verantwoordelijkheid? Het Whitepaper ‘Bestuurders en toezichthouders: let op uw zaak!’ staat vol met concrete handvatten om de volgende stap te zetten.

Contact

Marc Paats

Marc Paats

Tel: 06 57 07 18 70

Jan Pieter Pak

Jan Pieter Pak

Tel: 06 23 03 65 86

Marc Paats

Marc Paats

Tel: 06 57 07 18 70

Jan Pieter Pak

Jan Pieter Pak

Tel: 06 23 03 65 86

Jerome van Donk

Jerome van Donk

Tel: 06 82 30 87 36

Iris van Dijk

Iris van Dijk

Tel: 06 30 90 98 08