Met ongeveer de helft van de domeinnamen in de zorg is iets niet in orde. Van ongeveer dertig procent van de domeinregistraties ligt het volledige eigendom buiten de zorginstelling.
Dat blijkt uit onderzoek van SIDN, beheerder van het .nl-domein en Z-CERT, expertisecentrum voor cybersecurity in de zorg. Door de toenemende digitalisering van de zorg, verschuift de focus van fysieke naar digitale veiligheid. Patiëntgegevens, communicatie tussen zorgverleners en zelfs medische apparatuur zijn steeds meer afhankelijk van een betrouwbare en veilige online infrastructuur. Domeinnamen worden hierbij vaak over het hoofd gezien als potentieel risico. Toch laten recente datalekken zien dat kwetsbaarheden in domeinnaambeheer een cruciale rol kunnen spelen bij beveiligingsincidenten.
De instellingen onderzochten ongeveer 2.900 domeinnamen in verschillende zorggerelateerde sectoren. Daaruit blijkt dat zeker een derde van de domeinnamen niet op naam staat van de zorginstelling zelf. Ook zijn bij zo’n 17% van de domeinnamen in de jeugdzorg contactgegevens die niet van de zorginstelling zelf zijn. Een groot deel van de domeinnamen heeft dus aandacht nodig.
Een deel van de domeinnamen (ongeveer 7%) bevat verkeerde contactgegevens. Hoewel de domeinnaam wel op naam staat van de zorginstelling, zijn de contactgegevens niet van de organisatie. Bij de registratie staat dan het privé-mailadres van een medewerker, een extern webdesignbureau en in soms zelfs een lokale sportvereniging.
Dit soort domeinnamen kunnen zonder medeweten van de zorginstelling worden overgezet naar iemand anders, of zelfs opgezegd. Het probleem met verkeerde houderdata komt regelmatig voor. Bij jeugdzorg heeft ongeveer 17% van de domeinregistraties externe contactgegevens.
Veel domeinnamen niet van de instelling zelf
Bij ongeveer 30% van de onderzochte domeinregistraties is iemand anders eigenaar en dus niet de zorginstelling zelf. Vaak staat de domeinnaam dan op naam van een IT-dienstverlener of marketingbureau, maar soms zelfs op naam van een individuele arts of onderzoeker. Dit gebeurt vaak uit gemak. Een medewerker of externe partij registreert even snel een domeinnaam, zonder tussenkomst van de IT-afdeling.
Als de dienstverlening van de IT-leverancier vervolgens stopt, of de medewerker de organisatie verlaat, kan dit grote problemen veroorzaken. Vaak worden deze domeinnamen nog vertrouwd in interne mailservers en applicaties. Een kwaadwillende kan deze domeinnamen opnieuw registreren en inzetten om toegang te krijgen tot gevoelige gegevens.
Dit risico is vooral hoog bij kleinere organisaties, bijvoorbeeld in de verpleeg- en verzorgingshuizen en thuiszorg (VVT) en gehandicaptenzorg. Het gaat in deze sectoren om ongeveer 35% van de domeinnamen. Ook universitaire medische centra (UMC) scoren opvallend hoog (36%). Waarschijnlijk komt dat door het grote aantal domeinnamen dat zij gebruiken en de zelfstandigheid van onderzoekers en afdelingen.
Snelle oplossing is vaak niet de veiligste
Kenmerkend voor ziekenhuizen in het algemeen is dat ze vaak te maken hebben met websites van patiëntenverenigingen, jaarverslagen of fondsenwervende initiatieven (zoals “Vrienden van…”). Deze sites gebruiken vaak de huisstijl van het ziekenhuis, maar zijn niet in eigen beheer, met eigen externe hosting.
Het is begrijpelijk dat zorginstellingen, vooral kleinere, soms kiezen voor snelle oplossingen. Een handige medewerker of externe webdesigner regelt de domeinnaamregistratie, zonder dat de IT-afdeling erbij betrokken is. Dit lijkt efficiënt, maar kan later tot problemen leiden.
Het risico van dit soort goedbedoelde ‘schaduw-IT’ is bij de meeste partijen bekend en kent in de praktijk ook pijnlijke voorbeelden. Zo esd rt een domeinnaam van een ziekenhuis dat extern geregistreerd was en niet verlengd werd. Een anonieme partij registreerde vervolgens de domeinnaam die een kopie bevatte van de echte website, met een bestelportaal voor ongereguleerde medicatie.
Er waren ook domeinnaamregistraties die mogelijk malafide zijn. Het aantal is iets meer dan 2% van alle resultaten. Deze domeinnamen maken vaak gebruik van de naam van een zorginstelling, maar zijn geregistreerd door onbekende partijen, meestal met buitenlandse adressen en anonieme e-mailaccounts.
Bij typosquatting worden domeinnamen geregistreerd die sterk lijken op bijvoorbeeld een merknaam of de naam van een bedrijf of instelling, maar met kleine typefouten (bijvoorbeeld “…zieknhuis.nl”). Deze domeinen worden vaak geregistreerd door zogenaamde ‘domainers’. Zij hopen die later met winst door te verkopen. Dat kan aan de zorginstelling zelf zijn, of aan een kwaadwillende. In de tussentijd worden op deze domeinen vaak advertenties gehost die mogelijk malware verspreiden. Typosquatting komt het meest voor bij UMC’s (10%), ziekenhuizen en jeugdzorg (ongeveer 7%).
Tip:
- De vele gevaren van verlopen Google Apps-domeinen