ChipSoft beweert dat alle gegevens die zijn gestolen bij de ransomware-aanval van begin april zijn vernietigd. Het bedrijf zegt niet of het losgeld betaalde aan de aanvallers.
Cybersecurityexperts van het bedrijf bevestigden de vernietiging op wat ChipSoft een ’technisch juiste wijze’ noemt. Wat dat precies inhoudt, laat het bedrijf in het midden.
ChipSoft laat ook niet weten of het losgeld betaalde. Eerder was duidelijk dat er wel onderhandelingen met de aanvallers hadden plaatsgevonden. “De bescherming van de gegevens van onze klanten heeft voor ons altijd de hoogste prioriteit. In deze uitzonderlijke situatie heeft dat belang zeer zwaar gewogen”, aldus het bedrijf.
Van eerste hack tot databevestiging
De ransomware-aanval werd op 7 april ontdekt door medewerkers van ChipSoft. Het bedrijf sprak aanvankelijk van een ‘data-incident’, maar bevestigde ruim een week later dat medische persoonsgegevens waren gestolen. ChipSoft haalde Zorgportaal, HiX Mobile, HAS Relay en Zorgplatform offline als voorzorgsmaatregel.
De aanval was het werk van de ransomwaregroep Embargo, die dreigde de gestolen data te publiceren. ChipSoft heeft niet ontkend of bevestigd dat het losgeld betaalde om die publicatie te voorkomen. Een dergelijke betaling wordt sterk afgeraden door politie en bewindspersonen, maar is niet illegaal.
Herstel verloopt voorspoedig
ChipSoft is de grootste leverancier van software voor elektronische patiëntendossiers in Nederland, met een marktaandeel van meer dan 70 procent bij ziekenhuizen. Bij huisartsenpraktijken is dat lager, maar ook daar is ChipSoft een grote speler. De getroffen software betreft HiX on-premises, HiX SaaS en het SaaS-patiëntenportaal gehost via ChipSoft, aldus Z-Cert.
Het bedrijf meldt dat het herstelproces ‘voorspoedig’ verloopt, maar dat dit ‘zorgvuldigheid en tijd’ vraagt. Zorginstellingen die de software in eigen beheer uitvoeren of door derden laten beheren, waren niet getroffen.
Het forensisch onderzoek naar de oorzaak van de aanval loopt nog. Hoe de aanvallers aanvankelijks toegang kregen tot de systemen, is nog niet vastgesteld. ChipSoft staat in contact met Z-Cert, de Autoriteit Persoonsgegevens en het Centre for Cyber Security Belgium.