Waarom Nederlandse (zorg)instellingen nu direct moeten handelen.
Op 11 maart werd de medische tech-gigant Stryker getroffen door een massale cyberaanval. De gevolgen zijn wereldwijd voelbaar: interne Microsoft-omgevingen raakten ontregeld en Windows-apparaten (laptops en telefoons) werden op afstand gewist. De Iraans-gelinkte groep Handala claimt de aanval en zegt 50 TB aan data te hebben buitgemaakt.
Hoewel de exacte methode niet is bevestigd, wijzen alle sporen naar misbruik van Microsoft Intune en Entra ID. Dit incident bewijst: aanvallers hebben geen ransomware meer nodig om een organisatie lam te leggen; toegang tot de beheerlaag is voldoende.
De impact op de Nederlandse zorgketen
Stryker is de ruggengraat van veel moderne ziekenhuizen. Van operatiekamers en IC’s tot de spoedeisende hulp: overal wordt vertrouwd op hun apparatuur en support.
Hoewel de Nederlandse patiëntenzorg op dit moment nog niet direct is geraakt, is de situatie kritiek:
- Logistieke blokkade: Het Europese distributiecentrum in Venlo heeft momenteel geen toegang tot bepaalde systemen. De levering van cruciale medische producten is hierdoor onzeker.
- Ketenrisico: Een hack bij een leverancier is een hack bij een ziekenhuis. Zorg-cybersecurity is keten-cybersecurity.
- Monitoring: Z-CERT adviseert instellingen om alle aan Stryker gekoppelde systemen extra scherp te monitoren.
Belangrijkste adviezen van Pinewood
De ‘Stryker-wipe’ laat zien dat toegang met administratorrechten (zoals Global Admin) fataal is. Wij adviseren Nederlandse organisaties om direct de volgende stappen te nemen:
- Audit uw beheerrollen onmiddellijk
Ga ervan uit dat beheerrollen gecompromitteerd kunnen zijn. Controleer met hoge prioriteit:
- Conditional Access-beleid: Zijn er onverklaarbare wijzigingen?
- Intune & Entra ID: Controleer apparaat-acties, roltoewijzingen en app-registraties.
- Logging: Stuur alle auditlogs zoals Intune en Entra-ID naar een SIEM voor 24/7 monitoring.
- Compliance‑ en app‑protectiebeleid
- Beveilig beheeraccounts (Foutloos)
Eén gecompromitteerde Global Admin kan de hele organisatie wissen.
- Gebruik overal Phishing-resistant MFA.
- Implementeer PIM (Privileged Identity Management) voor ‘just-in-time’ toegang.
- Implementeer Strikt gecontroleerde break‑glass accounts
- Beheer systemen nooit vanaf onbeheerde (unmanaged) apparaten.
- Handhaaf strikt ‘Least Privilege’
Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.
- Verwijder verouderde rollen.
- Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.
- Gebruik Protected Actions voor kritieke aanpassingen in de configuratie.
- Beperk wie Intune device actions mag uitvoeren
- Controleer wie service principals en app‑registraties mag maken
- Oefen crisisscenario’s (Beyond Ransomware)
Stryker had continuïteitsplannen, maar de verstoring is alsnog wereldwijd. Oefen specifiek op:
- Tenant-lockout: Wat als beheerders zelf niet meer kunnen inloggen?
- Out-of-band communicatie: Hoe communiceert u als Microsoft Teams/Outlook platligt?
- Handmatige herstelprocessen: Hoe herbouwt u duizenden gewiste apparaten tegelijk?
Belangrijkste Conclusie: > Het overnemen van de identity- en endpoint-managementlaag is de nieuwe frontlinie. Als deze laag valt, mag de patiëntenzorg dat niet doen. Neem cybersecurity serieuzer dan ooit.
Wilt u weten of uw Microsoft-omgeving optimaal is beschermd tegen dit type aanvallen? Neem contact op met Pinewood voor een security audit of advies.
