Ziekenfonds OZ getroffen door cyberaanval. Welke 6 acties ondernam het na de hacking?
Het Onafhankelijk Ziekenfonds (OZ) werd getroffen door een cyberaanval. Hackers konden gegevens van klanten stelen via een zwak punt in het systeem en een menselijke fout. Hoe het OZ reageerde op de cyberaanval inspireert andere bedrijven in het verhogen van hun cyberveiligheid .
"Beste Mijnheer …,
OZ Onafhankelijk Ziekenfonds werd getroffen door een cyberaanval. Hackers hadden hierdoor toegang tot klantgegevens. Onmiddellijk na deze vaststelling werd het datalek gedicht. De gelekte gegevens werden niet openbaar gemaakt."
Met deze boodschap informeerde het ziekenfonds de ongeveer 190.000 klanten met een online account op 'Mijn OZ' over de hacking waarvan ze het slachtoffer werd.
Ook een menselijke fout
Hoe kwam de hacking aan het licht?
"Op 7 september 's avonds meldde een ongekende afzender dat er een zwakheid zit in ons systeem", zegt algemeen directeur Rik Selleslaghs aan Het Nieuwsblad.
Hackers gingen tijdens een aanval bewust op zoek naar kwetsbaarheden in het beveiligingssysteem van OZ. In combinatie met een menselijke fout konden er gegevens worden ingekeken, gelinkt aan het online platform 'Mijn OZ'. Dat is het online kantoor waarmee bepaalde transacties met het ziekenfonds worden geregeld.
De hackers gingen aan de haal met persoons- en contactgegevens, bankrekeningnummers, voorkeuren, verzekeringen & betaalinformatie, familiegegevens en volmachten, medische akkoorden en informatie over terugbetalingen, uitkeringen en ziekteperiodes.
6 acties na hacking
Wat het OZ heeft ondernomen leest als een handleiding voor elk getroffen bedrijf. Ontdek hier hun 6 acties.
Actie 1. Het datalek dichten
De IT-dienst van OZ schoot meteen in actie toen de hackers meldden dat ze aan data konden in de systemen van het ziekenfonds.
"Het datalek werd onmiddellijk gedicht", communiceerde OZ aan zijn klanten. "Vervolgens hebben we de afgelopen dagen onze systemen meermaals getest. Ook de interne en externe controles en procedures werden extra verscherpt."
Actie 2. Bevoegde autoriteiten inlichten
Wie te maken krijgt met een datalek van persoonsgegevefns kan een melding maken bij de Gegevensbeschermingsautoriteit via een elektronisch formulier. Dat deed het OZ onmiddellijk.
Het OZ zegt dat hackers toegang hadden tot klantgegevens na een cyberaanval en geeft aan dat de dader beweert de gegevens verwijderd te hebben.
➡ Je bent gehackt? Cybercriminelen gijzelen je? Je organisatie is het slachtoffer van phishingmails of een ddos -aanval? Dit artikel zegt je waarom en hoe je deze cyberaanval aangeeft bij de politie.
OZ legde ook klacht neer bij het CERT, het Cyber Emergency Team van de federale overheid. Wil je zelf een incident melden? Dan kan dit via deze link.
Actie 3. Overleg met andere ziekenfondsen
De organisatie informeerde meteen de andere Belgische ziekenfondsen. "Met onze informatie hebben zij ook hun systemen getest", zegt algemeen directeur Rik Selleslaghs aan de media.
Actie 4. Geen losgeld betalen
De hacker lichtte het OZ in met de Engelstalige boodschap dat het mogelijk was om gegevens te onderscheppen. Hij of zij eiste losgeld om het incident stil te houden. Daarop besloot OZ zelf over de cyberaanval te communiceren.
Het ziekenfonds betaalde niets aan de hackers.
Actie 5. Klanten informeren
Voor de cyberaanval in de media kwam, informeerde OZ zijn klanten via mail. Ook communiceert het heel open via de speciale webpagina over de cyberaanval.
"We nemen de bescherming van uw persoonlijke gegevens bijzonder ernstig", schreef de organisatie aan zijn klanten. "We excuseren ons dan ook oprecht en blijven er alles aan doen om een nieuwe inbreuk te vermijden."
Actie 6. Waarschuwen voor phishing
Hoewel de hacker aangeeft dat de gegevens zijn verwijderd, is het OZ voorzichtig. Het waarschuwt zijn klanten voor phishing als de gegevens alsnog misbruikt worden.
Klanten weten dat ze extra op hun hoede moeten zijn voor volgende zaken:
- Kijk goed naar de afzender, het e-mailadres en spelfouten.
- OZ vraagt nooit per mail, telefonisch of sms om wachtwoorden te wijzigen of te delen.
- OZ vraagt nooit om op een link te klikken of om geld terug te storten.
Ze mogen hun wachtwoord veranderen. Maar OZ geeft aan dat dat niet hoeft.