Huisartsenorganisatie Medrie werd getroffen door een Business Email Compromise (BEC) waarbij de mailbox van een kantoormedewerker werd overgenomen. Het resultaat: 2283 patiënten zagen hun BSN-nummer, naam en adresgegevens in handen komen van aanvallers. Een klassiek voorbeeld van hoe één gecompromitteerd account kan leiden tot een significante GDPR-inbreuk.

Wat gebeurde er precies?

Bij deze aanval kreeg een onbekende partij tijdelijk toegang tot een mailbox waarin zich een document bevond met persoonsgegevens die gebruikt werden voor de afhandeling van betalingen tussen zorgverzekeraars en huisartsen in de regio Zwolle, Flevoland en Hardenberg.

De impact: hoewel er geen aanwijzingen zijn van misbruik, moesten alle 2283 getroffen patiënten geïnformeerd worden en werd melding gedaan bij de Autoriteit Persoonsgegevens - procedures die niet alleen reputatieschade veroorzaken, maar ook aanzienlijke tijd en middelen kosten.

Hoe kon dit gebeuren?

Hoewel Medrie de exacte compromittatiemethode niet heeft vrijgegeven, zijn er enkele waarschijnlijke scenario’s op basis van vergelijkbare incidenten:

1. Credential Theft via Phishing

De meest voorkomende oorzaak van mailbox compromises is phishing, waarbij medewerkers worden verleid hun inloggegevens in te voeren op een valse loginpagina. Moderne Adversary-in-the-Middle (AiTM) phishing kan zelfs MFA-tokens onderscheppen, waardoor ook accounts met tweefactorauthenticatie kwetsbaar zijn.

2. Credential Stuffing

Als de medewerker hetzelfde wachtwoord gebruikte voor meerdere diensten, en één daarvan eerder werd gecompromitteerd, kunnen aanvallers via credential stuffing toegang krijgen tot de mailbox.

3. Ontbrekende of zwakke MFA

Uit commentaar op Security.nl blijkt dat Medrie Office 365 gebruikt. Als er geen MFA was geïmplementeerd, of alleen SMS-gebaseerde MFA (kwetsbaar voor SIM-swapping), is het account relatief eenvoudig over te nemen.

Wat deden de aanvallers waarschijnlijk?

Na toegang tot de mailbox volgen aanvallers doorgaans een vast patroon:

  1. Surveillance: Ze lezen e-mails om financiële processen en communicatiepatronen te begrijpen
  2. Inbox Rules: Ze creëren regels om antwoorden automatisch te verbergen of door te sturen
  3. Data Exfiltratie: Interessante documenten worden gekopieerd
  4. Persistence: OAuth tokens of andere toegangsmethoden worden ingesteld om toegang te behouden

In dit geval lijkt het erop dat de aanvallers in fase 3 zijn ontdekt voordat ze tot frauduleuze betalingen konden overgaan - een geluk bij een ongeluk.

Hoe voorkom je dit?

Technische Controls

1. Phishing-resistant MFA implementeren

  • Gebruik FIDO2 hardware tokens of Passkeys
  • Vermijd SMS- of email-gebaseerde MFA
  • Implementeer Conditional Access policies die risicovolle logins blokkeren

2. Email security hardening

  • DMARC op p=reject configureren (met SPF en DKIM)
  • External email forwarding blokkeren of monitoren
  • External email tags toevoegen voor gebruikersbewustzijn
  • ATP/Defender for Office 365 gebruiken voor geavanceerde detectie

3. Data Loss Prevention (DLP)

  • Identificeer gevoelige data (BSN, medische gegevens)
  • Voorkom dat grote bestanden met PII per mail verzonden kunnen worden
  • Implementeer sensitivity labels voor classificatie
  • Gebruik Information Barriers waar nodig

4. Least Privilege & Data Governance

  • Vraag jezelf af: waarom heeft deze medewerker toegang tot dit bestand?
  • Gebruik SharePoint met proper permissions in plaats van files in mailboxen
  • Implementeer Data Access Governance Reviews
  • Encrypted storage voor gevoelige data

Detection & Response

5. Monitoring implementeren

Monitor op:

  • Logins vanaf ongebruikelijke locaties/IP’s
  • Nieuwe inbox rules (vooral forwarding)
  • Bulk downloads/exports van mailbox data
  • OAuth consent grants
  • Aanpassingen aan MFA settings

6. User Awareness Training

  • Train medewerkers op moderne phishing technieken
  • Simuleer AiTM phishing attacks
  • Maak een cultuur waarin melden van verdachte emails normaal is
  • Implementeer een duidelijk escalatieproces

7. Incident Response Plan

  • Definieer wat te doen bij vermoedens van mailbox compromise
  • Wie moet er gealarmeerd worden?
  • Hoe isoleer je het account snel?
  • Hoe bepaal je de blast radius?

Specifiek voor de Zorgsector

Organisaties in de zorg hebben te maken met extra compliance requirements:

  • NIS2: Meldplicht binnen 24 uur bij significante incidenten
  • GDPR: Verplichte melding bij AP binnen 72 uur
  • Wzd: Eisen rondom informatiebeveiliging in de zorg
  • NEN7510: Normenkader voor informatiebeveiliging in de zorg

Een incident als dit kan leiden tot:

  • Boetes van de AP (tot 4% van de jaaromzet of €20 miljoen)
  • Civiele claims van patiënten
  • Reputatieschade en verlies van vertrouwen
  • Extra audit-intensiteit van toezichthouders

Conclusie

Het Medrie-incident illustreert opnieuw dat email het zwakste punt blijft in veel organisaties. Een enkele gecompromitteerde mailbox kan leiden tot een significante datalekmelding met alle bijbehorende consequenties.

De belangrijkste lessen:

  1. Implementeer phishing-resistant MFA - dit alleen al had dit incident zeer waarschijnlijk kunnen voorkomen
  2. Gevoelige data hoort niet in mailboxen - gebruik proper document management met granulaire permissions
  3. Monitor actief op indicators of compromise - vooral inbox rules en abnormale login patterns
  4. Zero Trust: vertrouw geen enkele mailbox - elke financial/data request moet via een second channel geverifieerd worden

Voor organisaties die werken met gevoelige persoonsgegevens, en zeker in de zorg, is dit geen “nice to have” maar een absolute noodzaak.Bron artikel.Photo by Khyta on Unsplash.

A white nurse's cap with a red cross emblem is displayed on a clear stand against a black background.