Interview met de directeur Wim Hafkamp en security specialist Jan Hanstede van Z-CERT door de DeCrisismanager
Je wapenen tegen cybercriminelen doe je het beste door samen te werken. Zorginstellingen, zoals ziekenhuizen en een groot deel van de GGZ, doen dat sinds 2017 in het samenwerkingsverband Z-CERT. Wat doet Z-CERT precies? En waar zien zij nog kansen voor verbetering? Een interview met de directeur Wim Hafkamp en security specialist Jan Hanstede.
Ik ontmoet Wim Hafkamp en Jan Hanstede op het Z-CERT-kantoor in hartje Amersfoort. Het is vrij stil op het kantoor. Lege bureaus domineren het beeld. “Maar schijn bedriegt”, vertelt Jan. Zo’n 30 collega’s werken, veelal vanuit huis, voor deze organisatie. “En we zijn nog altijd groeiende”, voegt Wim toe. “Steeds meer zorginstellingen en zorgkoepels sluiten zich bij ons aan. Ook groeien we doordat we steeds meer producten en diensten toevoegen.”
Kun je uitleggen wat jullie precies doen?
“Onze core business is dat we continu op zoek zijn naar kwetsbaarheden die een gevaar kunnen zijn voor de IT-systemen waar zorginstellingen mee werken. We informeren onze deelnemers over alle kwetsbaarheden die we vinden. Zo kunnen zij maatregelen nemen om te voorkomen dat zij gehackt worden.
Soms wordt een kwetsbaarheid actief misbruikt door cybercriminelen. Dan slaan we groot alarm. We nemen contact op met alle aangesloten zorginstellingen zodat ze meteen de juiste maatregelen kunnen treffen. Ook benaderen we geregeld niet-deelnemers die gevaar lopen om hen te waarschuwen.
Het is dan echt een kat- en muisspel, want de hackers weten dan ook dat er een kwetsbaarheid in één van de systemen zit. Zij zullen er alles aan doen om via die kwetsbaarheid binnen te dringen bij organisaties. Zorginstellingen die niet snel genoeg handelen, lopen een groter risico om gehackt te worden.”
Hoe gaan zorginstellingen over het algemeen met dat soort situaties om?
"Onze deelnemers pakken dat soort signalen vaak direct goed op. Zij begrijpen dat het belangrijk is om meteen maatregelen te nemen en doen dat ook.
Het is lastiger om niet-deelnemers snel te bereiken. Dan bellen we bijvoorbeeld met een huisartsenpraktijk die op dat moment gevaar loopt. Zij weten meestal niet meteen wie we zijn en waar het over gaat. Daardoor handelen ze vaak niet snel genoeg. Ook zijn de problemen veelal complex, waardoor er soms fouten worden gemaakt. Dus dan denken zorginstellingen dat zij het hebben opgelost. Maar omdat ze iets over het hoofd hebben gezien, lopen ze een langere tijd een verhoogd risico dan deelnemers die wel meteen de juiste maatregelen hebben genomen.”
Welk type zorginstellingen zijn voor jullie gevoel het meest kwetsbaar bij zo’n dreiging?
“Kleine zorginstellingen zijn over het algemeen kwetsbaarder dan grote zorginstellingen, zoals ziekenhuizen. Dat komt omdat zij minder feeling hebben met IT. Vaak hebben zij de IT uitbesteed en liften ze mee op de beveiliging van hun leverancier. Ze vertrouwen erop dat hun leverancier de cybersecurity op orde heeft. Dat is lang niet altijd het geval.”
Hoe weet je dat je met een leverancier werkt die zijn cybersecurity op orde heeft?
“In ieder geval niet door volledig te vertrouwen op een certificaat. Het is goed als een organisatie bijvoorbeeld ISO 27001 of NEN-75 gecertificeerd is. Dit is een goede kapstok waarlangs de security van organisatie opgebouwd kan worden. Echter dit moet niet het enigste zijn. Een ISO-certificaat geeft namelijk alleen weer dát een leverancier cybersecurity-maatregelen heeft genomen. In de norm staat niet omschreven hóe hij dat moet doen.
Om een voorbeeld te geven: in de NEN 7510-norm staat dat een leverancier back-ups moet maken. Maar er staat niet in omschreven hoe vaak hij dat moet doen en waar die back-ups staan. Als die back-ups online bewaard worden, loop je als zorginstelling nog steeds het risico dat ze bij een hack vernietigd worden.
Daarom is het, bij het selecteren van een leverancier, belangrijk om de juiste vragen te stellen. Komen zij bijvoorbeeld meteen in actie als wij een kwetsbaarheid aan hen doorgeven? Of handelen ze alle kwetsbaarheden eens per maand af? Misschien is het als zorginstelling lastig om de juiste vragen te stellen. Je hebt enige kennis van IT nodig om goed te doorgronden wat een leverancier daadwerkelijk voor je doet. Daarom kan het raadzaam zijn om een adviseur te vragen om te helpen.”
Hoe vaak worden zorginstellingen aangevallen?
“Zorginstellingen worden dagelijks aangevallen, bijvoorbeeld met kwaadaardige mail. Meestal wordt dat onderschept. Toch zijn er het hele jaar door ook serieuze incidenten, zoals een succesvolle aanval met gijzelsoftware of een gehackte mailbox van een bestuurder. Eens per twee of drie maanden komen er zeer ernstige kwetsbaarheden aan het licht, zoals we dat bijvoorbeeld gezien hebben met Citrix en Microsoft Exchange.”
Hoe gaan jullie om met die serieuze incidenten?
“Dan nemen we maatregelen. Bij een phishing-mail halen we bijvoorbeeld de domeinnaam uit de lucht, zodat anderen geen slachtoffer meer kunnen worden. Ook helpen we de getroffen zorginstelling met het doen van aangifte. En we waarschuwen de andere deelnemers zodat ook zij weten dat deze mail rond gaat. Daardoor kunnen zij daar extra alert op zijn.”
Sinds vorig jaar werken jullie ook met een ZorgDetectieNetwerk (ZDN). Hoe werkt dat?
“Dat is echt ons paradepaardje. Grote zorginstellingen, zoals ziekenhuizen, monitoren continu hun eigen systemen. Als cybercriminelen hun systemen benaderen, zien zij dat gebeuren. Deze cybercriminelen laten een digitaal spoor achter. De zorginstellingen zien bijvoorbeeld door welk IP-adres ze benaderd zijn en welke kenmerken dat IP-adres heeft.
Het is belangrijk om die digitale sporen snel met elkaar te delen. Zo weten ook andere zorginstellingen dat zij dit IP-adres moeten weren. Om het delen van die informatie zo snel mogelijk te laten verlopen, hebben zo’n 70 grote zorginstellingen hun monitoringsysteem aangesloten op ons ZorgDetectieNetwerk. Via deze applicatie kunnen zij hun digitale sporen direct met elkaar delen. We zijn hier vorig jaar mee gestart en we zagen meteen dat het werkte. Een van onze deelnemers werd aangevallen en het spoor werd direct gedeeld. Zo’n 5 minuten later probeerde de hacker het bij een andere zorginstelling. Hij had daar geen kans van slagen meer, omdat het systeem van de tweede zorginstelling hem herkende en uit het systeem weerde.”
Dat is een mooie ontwikkeling. Zijn er meer initiatieven waar jullie mee bezig zijn?
“We zijn bezig met het opzetten van een red team-programma voor onze leden. Het doel van dit programma is het structureel verhogen van de weerbaarheid van de deelnemende zorginstellingen door de cybersecurity te testen tegen realistische dreigingen in een dagelijkse operationele (ICT-)omgeving van de instellingen. Met andere woorden zorginstellingen worden gehackt op een manier die we ook in het echt vaak zien. Daar leert de zorginstelling heel veel van. In de financiële sector in Nederland gebeurt dit al een aantal jaren. We zouden het goed vinden om dit ook voor onze leden te doen.”
Zorginstellingen kunnen ook een commerciële partij vragen om een red team-actie bij hen uit te voeren. Welk voordeel heeft het om mee te doen met een red team-programma dat door jullie gecoördineerd wordt?
“Het grote voordeel is dat wij hun systemen kennen. Ook een vriendelijke hacker kan schade toebrengen aan ICT-systemen. Zeker in de zorg kan dat ernstige gevolgen hebben. Wij kennen de systemen in de zorg goed, waardoor we een programma zorgvuldig kunnen opzetten en mogelijke schade kunnen voorkomen. Ook is het gemakkelijker om de lessons learned van de diverse testen met elkaar te delen, als wij het programma coördineren.”
Wanneer willen jullie hiermee starten?
“We zijn nu de haalbaarheid aan het onderzoeken. Vervolgens leggen we dit voor aan het Ministerie van VWS en de aangesloten zorginstellingen. Als zij hun commitment geven en voldoende financiële middelen ter beschikking stellen, kunnen we het volgend jaar al van start laten gaan.”
Hebben jullie meer ambities?
“We willen onze rol als expertisecentrum op het gebied van cybersecurity voor zorginstellingen nog verder uitbreiden. Daarom organiseren we seminars en verspreiden we whitepapers. Ook beheren we online community’s waarin de deelnemers kennis met elkaar kunnen delen.”
Is er ook nog iets wat jullie missen in het cybersecurity-landschap in Nederland?
“Ja. Een gecoördineerde aanpak, zoals je dat bij andere dreigingen ook hebt. Bij een brand heb je in Nederland een goed GRIP-systeem waarbij je steeds hoger kunt opschalen. Voor cybersecurity is dat er niet en dat is een gemis. Ook bij een grote cyberaanval is het belangrijk om op te schalen en beter met elkaar samen te werken. Wij zijn niet de aangewezen partij om zo’n gecoördineerde aanpak op te zetten. Het zou bijvoorbeeld wel passen bij de veiligheidsregio’s, de NCTV of het NCSC.”
Is er nog een laatste advies dat je graag aan zorginstellingen zou willen geven?
“Ja. Sluit je bij ons aan. Deelnemers betalen weliswaar een onkostenvergoeding maar we zijn geen commerciële partij. Dus we zeggen dit niet omdat we eraan willen verdienen. Maar als een zorginstelling zich bij ons heeft aangesloten, hebben we een contactpersoon. Daardoor kunnen we hen bij een grote dreiging sneller bereiken en ondersteunen.
En als tweede: deel zo veel mogelijk informatie met ons. Dit klinkt misschien als een open deur, maar het is wel belangrijk. Hoe meer informatie we krijgen, hoe sneller we kunnen reageren en hoe groter de kans is dat we een cyberaanval kunnen voorkomen.”
Bron: decrisismanager.nl | Maaike Tindemans
Actuele aanvallen overzicht per dag 》
Rapporten bekijken of downloaden 》
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
AI voert zelf de aanval uit en firewalls als ingang
Het cybernieuws van donderdag 2 en vrijdag 3 juli 2026 werd beheerst door één rode draad, aanvallers verschuilen zich achter wat organisaties juist zouden moeten vertrouwen. Onderzoekers documenteerden de eerste ransomware die volledig door een AI agent werd aangestuurd, terwijl gestolen inloggegevens van tienduizenden firewalls rechtstreeks aan ransomware werden gekoppeld. Tegelijk brak een reeks actief misbruikte lekken los aan de rand van het netwerk, van Citrix NetScaler tot Microsoft SharePoint. In eigen land stond een datalek bij een hogeschool bijna een jaar open, arresteerde de Belgische politie een negentienjarige als vermeend kopstuk van een phishingbende, en klonk de geopolitiek door in dronespionage en de zoektocht naar digitale soevereiniteit.
Verdachte gezocht na bankhelpdeskfraude in Den Helder
Een 72-jarige vrouw uit Den Helder is slachtoffer geworden van bankhelpdeskfraude, waarbij een man haar geld, sieraden en andere waardevolle spullen bij haar thuis ophaalde. De politie heeft de zaak op 1 juli 2026 opnieuw onder de aandacht gebracht en toont camerabeelden van de verdachte en van de gestolen sieraden.
Golf actief misbruikte lekken en AI als aanvalswapen
Het cybernieuws van dinsdag 30 juni en woensdag 1 juli 2026 stond in het teken van een golf kritieke kwetsbaarheden die nu daadwerkelijk worden misbruikt, van beheersoftware tot bedrijfsapplicaties. Daarnaast werd kunstmatige intelligentie op steeds meer manieren een aanvalsvlak, van browsers die zich laten ompraten tot verzonnen domeinen die aanvallers alvast registreren. In eigen land toonde De Nederlandsche Bank hoe hard de fraude in het betalingsverkeer groeit, terwijl de opsporing resultaat boekte en de geopolitiek opnieuw doorklonk in de spionage tegen overheden.
Cyberoorlog nieuws
Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.
Opsporing nieuws
Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.
Russische jacht op Signal en een golf kritieke lekken
Het cybernieuws van zaterdag 27 tot en met maandag 29 juni 2026 liet drie sterke rode draden zien. De FBI, CISA en de Oekraïense veiligheidsdienst waarschuwden alle drie voor dezelfde Russische campagne die niet de versleuteling van Signal kraakt, maar gebruikers hun herstelsleutel laat afstaan. Tegelijk werd kunstmatige intelligentie zichtbaar als zowel wapen als doelwit, van gekaapte softwarepakketten die ontwikkelaars bestelen tot een schone projectmap die een AI codeassistent verleidt om zelf malware uit te voeren. Onder de oppervlakte liep een golf van kritieke kwetsbaarheden met publieke exploitcode, terwijl de Benelux werd geraakt door een datalek bij zeilsoftware en een aanhoudende aanval op hotels, en de opsporing en de geopolitiek opnieuw met elkaar verweven raakten rond Jaguar Land Rover.
Operation Endgame tegen infostealers, Canvas onzeker
Het cybernieuws van donderdag 25 en vrijdag 26 juni 2026 stond in het teken van twee grote dossiers en een breed patroon. Een internationale operatie, bekend als Operation Endgame, ontmantelde de infrastructuur achter de infostealers Amadey en StealC en de dropper SocGholish, met het Team High Tech Crime van de Nederlandse politie als een van de trekkers. Tegelijk blijft de omvang van het datalek bij het onderwijsplatform Canvas voor Nederland onbekend, omdat leverancier Instructure niet kan aangeven welke gegevens precies zijn buitgemaakt. Onder de oppervlakte loopt opnieuw een rode draad, aanvallers mikken op vertrouwen via de servicedesk, de browser en vertrouwde apps, terwijl kritieke lekken in netwerkapparatuur en in Chrome actief worden misbruikt en de opsporing op meerdere fronten resultaat boekt.
Verdachte gezocht na bankhelpdeskfraude in Hoofddorp
Een 74-jarige vrouw uit Hoofddorp is op 22 april 2026 slachtoffer geworden van bankhelpdeskfraude, waarbij criminelen 8000 euro van haar rekening pinden. De politie heeft duidelijke camerabeelden van een verdachte en vraagt om hulp bij zijn identificatie.
Fortinet treft 270 Belgische bedrijven, Joomla-lek 10.0
Het cybernieuws van dinsdag 23 en woensdag 24 juni 2026 stond in het teken van één groot dossier en een breed patroon. Het datalek bij Fortinet blijkt minstens 270 Belgische organisaties en honderden Nederlandse systemen te raken, terwijl de onderliggende oogstcampagne FortiBleed meer dan 110 miljoen inloggegevens verzamelde. Daarnaast wordt een kritiek lek in de Joomla Content Editor met de hoogste score van 10.0 actief misbruikt, en doken vier nieuwe darkweb-claims op tegen Belgische en Nederlandse bedrijven. Onder de oppervlakte loopt een rode draad: aanvallers oogsten en verhandelen toegang, en de software-toeleveringsketen en de tooling rond kunstmatige intelligentie worden een steeds groter doelwit.
Belgische Staatsveiligheid gehackt, SRA op leaksite
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 20 tot en met maandag 22 juni. De Belgische inlichtingendienst bleek via een lek bij een toeleverancier te zijn getroffen, de Nederlandse accountantskoepel SRA verscheen op de leaksite van LockBit 5, en Fortinet gaf nu ook zelf een dringende waarschuwing uit over de FortiBleed campagne. Daarnaast legde ESET de werkwijze van de ransomwaregroep Gentlemen bloot, doken nieuwe kwetsbaarheden op die directe actie vragen, en speelden oplichters in op de zomervakantie, de belastingaangifte en de Wereldbeker. We lopen het thema voor thema langs.
Financiën gehackt via zeroday, politie rolt SocGholish op
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 18 en vrijdag 19 juni. Het Ministerie van Financiën maakte bekend dat het in maart via een onbekend lek werd gehackt, de Nederlandse politie haalde samen met internationale partners het beruchte SocGholish netwerk offline, en de inloggegevens van bijna 74.000 Fortinet firewalls bleken op straat te liggen. Daarnaast bracht F5 twee kritieke noodpatches uit voor de webserver NGINX, liep kunstmatige intelligentie als wapen, zwakke plek en geopolitiek drukmiddel door het hele dreigingsbeeld, en kreeg een fraudeur met deepfakes een stevige celstraf. We lopen het thema voor thema langs.
Vrouw gezocht na identiteitsfraude in Heemstede
De politie zoekt een vrouw die op zaterdag 4 april 2026 een pakket ophaalde bij een afhaalpunt in Heemstede dat niet van haar was. Ze toonde daarbij een foto van het identiteitsbewijs van het echte slachtoffer en nam het pakket mee.