Het aantal gevallen van cybercrime in de zorgsector neemt al een tijdje flink toe. Zo constateerde Z-CERT (expertisecentrum op het gebied van cybersecurity in de zorg) begin dit jaar nog dat het aantal ransomware-aanvallen op de Europese zorgsector flink groeit. Meerdere zorginstellingen in onder meer Nederland, Ierland, België en Frankrijk kregen inmiddels te maken met cybercriminelen die gevoelige data buitmaakten en – in ruil voor teruggave – losgeld eisten.
Steeds meer online data-uitwisseling
Ook in Nederland zijn zorginstellingen steeds kwetsbaarder voor digitale aanvallen van buitenaf. Een belangrijke reden daarvoor is dat binnen de zorgketen steeds meer data online worden uitgewisseld. Denk maar aan de vele consulten die, sinds het uitbreken van de coronacrisis, worden uitgevoerd via een beeldverbinding. Handig met het oog op besmettingsrisico’s, maar het zorgt vanuit veiligheidsoogpunt wel voor extra kwetsbaarheden. Slecht beveiligde online verbindingen kunnen door kwaadwillenden eenvoudig worden misbruikt om een netwerk binnen te dringen. Ook het uitwisselen van informatie en documenten tussen zorgverleners verloopt lang niet altijd veilig; e-mail, maar ook communicatiekanalen als WhatsApp, WeTransfer en Dropbox, zijn vaak makkelijk te kraken. En verder is medische apparatuur steeds vaker verbonden met andere systemen via het Internet of Things (IoT). Handig met het oog op een snelle uitwisseling van informatie (denk maar aan een CT- of MRI-scanner die medische beelden automatisch uploadt naar het PACS), maar ideaal voor hackers om makkelijk binnen te kunnen dringen.
Hackers steeds inventiever
Wat cybersecurity in de zorg extra uitdagend maakt, is dat het gaat om privacygevoelige patiëntdata. Het legt extra druk op zorginstellingen en zorgverleners om zorgvuldig om te gaan met gegevens, zeker nu cybercriminelen steeds inventiever en brutaler worden. Zo zijn phishing-mails (waarbij medewerkers bijvoorbeeld worden verleid om op een verdachte link te klikken) steeds vaker niet van echt te onderscheiden. Ook weten hackers steeds vaker de achterdeurtjes in een netwerk te vinden, onopgemerkt door traditionele antimalware-oplossingen. Ransomware die op deze manier binnenkomt is een groeiend probleem. Om te voorkomen dat patiëntdata op straat komen te liggen of worden verhandeld op het dark web, gaan veel zorginstellingen uiteindelijk toch over tot het betalen van losgeld. Ook DDoS-aanvallen (waarbij hackers systemen ‘platleggen’ via een data-bombardement) komen geregeld voor. In maart nog werd de hostingprovider van het West-Brabantse Bravis-ziekenhuis getroffen door een DDoS-aanval, met als gevolg dat de website en het persoonlijke patiëntportaal van het ziekenhuis lange tijd uit de lucht waren.
Slimme technologie, doordacht beleid
In de strijd tegen cybercriminaliteit speelt slimme technologie uiteraard een belangrijke rol. Nu hackers steeds geraffineerdere methodes hanteren, zullen ook de beveiligingsoplossingen die zorginstellingen inzetten moeten ‘meegroeien’. Daarbij gaat het bijvoorbeeld om geavanceerdere technieken voor het veilig uitwisselen van bestanden en informatie (zoals Cryptshare), multi-factor authenticatie (waarbij medewerkers in meerdere stappen moeten inloggen) en endpoint-detectie (waarbij het hele netwerk voortdurend wordt gemonitord op afwijkende activiteit).
Minstens zo belangrijk is een doordacht beleid rondom security. Elke organisatie moet voldoen aan bijvoorbeeld de AVG (de Europese richtlijn voor bescherming van persoonsgegevens) en binnen de zorg ook aan andere wet- en regelgeving. Daarnaast moet ook worden voldaan aan, zorg specifieke, normeringen voor informatiebeveiliging. Op het gebied van patchbeleid, netwerksegmentatie en offboarding van personeel valt er vaak nog veel winst te behalen.
Aandacht voor de mens
Nóg een vlak waarop veel winst mogelijk is: de mens. Medewerkers die op een verdachte link klikken, rondslingerende usb-sticks, hergebruik van wachtwoorden: de mens is niet zelden de zwakste schakel binnen het beveiligingsbeleid. Maar denk bijvoorbeeld ook eens aan het inzien van patiëntendossiers zonder dat daar noodzaak toe is. Ook in dat soort situaties wordt gesproken van een datalek. Des te belangrijker dus, om in je cybersecurityaanpak voldoende ruimte in te bouwen voor bewustwording. Wijs medewerkers op de gevaren, train hen in het herkennen van risico’s en blijf dit herhalen.
Zeker in de zorg – waar binnen de zorgketen steeds vaker zeer gevoelige gegevens online worden gedeeld – ligt het gevaar van cybercrime altijd op de loer. Des te meer reden om goed na te denken over de inrichting van je beveiligingsbeleid, binnen de driehoek van mens, technologie en beleid.
