Banken en andere financiële instellingen zijn tegenwoordig prima beveiligd. De keerzijde is dat cybercriminelen zich nu richten op minder goed beveiligde doelen waar zich ook waardevolle informatie bevindt, zoals zorginstellingen. Veel zorgpartijen leven in de veronderstelling dat ze niet aangevallen zullen worden omdat ze geen bank zijn. Zowel het bestuur als de werknemers zijn zich in veel gevallen niet bewust van de securityrisico’s – die direct impact hebben op de continuïteit en de reputatie van de organisatie. Toch zijn zorginstellingen een geliefkoosd doelwit aan het worden voor cybercriminelen.

Zorginstellingen hebben veel persoonlijke informatie in hun bezit en het is juist die informatie waar cybercriminelen naar op zoek zijn. Denk aan identiteitsgegevens van cliënten of patiënten en werknemers; informatie die op internet veel geld oplevert. Medische informatie levert circa zestig dollar per record op en dat is meer dan de circa veertig dollar die bijvoorbeeld kredietkaartinformatie oplevert. Om maar aan te geven wat de waarde is van de informatie die zorginstellingen in handen hebben en dat de noodzaak bestaat deze informatie te beveiligen.

Losgeld

Cybercriminelen zetten onder andere phishing-mails in, met een link waar medewerkers van een instelling op klikken. Hierdoor kan ransomware geïnstalleerd worden, waarna de zorginstelling geen beschikking meer heeft over bepaalde systemen of documenten. Steeds vaker verschijnen in de media berichten over malware die in zorginstellingen het gehele proces stilleggen. In Amerika (Hollywood Presbyterian Medical Center), Duitsland (Lukas Krankenhaus in Neuss en Klinikum Arnsberg), maar ook in België zien we zorginstellingen die lamgelegd worden door cyberincidenten. Zo stonden vorig jaar een maand lang alle patiëntengegevens online van de Algemene Ziekenhuizen van Mechelen en Malle door een slecht beveiligde website.

Het losgeld is vaak aan de lage kant; veelal maar één of enkele bitcoins. Vanwege de lage bedragen, zal een zorginstelling, indien er geen andere oplossingen zijn, snel overgaan tot betaling. Alleen maar om zo snel mogelijk weer te beschikken over de gegijzelde systemen en informatie. Bovendien kost het inhuren van specialisten meer. Het lage losgeldbedrag is ook een duidelijke aanwijzing dat er niet doelgericht is aangevallen. Zou de aanvaller een specifieke zorginstelling willen treffen, dan zou hij zonder twijfel meer geld vragen.

Eenvoudig

Dat het relatief eenvoudig is een zorginstelling met succes aan te vallen, is ook om een andere reden niet vreemd. Zorginstellingen, en met name ziekenhuizen, zijn openbare gelegenheden, waar mensen voortdurend in en uit lopen.

De systemen staan in tegenstelling tot bij een bank of kantoor vaak open en bloot en zijn daardoor een makkelijke prooi. Bovendien worden steeds meer apparatuur van bezoeker en patiënten aan het netwerk gekoppeld. De ervaring leert dat medische systemen vaak voorzien zijn van standaardwachtwoorden en niet up-to-date zijn, waardoor weer risico’s ontstaan. Daarnaast hebben veel medische apparaten zoals MRI-scanners en usb-bloeddrukmeters geen enkele beveiliging. Wifi-netwerken die niet losgekoppeld zijn van de operationele systemen en kantooromgevingen, vormen eveneens een groot risico.

Continuïteit, imago, wet- en regelgeving

Voor zorginstellingen, en met name ziekenhuizen, zijn de belangrijkste bedrijfsrisico’s: verstoring van de continuïteit, imagoschade en het niet voldoen aan de wet- en regelgeving.
Ook een schot ‘digitale hagel’ kan die continuïteit ernstig bedreigen en onder andere grote imago- en financiële schade tot gevolg hebben. Patiënten en verwijzers kunnen het vertrouwen verliezen in een zorginstelling en naar andere instelling overstappen.
Daarnaast wil je voorkomen dat apparatuur op een operatiekamer wordt geraakt door ransomware, waardoor de fysieke veiligheid van een patiënt op het spel staat. Tot slot kan de instelling een forse boete oplopen als blijkt dat er niet aan de wet- en regelgeving is voldaan.

Stapsgewijs

De bijzondere situatie waarin zorginstellingen verkeren, vraagt om een gefaseerde aanpak. Het is niet realistisch om te verwachten dat met een enorm project binnen een korte tijd alle hier bovengenoemde dreigingen zijn weg te nemen zijn. Alleen al de bewustwording en cultuurveranderingen kosten de nodige tijd. En dan zijn er ook nog financiële beperkingen en het gebrek aan resources om de maatregelen uit te voeren.

Een duurzame verbetering van de security is in deze situatie haalbaar, mits men in deelprojecten de maatregelen uitvoert op basis van prioriteit. Aan de hand van een risico-inventarisatie is te bepalen welke van die risico’s de grootste impact op de zorginstelling hebben, en dus als eerste moeten worden aangepakt. Tegelijk is een traject in gang te zetten om het security-bewustzijn te bevorderen.

Financieel en organisatorisch haalbaar

Deze aanpak maakt het ook veel makkelijker dan voor een omvangrijk project om budget vrij te maken. Belangrijk voor het toewijzen van budget is dat de zorginstelling zich realiseert dat het hier om relatief nieuwe risico’s gaat die niet inzichtelijk zijn en direct (continuïteit van de zorg en dus de veiligheid van patiënten) of indirect (verlies vertrouwen patiënten of verwijzers door reputatieschade) tot zeer grote schade kunnen leiden.

Door in stappen de risico’s op organisatorisch en technisch gebied in kaart te brengen, deze op basis van prioriteit op te pakken en waar mogelijk uit te bannen, nemen bij de zorginstelling gaandeweg de risico’s af. En wel op een manier die zowel financieel als organisatorisch haalbaar is.


Deze bijdrage is geschreven door Martin Zandvliet, cybersecurityspecialist bij Fox-IT en verscheen eerder op: http://www.computable.be/artikel/opinie/zorg/5983481/5594140/cybercriminelen-richten-pijlen-op-zorginstellingen.html