Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Zwarte markt voor medische gegevens groeit

Cybercriminelen breiden hun werkveld uit naar de gezondheidszorg. Het aantal ransomeware aanvallen is explosief gestegen en ook het ontvreemden van medische gegevens is in opkomst.
1. cybercrime.fotolia.jpg
Foto: Fotolia

Dat stelt Intel Security in het vandaag gepubliceerde Health Warning- rapport. 

Christiaan Beek, Director of Strategic Intelligence and Operations en mede-auteur van het rapport: ‘De markt voor gestolen medische gegevens is duidelijk in opkomst. Sinds maart 2016 zien wij een explosie van het aantal diefstallen. Cybercriminelen hebben in de Verenigde Staten complete databases van zorginstellingen leeg getrokken.’

Prijs
De prijs van gestolen medische gegevens loopt uiteen vanaf drie dollarcent tot 2,24 dollar (omgerekend 2,22 euro) per record. Vergelijkbare records van financiële gegevens worden te koop aangeboden voor 14 to 25 dollar (22,95 euro). Creditcard- en betaalpasgegevens zijn tussen de vier en vijf dollar waard. De meest lucratieve gezondheidszorggegevens die cybercriminelen proberen te bemachtigen, betreffen het intellectueel eigendom van farmaceutische- en biotech bedrijven. Volgens Beek is de waarde van medische gegevens in Nederland vergelijkbaar met die in de Verenigde Staten. ‘Dieven weten niet altijd precies wat ze met de gegevens kunnen. Als dat duidelijker wordt, gaat dat zeker de prijs opdrijven.’ 

Medische data
Medische gegevens zijn in potentie interessanter dan creditcard- en pinpasgegevens, zegt Beek: ‘Stel je verliest je pinpas, dan blokkeert de bank het oude account onmiddellijk en heb je binnen vier dagen een nieuwe kaart. Gestolen medische dossiers hebben een langere houdbaarheidsdatum omdat ze niet gemakkelijk zijn te wissen.’ Dieven zouden bijvoorbeeld kunnen proberen identiteitsfraude te plegen met de gegevens, een bankrekening te openen, een rijbewijs als gestolen te rapporteren of een zorguitkering te krijgen.

Waarde
Denk niet dat een dief niets kan met onvolledige gegevens, zegt Beek. ‘Ieder persoonlijk gegeven dat kan worden bemachtigd, is waardevol. Ook als het alleen geboortedata en patiëntnamen zijn. Aanvullende gegevens zijn gemakkelijk te vinden op internet. Dus ook als adressen van potentiële slachtoffers ontbreken, is het slechts een kwestie van tijd totdat de gegevens bruikbaar zijn. Juist door ze te combineren, stijgen ze in waarde.’

Beveiliging
In Nederland verwachten de onderzoekers vooral pogingen tot diefstal bij ziekenhuizen en zelfstandige behandelcentra. Dieven richten zich op kwetsbare instellingen. Zij weten welke software onveilig is en kijken vervolgens welke instelling die software gebruikt. Beek: ‘Wij zagen in de VS dat dieven toegang kregen tot de ziekenhuisdatabase door middel van de software die leveranciers krijgen om met het ziekenhuis zaken te doen. Software voor tandartsen bleek zo lek te zijn als een mandje.’

Kwetsbare software
Ook in Nederland moeten zorginstellingen veel kritischer zijn op de kwetsbare plekken in hun systemen, zegt Beek. ‘Er zijn softwareystemen op de markt waarmee je zelfs de standaardwachtwoorden niet kunt veranderen. In Nederlandse ziekenhuizen staat apparatuur die op internet is aangesloten maar waarvan het wachtwoord niet kan worden gewijzigd. Zo maak je het dieven wel heel gemakkelijk.’ Om gegevensdiefstal te voorkomen, zou je hier een extra ring van beveiliging omheen moeten bouwen. Of apparatuur die niet goed is te beveiligen verbieden, vindt Beek.

Goedkope elektronica
Een ander aspect is dat systemen steeds meer aan elkaar zijn gekoppeld. Zo kunnen dieven via een omweg, een apparaat dat aan internet is gekoppeld, toch in een offline-systeem komen. Er is een voorbeeld in de VS van een diefstal van creditcardgegevens waarbij de dieven toegang hadden gekregen via de onderhoudssystemen van de airconditioning van het bedrijf. Nu ook in ons land de mogelijkheden voor patiënten toenemen om in te loggen op ziekenhuissystemen, zou de aandacht ook moeten uitgaan naar de beveiliging van dergelijke systemen. Goedkope elektronica hebben meestal vaste, standaard wachtwoorden.

Darknetfora
Het onderzoeksteam van Beek zag op de internetfora die het doorzoekt, aanwijzingen voor het feit dat criminelen nog zoeken naar de manier waarop zij gestolen data te gelde kunnen maken. Beek: ‘Op darknetfora geven criminelen elkaar gratis advies. Wij zagen een vraag: ‘Ik blijk op de server van een ziekenhuis te zitten. Hoe krijg ik daar gegevens uit?’ Deze vraag werd gesteld door een kennelijk niet technische cyberdief die een tool had gekocht om een kwetsbare organisatie binnen te dringen. De vraag werd beantwoord. ‘Je hebt de jackpot, die gegevens kunnen je wel 15.000 dollar opleveren.’ Uiteindelijk wist de dief met tips van anderen 1000 medische records buit te maken.

Diefstal in opdracht
De onderzoekers kwamen op diezelfde fora ook opdrachten tegen tot het stelen van gegevens, zegt Beek: ‘We hadden onderzoek gedaan naar een inbraakpoging bij een van onze klanten. Toen we verder spitten, kwamen we er achter dat het voor sommige opdrachtgevers interessanter is om een formule te stelen dan zelf iets te ontwikkelen. Bijvoorbeeld in de farma- en biotechwereld. Er zijn bepaalde groepen die een ‘dienst’ aanbieden en die per opbod verkopen.’ Er werd zelfs geprobeerd mensen te rekruteren bij interessante bedrijven of organisaties. Een trend die is komen overwaaien uit de wereld van de financiële fraude, zegt Beek. ‘We zien het gebeuren op fora. De discussie ging over een instelling in de VS die zorgkosten afhandelt. Daar werd een vraag gesteld: ‘Weet iemand een medewerker bij deze instelling die wil mee werken?'. Of er daadwerkelijk iemand is geronseld, vonden de onderzoekers niet. Wel kwamen er antwoorden voorbij waarin mensen melden dat zij mogelijke kandidaten wisten.’ Op de darnetfora wordt gehandeld in bitcoins (een bitcoin is momenteel 659 euro waard) omdat deze niet traceerbaar zijn.

Zorginstellingen
Wat kunnen zorginstellingen nu doen? Beek: ‘Organisaties zouden meer met elkaar moeten samenwerken in de beveiliging van hun systemen. En elkaar moeten waarschuwen bij inbraakpogingen. Kwetsbare apparatuur en systemen moeten beter worden beveiligd. Bovenal zou iedereen zich bewust moeten worden van het gemak waarmee cyberdieven te werk kunnen gaan. Zij zoeken via internet op welke instelling gebruik maakt van een kwetsbaar programma en proberen dat vervolgens te hacken.’ 

 

 

Of registreer u om te kunnen reageren.