Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Cyberdreiging groter dan ooit, maar beveiliging blijft bestuurlijke ver-van-mijn-bed-show

Zorgvisie-redacteur met als specialisme tech en innovatie in de zorg. Tevens stem van de podcast Voorzorg.
De dreiging van een aanval met ransomware op zorgorganisaties is nog nooit zo groot geweest als nu. Dat staat in het dreigingsbeeld voor de zorg van expertisecentrum Z-CERT. Toch staat het onderwerp niet overal hoog genoteerd op de bestuurlijke agenda, constateert directeur Wim Hafkamp in de podcast Voorzorg.
Voorzorg 49 Z Cert
© Rabbit_Photo / Getty Images / iStock

De dreiging van aanvallen met ransomware op zorginstellingen neemt almaar toe. Voor zover bekend bij Z-CERT zijn in Nederland in 2021 vijf zorginstellingen geraakt, tegenover één in 2020.

Het aantal ransomware-incidenten in de Europese zorgsector steeg ook explosief. Ging het voorheen om een handjevol incidenten per jaar, in 2021 zijn 31 zorginstellingen getroffen door ransomware. Dat had uitstraling naar 116 zorglocaties.

Het gaat dan alleen nog maar om het aantal gevallen dat bij Z-CERT bekend is, het werkelijke aantal ligt vermoedelijk nog hoger. ‘Gemiddeld sturen we één of twee keer per maand een operational alert uit’, zegt Wim Hafkamp, directeur van Z-CERT. ‘Dat betekent zoveel als: laat nu alles uit je handen vallen en ga patchen of zet systemen offline.’

Ver-van-mijn-bed-show

Ondanks de toenemende dreiging en de grote impact die een geslaagde aanval op een organisatie heeft, hebben niet alle bestuurders genoeg aandacht voor het thema. ‘Ik zie wel dat het besef door begint te dringen in de bestuurslaag, maar ik denk dat het voor een aantal bestuurders nog een ver-van-mijn-bed-show is’, zegt Hafkamp. ‘Wij zeggen: “hier moet je wat van vinden”. Dit gaat om digitale zorg en patiëntveiligheid, dus ga je er toch maar in verdiepen.’

Financiële gevolgen

Daar komt nog bij dat een geslaagde aanval grote financiële gevolgen kan hebben. Gemiddeld kost een incident met ransomware 2,3 miljoen euro, becijfert Z-CERT. Dat bedrag bestaat lang niet alleen uit het losgeld dat hackers eisen om gekaapte bestanden en systemen weer vrij te geven, maar ook uit allerhande bijkomende kosten.

Het verbeteren van de cyberweerbaarheid tegen ransomwaregroepen is voor zowel grote als kleine organisaties belangrijk, staat in het Dreigingsbeeld. De meeste ransomware-aanvallen vonden plaats op organisaties tot duizend medewerkers. Doorgaans gaan cybercriminelen niet gericht te werk. Ze werpen een breed net uit naar meerdere organisaties. Als ze een zwakke plek vinden, slaan ze toe. ‘Systemen die online staan, worden doorlopend gescand op kwetsbaarheden’, zegt Hafkamp. ‘Als die gevonden worden, kunnen ze misbruikt worden om malware op te starten in een organisaties. Je ziet een continue stroom van aanvallen.’

Generieke aanvallen

Hackers maken doorgaans gebruik van standaard-methodes om aan te vallen. De drie meest gebruikte methodes zijn:

  • Gebruikers verleiden om kwaadaardige software (malware) op te starten
  • Inloggen op RDP (een oplossing voor werken op afstand binnen Windows) met gestolen of geraden inloggegevens
  • Systemen Compromitteren door misbruik te maken van kwetsbaarheden in software

Het voordeel van deze generieke aanvallen is dat organisaties zich er redelijk tot goed tegen kunnen wapenen. NEN7510 – de norm voor informatiebeveiliging in de zorg – is verplichte kost voor zorginstellingen. Hafkamp: ‘Daar staan de meest basale maatregelen in die je zou moeten treffen. Terwijl we weten en ook zien dat die norm nog niet overal is geïmplementeerd of door een onafhankelijke partij is getoetst.’ Ook de IGJ maakt zich hier zorgen over, getuige een recent verschenen rapport, en toetst zorgorganisaties op hun cyberbeveiliging.

Mede hierdoor neemt de aandacht voor cybersecurity wel toe, constateert Hafkamp. ‘Ik zie groei. De vraag is of die groei snel genoeg gaat, gezien de snelheid waarmee cybercrime zich ontwikkelt binnen de zorgsector’, zegt hij. ‘Daar maak ik me soms wel zorgen over. Bestuurders hebben heel veel op hun bordje liggen en dit is één van de dossiers. Wij hopen dat dit dossier wat hoger op de stapel komt te liggen.’

Crisismanagement in de zorg, 9 februari 2023, Utrecht
Voorkom een crisis van formaat

Cybersecurity wordt steeds meer bepalend voor de continuïteit van (zorg)organisaties. Mede door de inzet van meer en meer technologische oplossingen in de zorgprocessen is het van belang om een cybercrisis te voorkomen. Inge Bryan, Ceo van cybersecuritybedrijf Fox-IT deelt haar kennis over het wereldtoneel en vertaalt dit naar de zorgbranche.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.