De dreiging van aanvallen met ransomware op zorginstellingen neemt almaar toe. Voor zover bekend bij Z-CERT zijn in Nederland in 2021 vijf zorginstellingen geraakt, tegenover één in 2020.

Het aantal ransomware-incidenten in de Europese zorgsector steeg ook explosief. Ging het voorheen om een handjevol incidenten per jaar, in 2021 zijn 31 zorginstellingen getroffen door ransomware. Dat had uitstraling naar 116 zorglocaties.

Het gaat dan alleen nog maar om het aantal gevallen dat bij Z-CERT bekend is, het werkelijke aantal ligt vermoedelijk nog hoger. ‘Gemiddeld sturen we één of twee keer per maand een operational alert uit’, zegt Wim Hafkamp, directeur van Z-CERT. ‘Dat betekent zoveel als: laat nu alles uit je handen vallen en ga patchen of zet systemen offline.’

Ver-van-mijn-bed-show

Ondanks de toenemende dreiging en de grote impact die een geslaagde aanval op een organisatie heeft, hebben niet alle bestuurders genoeg aandacht voor het thema. ‘Ik zie wel dat het besef door begint te dringen in de bestuurslaag, maar ik denk dat het voor een aantal bestuurders nog een ver-van-mijn-bed-show is’, zegt Hafkamp. ‘Wij zeggen: “hier moet je wat van vinden”. Dit gaat om digitale zorg en patiëntveiligheid, dus ga je er toch maar in verdiepen.’

Financiële gevolgen

Daar komt nog bij dat een geslaagde aanval grote financiële gevolgen kan hebben. Gemiddeld kost een incident met ransomware 2,3 miljoen euro, becijfert Z-CERT. Dat bedrag bestaat lang niet alleen uit het losgeld dat hackers eisen om gekaapte bestanden en systemen weer vrij te geven, maar ook uit allerhande bijkomende kosten.

Het verbeteren van de cyberweerbaarheid tegen ransomwaregroepen is voor zowel grote als kleine organisaties belangrijk, staat in het Dreigingsbeeld. De meeste ransomware-aanvallen vonden plaats op organisaties tot duizend medewerkers. Doorgaans gaan cybercriminelen niet gericht te werk. Ze werpen een breed net uit naar meerdere organisaties. Als ze een zwakke plek vinden, slaan ze toe. ‘Systemen die online staan, worden doorlopend gescand op kwetsbaarheden’, zegt Hafkamp. ‘Als die gevonden worden, kunnen ze misbruikt worden om malware op te starten in een organisaties. Je ziet een continue stroom van aanvallen.’

Generieke aanvallen

Hackers maken doorgaans gebruik van standaard-methodes om aan te vallen. De drie meest gebruikte methodes zijn:

• Gebruikers verleiden om kwaadaardige software (malware) op te starten
• Inloggen op RDP (een oplossing voor werken op afstand binnen Windows) met gestolen of geraden inloggegevens
• Systemen Compromitteren door misbruik te maken van kwetsbaarheden in software

Het voordeel van deze generieke aanvallen is dat organisaties zich er redelijk tot goed tegen kunnen wapenen. NEN7510 – de norm voor informatiebeveiliging in de zorg – is verplichte kost voor zorginstellingen. Hafkamp: ‘Daar staan de meest basale maatregelen in die je zou moeten treffen. Terwijl we weten en ook zien dat die norm nog niet overal is geïmplementeerd of door een onafhankelijke partij is getoetst.’ Ook de IGJ maakt zich hier zorgen over, getuige een recent verschenen rapport, en toetst zorgorganisaties op hun cyberbeveiliging.

Mede hierdoor neemt de aandacht voor cybersecurity wel toe, constateert Hafkamp. ‘Ik zie groei. De vraag is of die groei snel genoeg gaat, gezien de snelheid waarmee cybercrime zich ontwikkelt binnen de zorgsector’, zegt hij. ‘Daar maak ik me soms wel zorgen over. Bestuurders hebben heel veel op hun bordje liggen en dit is één van de dossiers. Wij hopen dat dit dossier wat hoger op de stapel komt te liggen.’