De zorgsector heeft het zwaar. Niet alleen door bezuinigingen en te weinig handen aan het bed, het is ook een zeer interessante sector voor cybercriminelen. Volgens verzekeraar Beazley Breach Response is maar liefst 37 procent van de ransomware-aanvallen gericht op zorginstellingen. Ook als het gaat om het voldoen aan wet-en-regelgeving ligt de zorg onder vuur. De meeste datalekken werden het afgelopen jaar gemeld vanuit de sectoren gezondheid en welzijn (29%), zegt de Autoriteit Persoonsgegevens. Met andere woorden, privacygevoelige informatie wordt niet alleen gestolen, het wordt ook per ongeluk op straat gezet. Dit tot groot genoegen van criminelen die online opereren.

Waarom is juist zorginformatie zo populair bij hackers?

Medische patiëntgegevens worden momenteel tegen recordprijzen verhandeld op het dark web. Deze gegevens onderscheiden zich van andere data vanwege hun permanente karakter. Dit in tegenstelling tot bijvoorbeeld een creditcard, die je makkelijk kan vervangen. Cybercriminelen hebben nadat ze de informatie hebben gesloten, zeeën van tijd om geld te verdienen met patiëntengegevens. Dat doen ze onder meer met de verkoop van grote partijen gestolen identiteitsgegevens, door het afpersen van mensen die verborgen willen houden dat ze bepaalde ziektes hebben. Of door de informatie te gebruiken als input voor social engineering-trucs om slachtoffers op nieuwe manieren te benadelen. Patiëntgegevens zijn dus op meerdere manieren te misbruiken, de informatie dateert niet snel en de opbrengsten zijn hoog. Het lastige is dat patiënten zelf nog weinig kunnen ondernemen om hun gegevens veilig te houden. Die verantwoordelijkheid ligt bij de zorgsector. Tijd voor zorginstellingen om serieus te investeren in security die alle lagen van het netwerk beveiligen.

Hoe is de IT-situatie in zorgomgevingen?

Zorginstellingen, en met name ziekenhuizen, maken intensief gebruik van IoT-apparaten. Door deze voorzieningen kan de zorgverlener de patiënt op afstand bewaken en hem bijvoorbeeld behandelen met behulp van geïmplanteerde apparaten. Binnen ziekenhuizen wordt gebruikgemaakt van een breed scala aan verbonden IoT-apparaten. Daarbij is sprake van een vrijelijke uitwisseling van informatie met het ziekenhuispersoneel, medische dossiers en planningsystemen en andere pijlers van patiëntenzorg. Ook fabrikanten en leveranciers van IoT-apparatuur communiceren met deze apparaten. Daarmee wordt het aanvalsoppervlak, oftewel de aantal manieren en apparaten waarop een cyberaanval uitgevoerd kan worden, verder verbreed. De betrouwbaarheid en veiligheid van IoT-apparaten staan of vallen bij de manier waarop ze zijn ontwikkeld en getest. Zijn er beveiligingsmechanismen ingebouwd tijdens elke stap in het ontwikkelingsproces, of is de beveiliging een sluitpost geweest en achteraf even snel aangebracht voordat de apparatuur in gebruik werd genomen?

Naast het toenemend aantal IoT-toepassingen, worden er ook steeds meer gegevens in de cloud bewaard. Dat is niet altijd goed geregeld. Onlangs kwam in het nieuws dat de medische gegevens van honderdduizenden Nederlandse ziekenhuisbezoekers door bedrijven worden verwerkt, en vervolgens worden opgeslagen in de Google Cloud. Dat gaat in tegen de privacywet AVG. Daarnaast richten zorginstellingen virtuele serveromgevingen in en maken on demand gebruik van applicaties die buiten hun infrastructuur worden gehost. Maar dat is nog niet eens het belangrijkste probleem.

Levert een ‘solo arts’ de beste zorg?

Het belangrijkste punt van zorg houdt verband met het gebruik van verschillende (ongelijksoortige) beveiligingssystemen. Vaak zoeken organisaties naar de beste beveiligingsoplossingen in hun soort (best of breed) in plaats van beveiligingstechnologie die het beste op de behoeften aansluit. Hoewel de laatste technologie van bekende merken een perfecte remedie tegen slapeloze nachten lijkt, krijgen we door investeringen in nieuwe, losstaande beveiligingsoplossingen juist last van meer beheer en minder inzicht. Denk aan artsen die graag solo opereren en niet met anderen communiceren. Deze artsen kunnen geniaal zijn, maar door gebrek aan input van andere zorgspecialisten zullen zij waarschijnlijk niet de beste zorg aan de patiënt bieden.

Beveiligingssystemen die niet met elkaar communiceren, die niet op elkaar aansluiten, lijken op artsen die graag alleen in de schijnwerpers staan. Zij maken het onmogelijk om integraal overzicht verkrijgen op datgene wat we proberen te beschermen. Effectief beveiligingsbeheer vraagt om beveiligingsarchitectuur die bedrijfsbreed overzicht biedt, waarbinnen razendsnel bedreigingsinformatie kan worden uitgewisseld, en die de mogelijkheid biedt om beveiligingsregels in alle uiteenlopende netwerkdomeinen toe te passen. De combinatie van een dergelijke architectuur en mogelijkheden voor snellere detectie, analyse en herstel van aanvallen is belangrijker dan ooit voor het beschermen van de IT-infrastructuur en het allerbelangrijkste: de kostbare gegevens van kwetsbare patiënten.