Zorgaanbieders zijn een interessant doelwit voor hackers, vertelt Joep Kremer, business unit director cybersecurity bij ilionx. Dit komt doordat bij zorgorganisaties interessante informatie is te vinden, terwijl ze het minst in cybersecurity investeren. “Zij geven zes procent van hun IT-budget uit aan beveiliging. Dat is lager dan de dertien procent die organisaties daar gemiddeld aan uitgeven”, weet Kremer. Dat weten hackers natuurlijk ook.

Helpdeskfraude

Aanvallen waar de zorg mee te maken krijgt, kunnen verschillende gedaanten aannemen. Een bekende is de phishing e-mail waarmee hackers proberen jou op een link te laten klikken. Als je dat doet, wordt iets op jouw apparaat geïnstalleerd dat jij daar niet wilt hebben. Kremer: “Maar liefst 83 procent van alle aanvallen starten met een malafide e-mail. In de zorg is dat nog hoger.” Een andere veel voorkomende werkwijze is helpdeskfraude; hackers verleiden je te bellen met een persoon die jou iets wil laten installeren. Daarnaast waarschuwt Kremer nog voor phishing-pogingen via Teams of LinkedIn. Bij dat laatste richten hackers zich nadrukkelijk op bepaalde beslissers. Die proberen ze bijvoorbeeld te verleiden bedragen over te maken. Kremer: “Dit laat zien dat niet alleen ICT-controls belangrijk zijn, maar ook finance controls.”

Adversary-in-the-Middle phishing

Een ‘zeer zorgelijke trend’ noemt Kremer Adversary-in-the-Middle (AitM)-phishing. Een AitM-aanval start ook met een e-mail. Daarin staat een als normale website vermomde malafide website met inlog. Wie erin trapt en inlogt, voorziet de aanvaller ongemerkt van inloggegevens en sessie-cookies. Daarmee kan de aanvaller het account overnemen. Kremer: “Zelfs als alles goed is geregeld, kun je met één klik de pineut zijn.” Het aantal AitM-aanvallen neemt fors toe, zeker ook in de zorg, weet Kremer. “Er is een toename van 146 procent vergeleken met vorig jaar. Waarom? De slagingskans is erg groot. Je hoeft alleen maar iemand te verleiden tot één simpele klik.”

Verdedigen

Er zijn meerdere methoden om je tegen aanvallen van hackers te verdedigen. Tot de ‘basishygiëne’ behoort volgens Kremer multi-factor authenticatie (mfa), waarbij gebruikers meerdere stappen moeten doorlopen voordat ze toegang krijgen. Belangrijk ook zijn spelregels voor toegang, bijvoorbeeld dat je alleen via een werklaptop of in Nederland mag inloggen. Verder is het verstandig om je te verdiepen in kennis over welke bedreigingen er zijn. Kremer komt daarnaast nog met een aantal algemene aanbevelingen. “De eerste is dat je geen uitzonderingen moet maken in het gebruik van apparaten. Informatiebeveiliging moet uniform zijn.” Hij is geen voorstander van phishing-simulaties als structureel beleid. “Medewerkers gaan zich daardoor te veilig voelen.” Trainingen die medewerkers bewust maken van gevaren, kunnen wel werken, vindt Kremer. Daarbij tekent hij wel aan dat je niet moet kiezen voor standaardtrainingen maar trainingen op maat. “Laat bijvoorbeeld aan collega’s zien welke phishing-mails jouw organisatie heeft ontvangen en hoe jullie daarmee omgaan.” Ook e-mailfiltering vindt Kremer nuttig, althans als die gepaard gaat met monitoring. “Te vaak wordt er veel in geïnvesteerd, terwijl de monitoring na kantoortijden stopt.”

Aanvallen AI gaan toenemen

Kremer verwacht dat aanvallen gaan toenemen door de mogelijkheden die AI biedt. Deze technologie maakt het gemakkelijker om mensen om de tuin te leiden, doordat jij je als een ander kunt voordoen. Helpdeskfraudeurs kunnen daarvan profiteren. De director cybersecurity bij ilionx heeft tijdens een lezing laten zien hoe gemakkelijk dat gaat. “Ik had maar een opname van elf seconden nodig om de stem van onze ceo te deepfaken. Een ingesproken bericht in een app die klinkt als een bekende, wantrouw je niet zo snel.” Daartegen kun je je volgens Kremer wapenen door af te spreken dat je digitale verzoeken bijvoorbeeld telefonisch checkt. Ook hier geldt: het komt niet aan op de techniek maar op het gedrag.