Wat kunnen cybercriminelen met AI? En tegen welke cyberdreigingen moeten zorgorganisaties zich voorbereiden? Z-CERT, het cybersecurity expertisecentrum voor de zorg, heeft inzichten hierover weer samengevat in een jaarlijks rapport dat onlangs is uitgekomen.
ActiZ, de koepelorganisatie voor de ouderenzorg en thuiszorg, nam eind februari het eerste exemplaar in ontvangst van het Cybersecurity Dreigingsbeeld voor de zorg 2023. In dit jaarlijkse rapport beschrijven de security-specialisten van Z-CERT wat de stand van zaken is op het gebied van cybersecurity in de zorg. In 2023 kwam de dreiging vooral van ransomware, DDoS en datalekken door hacking.
Leveranciers
Een kwetsbare schakel in de cybersecurity is in toenemende mate het gebruik van domotica. Bijvoorbeeld noodknoppen voor thuiszorg, of andere apparaten die door zorgverleners worden gebruikt en die met het internet zijn verbonden.
In het Dreigingsbeeld van 2023 ziet Z-CERT dat de afhankelijkheid in de keten toeneemt tussen zorgorganisaties en leveranciers van IT, zoals domotica. Als de cloudpartij wordt aangevallen of door een incident een storing heeft, leidt dat vaak ook tot uitval bij klanten. En als daar zorgorganisaties tussen zitten, zijn zij automatisch ook de dupe.
De focus van criminelen ligt steeds vaker op de toeleveringsketen. Zo is het opvallend dat vooral bedrijven die digitale diensten aanbieden, doelwit zijn van DDoS-aanvallen. Een aanval op een leverancier kan leiden tot een ingang in het netwerk van een zorginstelling die weer misbruikt kan worden om ransomware uit te rollen of om patiënt- of clientgegevens te stelen.
Incident
Bij Z-CERT zijn acht Nederlandse gevallen bekend uit 2023 waarbij er data van zorginstellingen werden gelekt via een leverancier. De impact viel gelukkig vaak mee, maar dat het flink mis kan gaan, werd aangetoond bij een (niet zorggerelateerd) incident bij Nebu.
Hoe dat zat? In maart 2023 werd ingebroken in de computersystemen van het bedrijf Nebu. In die systemen zaten ook gegevens van miljoenen Nederlanders die waren ondervraagd door onderzoeksbureau Blauw. Dat bedrijf doet marktonderzoek voor bedrijven als NS, Vodafone, Ziggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel. Hiermee was een groot datalek via een leverancier een feit.
Gebruik van AI
Naast de dreiging van aanvallen op apparatuur, leveranciers of cloudomgevingen, hebben zorginstellingen ook te maken met een hogere dreiging van phishing. Cybercriminelen gaan waarschijnlijk gebruikmaken van AI om hun phishing-pogingen te perfectioneren.
Het gebruik van AI bij cyberaanvallen lijkt nog beperkt, maar de technologie kan door cybercriminelen op allerlei manieren ingezet worden. Z-CERT acht het zeer waarschijnlijk dat generatieve AI inmiddels gebruikt wordt voor het voorbereiden van verbeterde phishingaanvallen, het creëren van deepfake audio- en video-fragmenten en effectievere cyberaanvallen. Criminelen kunnen hun berichten met behulp van AI verbeteren zodat ze nog moeilijker als nep te herkennen zijn. Dat vergroot de mogelijke slagingskans van een aanval.
Wat te doen?
Om goed beschermd te zijn tegen dergelijke nieuwe geavanceerde aanvallen, is het heel belangrijk dat zorgorganisaties ten minste de basismaatregelen voor cybersecurity op orde hebben. Denk daarbij aan het gebruik van multifactor-authenticatie en het gebruik van domotica-oplossingen op gescheiden netwerken als ze met de cloud moeten communiceren.
En tot slot is goed toegangsbeheer belangrijk, waarbij niet meer toegangsrechten aan een medewerker of leverancier worden toegestaan dan strikt noodzakelijk is voor hun functie.
Security awareness
Steeds meer organisaties in de ouderenzorg zien de noodzaak van een goede digitale beveiliging in. Er is steeds meer security awareness in de verpleeg- en thuiszorg. Dat is een van de redenen om het Cybersecurity Dreigingsbeeld voor de zorg dit jaar uit te reiken aan ActiZ.
Wilt u het rapport lezen?
Ga dan naar: Link