Cyberaanval kan zorginstelling 1,2 miljoen euro kosten

vr 9 augustus 2019 - 08:13
hacker with smartphone and computers in dark room
Data
Nieuws

Het herstellen van een beveiligingsincident zoals een ransomware-aanval kost een zorginstelling gemiddeld 1,2 miljoen euro. Dat komt bovenop de mogelijke gevaren voor patiënten, bijvoorbeeld door uitval van systemen.. Dit blijkt uit een onderzoeksrapport van security-aanbieder Fortinet. Deze week bleek uit een rapport van de TU Twente al dat hackers zich steeds vaker richten op vitale onderdelen van de samenleving, zoals ziekenhuizen en elektriciteitscentrales.

De afgelopen jaren bleek steeds vaker dat de (cyer)security van zorginstellingen achterblijft bij het toenemend aantal digitale dreigingen. Dat loopt uiteen van onbewuste datalekken tot en met ernstige ransomware-aanvallen. Cybersecurity-instelling Z-Cert kwam recent nog naar buiten met nieuws over twee ransomware-aanvallen in Puerto Rico en elders in de VS. Daar bij werd in één geval 70.000 dollar betaald om met ransomware gegijzelde systemen te ontsleutelen.

Het ‘Threat Landscape Report’ van Fortinet schetst voor de zorgsector drie van de voornaamste bedreigingen:

Gerichte ransomware-aanvallen

Gevaar: ziekenhuizen zijn een aantrekkelijk doelwit voor ransomware-aanvallen, die steeds gerichter en beter gepland zijn. Zo kan de variant LockerGoga aanmeldingsgegevens voor accounts met speciale toegangsrechten bemachtigen. Dit wijst er volgens Fortinet op dat cybercriminelen de beveiligingsmechanismen van het netwerk van een potentieel slachtoffer uitvoerig bestuderen en vervolgens passende tegenmaatregelen ontwikkelen. De Anatova ransomware versleutelt zoveel mogelijk bestanden en beperkt de kans op gegevensherstel tot een minimum.

Aanpak: zorginstellingen moeten minimaal over up-to-date back-ups beschikken. Ze zijn nu vaak bereid losgeld te betalen vanwege een gebrekkige strategie en planning op het gebied van gegevensherstel en bedrijfscontinuïteit. Na betaling van losgeld is het mogelijk dat sommige herwonnen data (zoals gegevens over medicatie-allergie) of ontbreken of beschadigd zijn, met alle gevolgen van dien voor de patiëntveiligheid.

‘Living off the land’-aanvallen

Gevaar: bij ‘living off the land’-aanvallen misbruiken cybercriminelen vooraf geïnstalleerde tools op de systemen van een doelwit. Detectie wordt voorkomen omdat de kwaadaardige code deel uit lijkt te maken van een goedgekeurd proces. Vooral PowerShell, onderdeel van Windows, wordt hiervoor ingezet. Cybercriminelen gebruiken deze beheer- en scripttool om ransomware en andere kwaadaardige code te verspreiden, om data te versleutelen en om zich een weg door het netwerk van hun slachtoffer te banen.

Aanpak: omdat steeds meer IoT-apparaten worden verbonden met het netwerk, moeten IT-teams alle apparatuur regelmatig inspecteren. Zo voorkomen ze dat vooraf geïnstalleerde tools door hackers als springplank naar het netwerk worden gebruikt.

Activiteiten voor en na cyberaanval

Gevaar: in de gezondheidszorg is uptime van levensbelang. Zo moet het netwerk van de spoeddienst of SEH altijd beschikbaar zijn terwijl in andere afdelingen de activiteit na de kantooruren wel stilvalt. Apparaten die zich dan buiten de normale werktijden aanmelden, kunnen wijzen op een cyberaanval. Zo kunnen bedrijfskritieke netwerken kwetsbaar worden.

Aanpak: zorginstellingen moeten een extra beveiligingslaag aanbrengen door bedrijfskritieke netwerken te segmenteren. Daarnaast moeten ze apparaten die afwijkend gedrag vertonen in quarantaine zetten totdat de reden voor dit gedrag is achterhaald.

Uit het onderzoek van Fortinet blijkt verder dat cybercriminelen altijd het tijdstip zoeken dat een cyberaanval optimale kansen biedt. Zo vinden is het driemaal waarschijnlijker dat activiteiten in aanloop naar hacks plaatsvinden tijdens werkdagen. Voor misbruik van kwetsbaarheden is namelijk vaak een bepaalde handeling van een gebruiker nodig is, zoals het klikken op een link in een phishing mail.

Cybercriminelen willen de momenten dat er sprake is van intensief internetgebruik optimaal gebruiken. Daarom is het belangrijk om een onderscheid te maken tussen werkdagen en weekends bij het filteren van het internetverkeer om inzicht te verwerven in de zogeheten ‘kill chain’ van uiteenlopende cyberaanvallen.