Gezondheidszorg te makkelijk doelwit voor cybercriminelen

ma 13 september 2021 - 13:43
Cyberbeveiliginge-Zorgsector
Security
Nieuws

De COVID-19-pandemie heeft diverse nieuwe en bestaande zwakke punten in het zorgstelsel blootgelegd, ook op het gebied van cybercriminaliteit. Het rapport “Playing with Lives: Cyberattacks on Healthcare are Attacks on People” van het CyberPeace Institute laat zien hoe ontwrichtende cyberincidenten, datalekken en het verspreiden van desinformatie directe schade toebrengen aan mensen en het vertrouwen ondermijnen. De grote vraag is nu of de strijd met cybercriminelen nog wel te winnen is.

Feit is in ieder geval dat zorgstelsels de afgelopen jaren onvoldoende gereageerd hebben op cyberaanvallen die de beveiliging en bescherming van gegevens bedreigden. Dat blijkt onder andere uit de meest verwoestende cyberaanvallen van de afgelopen jaren, waaronder WannaCry en NotPetya. De gevaren en gevolgen worden daarnaast ook vaak onderschat.

Zorg leerde niet van cyberaanvallen

In mei 2017 werden meer dan 600 Britse zorginstellingen aangevallen door de WannaCry ransomware. Daardoor werd waardoor de toegang tot kritieke informatie verstoord en de gezondheid en levens van patiënten in gevaar gebracht. Die aanvallen, en de gevolgen daarvan, veroorzaakten enorme stress voor artsen en administratief personeel.

Helaas, zo blijkt, heeft de gezondheidszorg in de jaren na deze aanvallen geen vooruitgang geboekt in de strijd tegen cybercriminaliteit. Tegelijkertijd blijft de omvang van de bedreigingen groeien, en de ‘infodemie’ die gepaard gaat met de COVID-19-pandemie, verergert deze bedreigingen alleen maar.

Cybervrede cruciaal voor de zorg

De zorg heeft cybervrede nodig. Het moet vrij zijn van alle bedreigingen, zodat medische faciliteiten zonder onderbreking kunnen werken. Dat wil zeggen: zonder onderbreking van gegevens die essentieel zijn voor de patiëntenzorg. Aanvallen op gezondheidszorgsystemen veroorzaken directe schade aan mensen en vormen een wereldwijd gezondheidsrisico.

Wanneer zorgverleners worden aangevallen, zijn de slachtoffers niet alleen de IT-infrastructuur, maar in de eerste plaats mensen – gezondheidswerkers en patiënten. Wanneer de toegang tot medische dossiers en levensreddende medische hulpmiddelen wordt belemmerd, worden artsen beroofd van essentiële werkinstrumenten. Bovendien zijn verstoringen van IT-zorgsystemen – en het omgaan met de gevolgen daarvan – kostbaar. Om nog maar te zwijgen van psychologische en sociale schade veroorzaakt door criminelen die privé-informatie stelen.

Steeds meer bedreigingen

Cyberaanvallen ondermijnen bovendien het vertrouwen van het publiek in digitalisering. Uit angst voor datalekken besluiten veel managers van zorgaanbieders investeringen in IT uit te stellen. Het aantal cyberaanvallen neemt neemt toe en de aanvallen evolueren. Hackers maken gebruik van mazen in de kwetsbare digitale infrastructuur van de zorgsector en zwakke punten in het cyberbeveiligingssysteem. De methoden die worden gebruikt om de gezondheidszorg aan te vallen, breiden zich uit. De COVID-19-pandemie heeft aanleiding gegeven tot nieuwe incidenten.

Zo zijn bijvoorbeeld onderzoekscentra voor vaccins het slachtoffer geworden van cyberspionage. Hackers zetten steeds vaker ransomware in en eisen losgeld van ziekenhuizen om IT-systemen te ontgrendelen zodat de gegijzelde data weer toegankelijk wordt. Tijdens de coronapandemie, waarbij het leven van mensen op het spel spel staat, kiezen getroffen ziekenhuizen en gezondheidsinstellingen er vaak voor om prijs van het losgeld te betalen.

Daarnaast zijn zorgprofessionals en internationale gezondheidsorganisaties steeds vaker het doelwit van desinformatiecampagnes en cyberaanvallen gericht op het ondermijnen van hun geloofwaardigheid. Uit statistieken blijkt dat het aantal datalekken in de zorgsector in 2020 fors is gestegen.

Hackers maken misbruik van kwetsbare, soms verouderde digitale infrastructuur. Ze weten dat zorginstellingen beperkte budgetten hebben om gegevens te beveiligen. Daardoor is het vinden van kwetsbaarheden en beveiligingslekken in de zorgsector veel gemakkelijker dan bij financiële instellingen.

Makkelijk doelwit voor cybercriminelen

Binnen de zorg wordt onvoldoende budget vrijgemaakt voor cybersecurity. Als gevolg hiervan hebben alleen grote zorgaanbieders hoogwaardige cyberbeveiligingssystemen en -procedures geïmplementeerd. De meeste gezondheidsinstellingen kampen echter met een chronisch gebrek aan middelen om de infrastructuur te beveiligen, personeel op te leiden en cyberbeveiligingspersoneel aan te nemen en te behouden.

Hierdoor zijn, en blijven, aanvallen op de zorgsector een lucratieve en mondiale aangelegenheid. Ze zijn een wereldwijd fenomeen, of ze nu losgeld willen afpersen van zorgverleners, medische dossiers en intellectueel eigendom willen stelen of het vertrouwen van het publiek willen ondermijnen. Omdat zorgorganisaties de "poortwachters" zijn van zeer gevoelige informatie, is de gezondheidssector een zeer winstgevend doelwit voor cybercriminelen.

Aanvallen op gezondheidsdiensten worden zelden gemeld aan veiligheidsinstanties. Veel organisaties weten niet hoe ze te werk moeten gaan omdat ze geen adequate procedures hebben voor cybersecurity. Bovendien maakt de angst voor strafrechtelijke aansprakelijkheid het nog moeilijker om veiligheidsincidenten te melden, evenals een gebrek aan vertrouwen dat criminelen zullen worden gepakt en gestraft.

Veel zorginstellingen weten niet welke hulpmaatregelen ze kunnen gebruiken, of het nu gaat om het voorkomen van aanvallen of om de maatregelen die worden geboden bij datalekken. Evenzo zijn patiënten zich niet bewust van hun rechten. Wanneer er al een datalek plaatsvindt, besluiten zorginstellingen dit vaak te verbergen in plaats van ondersteuning te zoeken. Dit is vaak te wijten aan de overtuiging dat bepaalde personen kunnen worden verdacht van lacunes in beveiligingsprocedures die geïmplementeerd en gehandhaafd hadden moeten worden. Tegelijkertijd hebben veel aanbieders nog steeds geen bestaande aanbevelingen of systemen, zoals bijvoorbeeld de AVG, aangepast.

Hoe houden we cybercriminelen buiten?

Hoewel het aantal cyberdreigingen toeneemt, is de gezondheidszorg toch niet geheel machteloos. Na de WannaCry-aanvallen van 2017 besloot het Verenigd Koninkrijk 150 miljoen pond te investeren in de IT-beveiliging van de National Health Service (NHS). Zorgaanbieders hebben financiële steun nodig om hun infrastructuur te ontwikkelen en de digitale geletterdheid van hun personeel te versterken. Even belangrijk is dat nationale overheden cybercriminelen consequent moeten vervolgen.

Het rapport: "Playing with Lives: Cyberattacks on Healthcare are Attacks on People" geeft diverse aanbevelingen, waaronder:

  1. Gedetailleerde documentatie van aanvallen en analyse van hun impact op individuele providers, met inbegrip van de algemene maatschappelijke impact;
  2. Verbetering van de paraatheid en weerstand van de zorgsector tegen cyberaanvallen door:
  • investeren in cyberbeveiligingsinfrastructuur
  • investeren in de ontwikkeling van digitale vaardigheden van de beroepsbevolking in de gezondheidszorg
  • ontwikkeling en implementatie van beveiligingsprocedures en hun systematische review

3. Verbetering van de paraatheid van het zorgstelsel om aanvallen tegen te gaan door:

  • implementatie van technische en juridische instrumenten,
  • het ontwikkelen van cyberbeveiligingsrichtlijnen voor zorginstellingen,
  • budgetten bepalen en vrijmaken voor het waarborgen van gegevensbescherming,
  • voorlichtingscampagnes voeren,
  • internationale samenwerking en het uitwisseling van ervaringen

4. Cybercriminaliteit in de gezondheidszorg vervolgen en hackers ter verantwoording roepen. Dit vereist een efficiënte wereldwijde samenwerking.

5. Maak een standaard voor het betrouwbaar en veilig ontwerpen van IT- en administratieve systemen voor gezondheidszorgdiensten, rekening houdend met de principes van "data protection by design" en "by default". De IT-systemen moeten bijvoorbeeld de noodzaak afdwingen om toegang tot gegevens te autoriseren, de niveaus van toegangsrechten voor specifieke gegevens definiëren, de activiteiten blokkeren die tot het lekken van gegevens kunnen leiden en systematische archivering zonder gegevens afdwingen. Antivirussoftware moet regelmatig worden bijgewerkt; medewerkers moeten op de hoogte blijven van mogelijke aanvallen en bewust worden gemaakt van de tools die cybercriminelen gebruiken.

Het volledige rapport is hier (pdf-link) te downloaden.