De zorsector speelt een cruciale rol in samenlevingen wereldwijd en juist deze sector blijkt een steeds lucratiever speelveld voor hackers. De risico’s zijn groot: steeds meer ziekenhuizen zijn afhankelijk van geavanceerde, technologische apparatuur die, eenmaal in handen van kwaadwillenden, kan zorgen voor levensbedreigende situaties. Hoe zorgelijk is de situatie?
Ondanks investeringen in nieuwe technologieën blijven gezondheidsorganisaties een aantrekkelijk doelwit voor hackers. Dat heeft vooral te maken met het feit dat deze organisaties nog te vaak leunen op verouderde infrastructuur en het gebrek aan middelen om ICT-achterstanden weg te werken.Ook werken veel organisaties met embedded operating systems, met name Windows. Die worden weliswaar regelmatig van patches voorzien, maar bieden onvoldoende veiligheid omdat de medische devices die op deze systemen draaien als gevolg van regulering minder snel een update ontvangen. Op die manier ontstaan al snel kwetsbaarheden. Kleinschalige incidenten kunnen vaak nog in de kiem worden gesmoord, maar veel organisaties zijn niet toegerust op grootschallen cyberaanvallen.
NHS: exemplarisch
Eén van de gezondheidsdiensten die het de afgelopen periode zwaar te verduren kreeg, was de National Health Service (NHS), het openbare gezondheidszorgstelsel van het Verenigd Koninkrijk dat actief is in Engeland, Wales, Schotland en Noord-Ierland.In mei van dit jaar werd de NHS getroffen door de grootste Ransomware-aanval in zijn geschiedenis, waardoor medewerkers niet langer konden inloggen op systemen, verschillende afdelingen van ziekenhuizen tijdelijk moesten worden gesloten en hebben ziekenhuizen patiënten moeten doorverwijzen. Ook werden operaties uitgesteld of ambulances de verkeerde richting opgestuurd.
Ransomware gijzelt de eindgebruiker met het dreigement cruciale bestanden weg te gooien als er geen losgeld wordt betaald. Het fenomeen is niet nieuw, maar ransomware heeft het voordeel dat het zich razendsnel kan verspreiden op pc’s die hun basisbeveiliging niet op orde hebben. Wat bleek: tal van computers van de NHS draaiden nog steeds op het vijftien jaar oude besturingssysteem Windows XP, maar het systeem is zo oud dat Microsoft sinds enige tijd geen veiligheids- of andere updates meer voorziet.
Overigens denken experts dat de aanval niet opzettelijk van aard was, maar dat de ‘worm’ net zo lang bleef doorzoeken naar kwetsbaarheden wereldwijd. Hoe dan ook, de schrik zit er flink in in het Verenigd Koninkrijk, waar de NHS onder vuur ligt vanwege zijn jarenlange onvermogen om zijn ICT op orde te krijgen waardoor al miljoenen Britse ponden door de gootsteen gingen vanwege het falen van meerdere projecten. Met name op het gebied van aanbestedingen zou weinig oog zijn geweest voor innovatie, luidt één van de kritiekpunten!
Nederland ontspringt (vooralsnog) de dans
In navolging van de Rijksoverheid kreeg de Nederlandse zorgsector een eigen Computer Emergency Response Team (CERT). Het zogeheten Z-CERT is een gezamenlijk initiatief van de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), GGZ Nederland en het Nationaal Cyber Security Centrum (NCSC). De organisatie stelt zich ten doel kritieke systemen in het geval van een cyberaanval in de lucht te houden. De oprichting van Z-Cert was een direct antwoord op een reeks ransomware-aanvallen op ziekenhuizen in de VS, waar uiteindelijk 17.000 dollar aan losgeld werd betaald om weer toegang tot bestanden te krijgen.Tot dusver hebben zich bij Nederlandse ziekenhuizen – voor zover bekend – geen grootschalige incidenten voorgedaan zoals in het VK of in de VS, maar waakzaamheid is na de diverse internationale waarschuwingen belangrijker dan ooit. Uit een rapport van Deloitte, dat vorig jaar werd gepubliceerd, kost cybercrime de Nederlandse samenleving jaarlijks zo’n 10 miljard euro. Ziekenhuizen worden daarbij niet gespaard: bestuurders en toezichthouders in de ziekenhuissector zijn zich onvoldoende bewust van het belang van cyberveiligheid en heerst er in sommige gevallen een laissez-faire houding ten aanzien van ICT.
Onvoldoende digitale weerbaarheid
Onlangs trok de Nederlandse overheid zelf aan de bel over de digitale weerbaarheid van Nederland. In de risicorapportage cyberveiligheid economie 2017 (rce 2017), opgesteld in opdracht van het ministerie van Veiligheid en Justitie (V&J), stellen de auteurs dat Cybercriminaliteit al lang geen zeldzaam verschijnsel meer is in Nederland. Integendeel, in Nederland komt het net zo vaak voor als vermogensdiefstal: volgens een steekproef vonden in 2016 achttien cyberdelicten plaats per honderd inwoners.Ook Nederlandse ziekenhuizen zijn kwetsbaar: vijftien van 104 ondervraagde ziekenhuizen (60 procent) zijn in de afgelopen drie jaar geraakt door een gijzelvirus. De gevolgen waren verstrekkend: zo hadden veel zorgverleners geen toegang meer tot medische gegevens, moesten verschillende afdeling gesloten worden en werden patiënten bij andere ziekenhuizen ondergebracht. Nederlandse ziekenhuizen bleken echter niet kwetsbaar voor WannaCry.
Data, en in het bijzonder de uitwisseling daarvan, is een aandachtsgebied voor de zorgsector, zo valt te lezen in de rapportage. Binnen het zorgstelsel worden veel administratieve gegevens uitgewisseld, onder meer over rekeningen van zorgverleners en medicijngebruik. Deze uitwisseling van administratieve gegevens is volgens de auteurs een direct gevolg van de organisatie van het zorgstelsel.
“Als semipublieke sector is de gezondheidszorg meer gereguleerd dan andere sectoren van de economie. Hierdoor zijn zorgorganisaties verplicht om informatie uit te wisselen met bijvoorbeeld toezichthouders en verzekeraars. Ook worden administratieve gegevens veel gebruikt voor (medisch) onderzoek”, aldus de onderzoekers.
De omvangrijke uitwisseling van persoonsgegevens in de zorgsector valt terug te zien in de meldingen van datalekken bij de AP. Bijna een derde van het totaal aantal meldingen komt uit de gezondheidszorg. Dat is dubbel zoveel als het aandeel van de sector in de economie.
Nieuwe technologieën, nieuwe spelers
Net als alle overige sectoren, ontsnapt ook de zorgsector niet aan nieuwe ontwikkelingen die binnen het Internet of Things plaatvinden. In dat opzicht is de situatie, niet alleen in Nederland, zorgelijk te noemen: terwijl veel ziekenhuizen gebukt gaan onder verouderde ICT-infrastructuur, beperkte budgetten en regulering, neemt het aantal met internet verbonden apparaten, ook in de zorg, toe. En dan is er nog de stroom aan nieuwe, digitale trends, waaronder robotica, machine learning, AI en Big Data, die hun intrede maken.Tegelijkertijd maken ook nieuwe spelers, veelal techbedrijven en electronicabedrijven, hun opwachting om de zorgmarkt te betreden of zij pogen hun marktaandeel daar verder uit te breiden. In 2017 wordt hen dan ook een verantwoordelijkheid toebedeeld bij het aanpakken van de uitdagingen rondom cybersecurity binnen de zorgsector.
Dat deze bedrijven nog worstelen met de cyberveiligheid van medische apparatuur blijkt onder andere uit een enquête van Ponemon Institute (2017) onder fabrikanten en professionele gebruikers van medische apparatuur. Zo geeft 80 procent van de fabrikanten en zorgorganisaties aan dat medische apparatuur moeilijk te beveiligen is. En slechts 37 procent van de fabrikanten heeft er vertrouwen in dat kwetsbaarheden in medische apparatuur ontdekt kunnen worden.
Ook is de verantwoordelijkheid voor de veiligheid van medische apparatuur niet goed belegd: zo geeft een derde van de respondenten aan dat niemand hoofdverantwoordelijk is voor cyberveiligheid.