Ziekenhuizen worden regelmatig digitaal gegijzeld en vormen een gemakkelijk doelwit. Mede omdat hun systemen in sommige gevallen verouderd zijn. De patiëntgegevens die erin staan opgeslagen, zijn letterlijk en figuurlijk van levensbelang. Dat maakt ziekenhuizen chantabel en daar maken hackers steeds vaker dankbaar gebruik van.
Wanneer je in Google ‘ziekenhuis ransomware’ intoetst, komen er tientallen nieuwsberichten tevoorschijn over ziekenhuizen die dagen tot weken plat liggen vanwege het feit dat ze gehackt zijn. Het is een veel voorkomend probleem, maar niet onoplosbaar. Zo stelt Jeroen Slobbe, security & privacy expert bij Deloitte.Levensgevaarlijk
Ransomware komt steeds vaker voor, maar wat is het precies: Hackers gijzelen computers – of delen daarvan – met behulp van kwaadaardige software (malware). De boel gaat op slot en de gebruiker kan niet bij zijn programma’s en documenten. Pas na betaling van losgeld – ransom dus – geeft de hacker het systeem weer vrij.“Als ziekenhuizen het slachtoffer worden van ransomware, kunnen ze in grote problemen komen”, zegt Jeroen Slobbe cyber security expert bij Deloitte. “Dat zie je aan dat voorbeeld in Engeland. Het kan het operationele proces verstoren, dat is een ernstig probleem. Als ze het losgeld betalen, dan houdt dit het ransomware-businessmodel in stand”, stelt Jeroen Slobbe. “Dan beland je in een vicieuze cirkel.”
Virussen in ziekenhuizen
Vorig jaar deed Deloitte onderzoek naar de beveiliging van medische apparatuur in ziekenhuizen. Conclusie: ziekenhuizen zijn zich steeds meer bewust van het belang van goede cybersecurity van hun medische apparatuur, echter op operationeel vlak zijn nog stappen te maken.“In ziekenhuizen zien wij verouderde besturingssystemen nog regelmatig terugkomen. Dat maakt ze kwetsbaar voor hackers, die de zwakke plek van het systeem opzoeken en zo hun slag slaan. “Uit ons onderzoek van 2015 naar de veiligheid van medische apparatuur bleek dat meer dan de helft van de ziekenhuizen weleens te maken heeft gehad met een computervirus”, aldus Slobbe.
USB Stick
Het lijkt een onschuldige vraag wanneer een zwangere vrouw aan de echoscopist vraagt om de echofoto’s van haar ongeboren baby op te slaan op haar meegebrachte usb-stick. Maar wanneer die usb-stick zonder extra controle in de echoapparatuur gestoken wordt, kan er zomaar een virus het systeem insluipen.“Het is voor ziekenhuismedewerkers heel normaal dat ze hun handen wassen voor en na de behandeling van een patiënt. Diezelfde hygiëne moeten ze in acht nemen op digitaal vlak. Dat betekent niet zomaar op hyperlinks in e-mails klikken en een USB-stick scannen op virussen voordat ze die in een apparaat steken.”
Het ransomware-probleem is zeker niet onoplosbaar, hoe ernsitg het ook klinkt. “Een gloednieuwe aanval van ransomware helemaal voorkomen is lastig, maar als een ziekenhuis slachtoffer wordt, hoeft dat echt niet het einde van de wereld te betekenen. Om te beginnen moet een ziekenhuis zijn systemen up to date hebben. Dat betekent de laatste versie van software, goede antivirusprogramma’s en de patiëntgegevens veilig achter slot en grendel. Security and privacy by design, noemen we dat.”
Stap 2 is waken over dat wat er op je netwerk gebeurt volgens Slobbe. “Zorg dat je weet wat gebruikelijk is, dan weet je ook wat er ongebruikelijk is. Zodra je iets vreemds ontdekt, onderneem je actie: stap 3. Vergelijk het met een patiënt. Als die koorts heeft, ga je ook op zoek naar de oorzaak en probeer je die te verhelpen.” Is er inderdaad sprake van een virus of ransomware, dan is het volgens Slobbe in een groot deel van de gevallen een kwestie van de back-up terugzetten en klaar. “Die back-up moet natuurlijk wel actueel zijn. Ook moet je eerst testen of dat terugzetten überhaupt werkt bij deze apparatuur.”
Offline gaan is niet de oplossing van het probleem. Dat is volgens Slobbe niet de weg die we moeten inslaan. “We leven langer door medische technologie. Al die innovaties hebben ons enorm veel gebracht en zullen de zorg de komende jaren nog veel effectiever en efficiënter maken. Die vooruitgang gaat soms met vallen en opstaan en daar is die ransomware een voorbeeld van. Het gaat om de juiste balans. Ja, er zijn risico’s en ja, er moet wat gebeuren, maar je moet innovatie en de voordelen voor de patiënt niet teniet doen. No risk, no gain.”
Kom op 26 januari a.s. naar het ICT&health Experience congres in het Beatrix Theater en ontdek hoe en waarmee de zorgsector zich in de moderne tijd van digitalisering zich ontwikkeld. En wat de belangrijke rol van de overheid, het bestuur, de zorgwerker en de patiënt daarin is. Tickets zijn gratis!