Het gaat de verkeerde kant op in de zorg op het gebied van cyberdreigingen. Het aantal aanvallen op zorginstellingen in Europa en Nederland neemt toe, maar de benodigde internationale samenwerking om dit tegen te gaan, blijft achter. Z-CERT, het expertisecentrum voor cybersecurity in de zorg, benadrukt de urgentie van betere samenwerking binnen Europa om de toenemende cyberdreigingen te bestrijden.
Z-Cert publiceerde 17 februari het meest recente ‘Cybersecurity Dreigingsbeeld voor de zorg’, met een volgens de organisatie alarmerende conclusie: zorginstellingen in Nederland en Europa worden steeds vaker doelwit van cybercriminelen, digitale spionnen en hacktivisten. Dit leidt tot datadiefstal en verstoort cruciale zorgprocessen – met potentieel levensbedreigende gevolgen.
Samenwerking blijft achter
In 2024 hebben meerdere gerichte cyberaanvallen zorginstellingen ontwricht, zo blijkt uit het rapport. Toch blijft internationale samenwerking achter, waardoor criminelen vrij spel krijgen. De geopolitieke situatie stelt ons voor nieuwe uitdagingen, schrijft Z-Cert. Terwijl criminelen profiteren van zwakke plekken in de digitale infrastructuur, blijven belangrijke spelers in de zorgsector onvoldoende samenwerken en aarzelen om gevoelige informatie te delen. Z-CERT roept zorginstellingen, overheden en andere betrokken partijen daarom op om nu de handen ineen te slaan en samen actie te ondernemen.
Wim Hafkamp, directeur Z-CERT, noemt betere communicatie tussen (inter)nationale CSIRT's (Computer Security Incident Response Team), zoals vereist in de nieuwe NIS2-richtlijn, een belangrijke stap vooruit. Het actieplan vanuit de Europese Commissie, uitgebracht in januari 2025, is volgens Hafkamp een mooie vervolgstap. “Verder is het belangrijk dat er binnen sectoren, zoals de zorg, meer mechanismen nodig zijn om kennis en ervaring te delen over dreigingsinformatie. Zonder deze uitwisseling blijven organisaties kwetsbaar voor herhaalde aanvallen.”
Testen en simuleren
Ook pleit Z-CERT voor realistische oefeningen, tests en simulaties binnen de zorgsector, vergelijkbaar met de praktijkvoorbeelden uit het bankwezen. Hafkamp hierover: “In sectoren als onderwijs en wetenschap zien we instellingen soms dagenlang uitvallen. In januari was DigiD slachtoffer van een grootschalige DDoS-aanval. Dit soort aanvallen heeft ook impact op de zorg, omdat bij veel ziekenhuizen patiënten via DigiD inloggen op hun dossier. In het Dreigingsbeeld gaan we specifiek in op dreigingen die via de leveranciersketen op de zorg afkomen. Testen en simuleren is van belang om klaar te zijn voor wat gaat komen. Doe dit binnen je eigen organisatie, maar betrek ook de belangrijkste ketenpartners!”
In haar Dreigingsbeeld schetst Z-CERT diverse cyberdreigingen voor de zorg, onderbouwd met cijfers, voorbeelden van incidenten en maatregelen die kunnen helpen. Het rapport omvat onder meer een Dreigingsradar die de meest voorkomende en meest gevaarlijke cyberdreigingen samenvat in een top10 voor de korte en langere termijn.
De hoogste dreiging blijft het komende jaar uitgaan van ransomware en afpersen van instellingen middels een datalek. Elke zorginstelling kan hiervan het slachtoffer worden. Deze dreiging is licht toegenomen ten opzichte van 2023. Ook ransomware bij leveranciers van zorgaanbieders kan veel impact hebben komend jaar, hoewel dit in Nederland in 2024 relatief beperkt bleef. Op de iets langere termijn kan de impact van spionage bij onderzoeksinstellingen toenemen.
Actieplan cyberveiligheid zorg
De Europese Commissie kwam halverwege januari met een actieplan om de cyberveiligheid van ziekenhuizen en zorgverleners te verbeteren en een veiligere en meer beveiligde omgeving voor patiënten te creëren. Het actieplan bouwt voort op bestaande wetgeving, zoals die inzake cyberbeveiliging, en breidt het toepassingsgebied uit tot algemene praktijken.
Het plan moet ertoe leiden dat ziekenhuizen en andere zorginstellingen minder vaak met succes het slachtoffer worden van hackers, datadiefstallen en andere cyberdreigingen. De noodzaak daarvoor groeit naarmate het gebruik van digitale systemen, zoals het EPD, toeneemt. In 2023 was de zorg met 309 significante cyberbeveiligingsincidenten de meest bedreigde kritische sector binnen de EU. In 54 procent van die gevallen bleek het te gaan om ransomware-aanvallen.
