Het had slecht kunnen aflopen voor VVT-organisatie Zorgbalans: de eerste kennismaking met de harde realiteit van cybercriminaliteit. Bestuurder Tamara Pieterse van Zorgbalans vertelt in gesprek met zorgkoepel Actiz wat dat in de praktijk betekende, wat het aan inzichten heeft opgeleverd en hoe Zorgbalans de kans op een hernieuwde kennismaking probeert te beperken.
In 2021 kreeg Zorgbalans te maken met een poging tot afpersing, met openbaarmaking van een deel van hun digitale cliëntgegevens als dwangmiddel. Het liep in dit geval goed af, maar dat is zeker niet altijd het geval. Niet voor niets is Zorg en Welzijn volgens Autoriteit Persoonsgegevens al jaren lang de sector met de meeste datalekken. In 2022 ging het om 41 procent van het totaal. Deels is dit het gevolg van diefstal van data door bijvoorbeeld een cyberaanval. Deels ook vinden lekken intern plaats, al dan niet per ongeluk.
Afpersing met cliëntgegevens
Wat er gebeurde in het geval van Zorgbalans? Medewerkers van de zorgcentrale kwamen met de melding van een opvallend bericht in een contactformulier op de website. Iemand claimde te beschikken over cliëntgegevens van Zorgbalans en zou die op het dark web – een verborgen deel van het internet voor allerlei illegale transacties en diensten - aan de hoogste bieder verkopen als er geen ‘losgeld’ binnen een bepaalde termijn werd betaald.
Uiteindelijk bleek na onderzoek door security-specialist Hoffmann Security dat de data in kwestie afkomstig waren van de werknemer van één van de IT-leveranciers van Zorgbalans. Op basis van de onderzoeken kon de politie een verdachte aanhouden. Hiervoor werd ook met het OM samengewerkt.
https://www.zorgbalans.nl/poging-tot-afpersing/
Crisisgevoel door cyberaanval
Tamara Pieterse vertelt over deze periode: “Je komt terecht in een crisis die volledig je agenda beheerst. Wat ik vooral intens vond, is dat je in het begin geen idee hebt met wie je te maken hebt. Een criminele organisatie of bijvoorbeeld een vijftienjarige jongen op zijn zolderkamer. Dit deed niet alleen iets met mijn gevoel van veiligheid, maar vooral ook voor mijn collega’s en organisatie.”
De cliëntgegevens bleken uiteindelijk niet verspreid te zijn, maar Pieterse leerde van het incident dat elke (zorg)organisatie voortdurend risico loopt op een cyberincident. Voorbereiding om zo’n incident te beperken is dan ook essentieel. “Wij doen bijvoorbeeld altijd trouw onze systeemupdates en zijn bewust bezig met het vergroten van bewustwording bij medewerkers, door het versturen van test phishing-mails.”
Niet óf, maar wanneer
Volgens de bestuurder van Zorgbalans is het goed voor elke organisatie om te beseffen dat het niet meer gaat om óf je een keer slachtoffer wordt van een cyberaanval, maar wanneer dit gebeurt. Ze vindt dat elke bestuurder zich dit moet realiseren. En dat betekent ook dat bestuurders in ieder geval inzicht moeten hebben in het IT-landschap van hun organisatie. Zo leer je wat de mogelijke zwakke plekken zijn en waar de grootste risico’s zitten – bijvoorbeeld in niet meer gebruikte en dus gepatchte toepassingen, die echter nog wel toegang tot de IT-omgeving bieden.
En waar data delen steeds belangrijker wordt om goede (netwerk)zorg te bieden aan cliënten en patiënten, betekent dit een nieuw risico voor organisaties. “Probeer hier als bestuurder samen met je ICT-manager grip op te krijgen”, benadrukt Pieterse. Zij noemt bewustwording, houding en gedrag dé sleutelwoorden bij cybersecurity en informatieveiligheid.
“Het gaat hierbij om gedragsverandering. En dat is geen makkelijke opgave. Voor zorgmedewerkers resulteert dit vaak in maatregelen die het werk in de dagelijkse praktijk belemmeren. Zoals het steeds opnieuw inloggen in verschillende applicaties of juist goed uitloggen wanneer je een computer hebt gebruikt. Maar het is juist belangrijk om dit te doen, om online gevaar te voorkomen. Daarom moet je als organisatie investeren in de bewustwording van medewerkers op dit onderwerp.”
